Xshell�,,,�,�,�,xftp等优异免费软件是程序大牛、运维大拿们常用的网络治理、清静传输的工具�。。�。�。�。8月7日�,,,�,�,�,Xshell开发公司NetSarang宣布清静通告:Xshell 在7月18日宣布的5.0 Build
1322官方版本保存清静误差�,,,�,�,�,nssock2.dll模�?樵绰氡恢踩牒竺�。。�。�。�。
鉴于此次后门可能导致用户信息泄露�,,,�,�,�,泰合流清静团队实时在某内网A项目和某外网B项目的NBA(南宫NG娱乐泰合流量剖析)平台上建设“Xshell后门”剖析规则�,,,�,�,�,对dns信息中的“请求域名”字段与已界说的恶意域名nylalobghyhirgh.com举行匹配�。。�。�。�。在8月15日发明了A项目的Xshell后门告警�,,,�,�,�,在8月22日发明了B项目上的Xshell后门踪迹�。。�。�。�。
8月15日A项目的Xshell后门活动轨迹追踪:
1) 通过NBA装备�,,,�,�,�,可审查到多次告警�,,,�,�,�,且每次告警都报送了多次�。。�。�。�。
2) 对其中一条�,,,�,�,�,如9点34分的告警睁开后�,,,�,�,�,可看到每次告警的详细时间�。。�。�。�。
3) 选取其中一条告警举行追溯�,,,�,�,�,可以看到域名盘问操作纪录为包括域名IOC的超长域名�,,,�,�,�,此为后门软件使用DNS-Tunning隧道手艺举行信息泄露�。。�。�。�。
4) 对此告警信息继续下钻后�,,,�,�,�,可追溯到详细的流量数据�,,,�,�,�,点击下载pcap包�,,,�,�,�,可看到触发此告警的原始报文�。。�。�。�。
5) 通过IP以及MAC地点的追溯�,,,�,�,�,追踪到使用Xshell的研发职员�,,,�,�,�,经审查Xshell版本�,,,�,�,�,确实为官方通告中有nssock2.dll误差的版本5.0.0026�。。�。�。�。
A项目快速定位履历总结:A项目从发明告警到定位到问题主机仅仅几分钟�,,,�,�,�,之以是能迅速定位到问题主机�,,,�,�,�,一方面得益于威胁情报的准确性�,,,�,�,�,另一方面在于安排在内网的流量剖析产品使用DPI手艺获取到DNS要害域名信息�,,,�,�,�,通过抓取到的原始报文包中的MAC地点和IP地点准确定位问题主机�。。�。�。�。
8月22日B项目的Xshell后门追踪溯源:
10.19.A.B到218.104.111.114告警追踪
1) 经运维职员排查�,,,�,�,�,10.19.A.B上未发明Xshell软件�,,,�,�,�,可是带有8月份恶意域名会见的报文就在眼前�,,,�,�,�,这是怎么回事呢?�?
2) 通过NBA装备审查 10.19.A.B的流量会话以及统计应用协议情形�,,,�,�,�,发明告警爆发时间的会话为:目的地点为218.104.111.114�,,,�,�,�,目的端口为53�,,,�,�,�,而218.104.111.114是联通运营商的DNS效劳器�,,,�,�,�,并且在进一步的流量梳理中发明�,,,�,�,�,10.19.A.B是与联通DNS效劳器交互量第二的主机�,,,�,�,�,后经系统组确认10.19.A.B是内网的DNS效劳器�,,,�,�,�,而此次告警是此内网DNS效劳器接纳转发模式向上一级DNS效劳器请求外地无法剖析的域名而被触发的�。。�。�。�。
3) 那么在2017年8月22日18:20这个时间�,,,�,�,�,哪个IP向此内网DNS效劳器发送了DNS域名剖析请求呢?�?由于SOC安排在汇聚交流层�,,,�,�,�,故通过现场已安排的SOC平台盘问此台机械的DNS日志�,,,�,�,�,定位到对应告警时间的DNS会见纪录的IP为121.43.C.D�,,,�,�,�,并与DNS效劳器上面的数据举行了核对�,,,�,�,�,定位到了问题主机�。。�。�。�。
10.19.A.B到218.104.111.114告警追踪
清静剖析职员对192.168.E.F到4.2.2.1的会见举行Xshell后门验证�,,,�,�,�,履历证192.168.E.F为接入路由器�,,,�,�,�,而几台作开发运维用途的电脑通过此路由器接入XX网防火墙举行运维�。。�。�。�。由于做了NAT�,,,�,�,�,未监测到私有IP地点�,,,�,�,�,NBA装备抓到的是运维PC经NAT转换后的流量信息�。。�。�。�。后经证实�,,,�,�,�,运维PC中保存一台机械运行5.0.0.26版本的Xshell�,,,�,�,�,通过客户的配合将此台机械的Xshell举行了卸载和重新装置�。。�。�。�。
B项目追踪总结:经由现场运维职员的配合�,,,�,�,�,同时连系详细的告警信息�,,,�,�,�,两个告警都定位到了详细的主机�。。�。�。�。南宫NG娱乐流量剖析产品NBA安排在焦点交流机旁路�,,,�,�,�,由于跨网段�,,,�,�,�,跨防火墙的流量涉及到转IP地点转换、端口转换�,,,�,�,�,导致在追踪定位历程中对细腻化治理的要求更高�。。�。�。�。
(泉源:南宫NG娱乐)
京公网安备11010802024551号