Xshell高级后门完整分析报告
from:https://security.tencent.com/index.php/blog/msg/120
1. 前言
近日,Xshell官方发布公告称其软件中存在后门。我们的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。
后门代码存在于nssock2.dll
中,采用了多层加密shellcode、花指令、线程注入等各种方式逃避杀软查杀和对抗人工分析。总体流程如下
2. 详细过程分析
2.1 第一层功能分析
通过BinDiff跟最新版的nssock2.dll
比较可以很容易的发现一个解密shellcode的函数
去掉花指令分析,进入到shellcode后主要功能是先查询HKCUSOFTWARE\%d
或HKLMSOFTWARE\%d
下的Data
值是否存在,%d
是把硬盘的序列号异或0xD592FC92
如果Data
值存在就用其中的key解密第二层的shellcode并执行,反之就会发送DNS请求获取配置信息存储到Data
键再解密第二层的shellcode并执行
获取配置信息时首先通过根据当前年月的DGA(域名生成算法)生成一个域名,其算法如下
然后会根据GUID、主机名和用户名等信息生成一个前缀进行加密与之前生成的域名拼接后发送DNS请求并获取配置信息
加密主要分两步,第一步如下
第二步如下
DNS服务器为8.8.8.8
、8.8.4.4
、4.2.2.1
、4.2.2.2
和当前主机的DNS服务器,接收到key后解密第二层shellcode的代码如下
这里非常有意思,算法跟从dll进入第一层shellcode时的解密算法一致,想到CTF的套路尝试设为相同的key,key1为0xC9BED351
,key2为0xA85DA1C9
,然后就成功解密出了第二层shellcode。
2.2 第二层功能分析
根据卡巴斯基的报告,第二层shellcode为Root
插件,入口函数很像DllMain
主要功能是先设置异常处理函数,并会把异常记录到%ALLUSERSPROFILE%error.log
,然后初始化函数指针表(会在其他插件中被调用),并加载5个插件
动态调试步入load_plugin
函数就能把5个插件的shellcode dump出来,加载完5个插件后会调用ID为103
的插件(Install)的第二个函数
2.3 插件功能分析
2.3.1 Install插件(103)
主要功能是先修改当前进程权限,再调用ID为102
的插件(Config)的第二个函数
另外还会用winlogon.exe
进程的权限创建svchost.exe
进程进行线程注入,调试线程注入的shellcode可以先在VirtualAllocEx
后下断获取到相应进程中的虚拟地址,然后在ResumeThread
时下断,中断后附加相应进程并在之前获取的虚拟地址处下断,执行ResumeThread
后会在之前的虚拟地址处中断,之后就可以继续调试了,初步分析注入的shellcode就是Root
插件
根据磁盘序列号创建互斥体:Global\% 16-48 random latin characters%
2.3.2 Plugins插件(101)
主要功能是监听根据磁盘序列号生成的注册表项HKLM
或HKCUSOFTWAREMicrosoft\%5-12 random characters%
监听到有值改变后会解密并校验是否是合法的插件并加载和初始化
2.3.3 Config插件(102)
此插件主要是跟配置信息的读写相关,其路径根据磁盘序列号生成,本机是C:ProgramDataMQGOMQQTOYMWGMQUMGSAIEDIWEYK
,在每次初始化插件时都会被重写
默认的C&C
地址是dns://www.notped.com
2.3.4 Online插件(104)
此插件主要是跟C&C
服务器通信并把命令分发到相应的插件执行,首先根据协议类型选择发送请求的插件
如果是URL
就会向根据年月的DGA生成的域名发送HTTP
请求来得到真正的C&C
服务器地址
另外此插件也会收集更详细的主机信息,依次调用GetSystemTime
、gethostbyname
、GlobalMemroryStatusEx
、GetNativeSystemInfo
、GetDiskFreeSpaceExA
、EnumDisplaySettingsW
、GetSystemDefaultLCID
、QueryPerformanceFrequency
、QueryPerformanceCounter
、GetCurrentProcessId
、RtlGetVersion
、GetSystemMetrics
、GetNetworkParams
和GetAccountSid
2.3.5 DNS插件(203)
此插件主要是用于基于DNS协议的C&C
通信
3. 总结
此后门用了多种手段来增加分析难度,是一个基于插件的完善的攻击平台,请尽快升级到最新版本。以上分析如有谬误之处,欢迎斧正。
4. 附录
4.1 shellcode字符串解密脚本
from idaapi import *
from ctypes import *
addr = 0x274DFC8
seed = c_uint(Byte(addr) | (Byte(addr + 1) << 8))
result = [None] * 4096
for i in range(4090):
result[i] = chr((seed.value & 0xff) ^ Byte(addr + 2 + i))
seed = c_uint(c_uint(c_uint(0x41120000 * seed.value).value - c_uint(0x434CBEEE * (seed.value >> 16)).value).value - 0x2F878E0F)
end = result.index('x00')
print ''.join(result[:end])
4.2 IOC相关域名
域名 | 日期 |
---|---|
ribotqtonut.com | 2017年7月 |
nylalobghyhirgh.com | 2017年8月 |
jkvmdmjyfcvkf.com | 2017年9月 |
bafyvoruzgjitwr.com | 2017年10月 |
xmponmzmxkxkh.com | 2017年11月 |
notped.com | 默认C&C 域名 |