这次的 XShell 后门真高端,应该是乌纱帽或者大黑帽团体的杰作 - V2EX
Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
yksoft1

这次的 XShell 后门真高端,应该是乌纱帽或者大黑帽团体的杰作

  •   
  •   yksoft1 Aug 16, 2017 6089 views
    This topic created in 3177 days ago, the information mentioned may be changed or developed.
    https://securelist.com/shadowpad/81432/

    1、用 DNS 服务来做 C&C 服务器,连接的服务器域名根据当前时间日期生成(这个倒不是啥新技术,2009 年的 Conficker 就做到了,以前轮子的某门有个版本也用过伪装 DNS 协议)
    2、部分代码加密,从 C&C 服务器取得密钥并解密该部分
    3、可以从 C&C 服务器继续下载恶意代码模块,并加密保存在注册表(用注册表保存恶意代码,这个我以前真的没想到过,最多想到过在 autorun.inf 里的垃圾字段里加密保存代码,U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除)中根据系统唯一标识而生成的特定位置。
  • 代码
  • DNS
  • 服务器
  • 加密
    19 replies    2017-08-18 13:21:28 +08:00
    twz
        1
    twz  
       Aug 16, 2017
    吓死我了,还好不用 XShell
    oh
        2
    oh  
       Aug 16, 2017
    所以要注册三百多个域名吗……
    t6attack
        3
    t6attack  
       Aug 16, 2017
    一直没升级,侥幸躲过了后门版本
    ovear
        4
    ovear  
       Aug 16, 2017
    幸好我还在用 15 年的版本。。
    qq292382270
        5
    qq292382270  
       Aug 16, 2017
    幸好我做前端...
    yksoft1
        6
    yksoft1  
    OP
       Aug 16, 2017   1
    @oh 不需要三百多个,没必要每天换一个。但是用了 DGA 技术生成 C&C 服务器域名的恶意软件一般作者实力雄厚,能随时买起大量域名。国内用这个玩意的恶意软件比较少。
    DGA 技术: https://en.wikipedia.org/wiki/Domain_generation_algorithm
    crab
        7
    crab  
       Aug 16, 2017
    连接的服务器域名根据当前时间日期生成-》那不是要注册 N 个域名?
    yksoft1
        8
    yksoft1  
    OP
       Aug 16, 2017   1
    @crab 不需要注册 N 个,只需要过一段时间注册那个算法在那个时间段能生成出来的一个域名就行。当时 Conficker 会疯狂轮询根据 DGA 算法生成的一堆域名,只要有一个成功就上线了。
    zwy100e72
        9
    zwy100e72  
       Aug 16, 2017   1
    @crab
    @oh
    根据楼主提供的原文链接 一共使用了 11 个.com 域名

    感觉用 DNS 好处多多 还可以减小控制端负载
    silymore
        10
    silymore  
       Aug 16, 2017 via iPhone
    Who is behind this attack?

    Attribution is hard and the attackers were very careful to not leave obvious traces. However certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

    居然是国产的
    yksoft1
        11
    yksoft1  
    OP
       Aug 16, 2017
    @silymore 那些组织老以为可以通过资源和编译器版本等对方能控制的信息来确认开发者的国籍,殊不知这些都可以欺骗的。
    chinvo
        12
    chinvo  
       Aug 16, 2017
    @silymore 这年头,只要是 malware,外国“专家”就一上来猜测是 说中文 的开发的,这是“政治正确”
    zingl
        13
    zingl  
       Aug 17, 2017
    > certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

    有几楼玻璃心是不是看不懂这句
    lovestudykid
        14
    lovestudykid  
       Aug 17, 2017   1
    @zingl 人家看懂了,没毛病,这一句就是在没有任何证据的情况下预设立场,暗示是中国人开发的
    Aar0nFr4nk
        15
    Aar0nFr4nk  
       Aug 17, 2017 via iPhone
    哇 可怕 还好我用 iTerm2 + fish ..
    crab
        16
    crab  
       Aug 17, 2017
    @yksoft1 https://en.wikipedia.org/wiki/Domain_generation_algorithm
    chr(((year ^ month ^ day) % 25) + 97) 为什么不是 % 25 ? 这样少了个 z 吧
    wupher
        17
    wupher  
       Aug 17, 2017
    中午回家检查自己的 Windows 笔记本,发现中标了……
    唉,要不要换卡巴斯基呢
    它这几招倒是真心学到了,受教
    AresCNZJ
        18
    AresCNZJ  
       Aug 17, 2017
    还好用着一年前的版本,懒得每次都去官网下,于是养成了保存安装包的习惯
    J4rod
        19
    J4rod  
       Aug 18, 2017
    我擦,中标了?咋解决.
    About     Help     Advertise     Blog     API     FAQ     Solana     3199 Online   Highest 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 55ms UTC 11:52 PVG 19:52 LAX 04:52 JFK 07:52
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86