V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  分享发现

这次的 XShell 后门真高端,应该是乌纱帽或者大黑帽团体的杰作

  •  
  •   yksoft1 · 2017-08-16 21:26:49 +08:00 · 5286 次点击
    这是一个创建于 2638 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://securelist.com/shadowpad/81432/

    1、用 DNS 服务来做 C&C 服务器,连接的服务器域名根据当前时间日期生成(这个倒不是啥新技术,2009 年的 Conficker 就做到了,以前轮子的某门有个版本也用过伪装 DNS 协议)
    2、部分代码加密,从 C&C 服务器取得密钥并解密该部分
    3、可以从 C&C 服务器继续下载恶意代码模块,并加密保存在注册表(用注册表保存恶意代码,这个我以前真的没想到过,最多想到过在 autorun.inf 里的垃圾字段里加密保存代码,U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除)中根据系统唯一标识而生成的特定位置。
    19 条回复    2017-08-18 13:21:28 +08:00
    twz
        1
    twz  
       2017-08-16 22:18:36 +08:00
    吓死我了,还好不用 XShell
    oh
        2
    oh  
       2017-08-16 22:37:56 +08:00
    所以要注册三百多个域名吗……
    t6attack
        3
    t6attack  
       2017-08-16 22:45:21 +08:00
    一直没升级,侥幸躲过了后门版本
    ovear
        4
    ovear  
       2017-08-16 22:53:28 +08:00
    幸好我还在用 15 年的版本。。
    qq292382270
        5
    qq292382270  
       2017-08-16 22:55:27 +08:00
    幸好我做前端...
    yksoft1
        6
    yksoft1  
    OP
       2017-08-16 22:57:30 +08:00   ❤️ 1
    @oh 不需要三百多个,没必要每天换一个。但是用了 DGA 技术生成 C&C 服务器域名的恶意软件一般作者实力雄厚,能随时买起大量域名。国内用这个玩意的恶意软件比较少。
    DGA 技术: https://en.wikipedia.org/wiki/Domain_generation_algorithm
    crab
        7
    crab  
       2017-08-16 22:59:16 +08:00
    连接的服务器域名根据当前时间日期生成-》那不是要注册 N 个域名?
    yksoft1
        8
    yksoft1  
    OP
       2017-08-16 23:05:59 +08:00   ❤️ 1
    @crab 不需要注册 N 个,只需要过一段时间注册那个算法在那个时间段能生成出来的一个域名就行。当时 Conficker 会疯狂轮询根据 DGA 算法生成的一堆域名,只要有一个成功就上线了。
    zwy100e72
        9
    zwy100e72  
       2017-08-16 23:08:53 +08:00   ❤️ 1
    @crab
    @oh
    根据楼主提供的原文链接 一共使用了 11 个.com 域名

    感觉用 DNS 好处多多 还可以减小控制端负载
    silymore
        10
    silymore  
       2017-08-16 23:15:06 +08:00 via iPhone
    Who is behind this attack?

    Attribution is hard and the attackers were very careful to not leave obvious traces. However certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

    居然是国产的
    yksoft1
        11
    yksoft1  
    OP
       2017-08-16 23:21:15 +08:00
    @silymore 那些组织老以为可以通过资源和编译器版本等对方能控制的信息来确认开发者的国籍,殊不知这些都可以欺骗的。
    chinvo
        12
    chinvo  
       2017-08-16 23:33:21 +08:00
    @silymore 这年头,只要是 malware,外国“专家”就一上来猜测是 说中文 的开发的,这是“政治正确”
    zingl
        13
    zingl  
       2017-08-17 00:26:51 +08:00
    > certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

    有几楼玻璃心是不是看不懂这句
    lovestudykid
        14
    lovestudykid  
       2017-08-17 00:46:58 +08:00   ❤️ 1
    @zingl 人家看懂了,没毛病,这一句就是在没有任何证据的情况下预设立场,暗示是中国人开发的
    Aar0nFr4nk
        15
    Aar0nFr4nk  
       2017-08-17 00:49:47 +08:00 via iPhone
    哇 可怕 😨还好我用 iTerm2 + fish ..
    crab
        16
    crab  
       2017-08-17 04:14:50 +08:00
    @yksoft1 https://en.wikipedia.org/wiki/Domain_generation_algorithm
    chr(((year ^ month ^ day) % 25) + 97) 为什么不是 % 25 ? 这样少了个 z 吧
    wupher
        17
    wupher  
       2017-08-17 15:01:42 +08:00
    中午回家检查自己的 Windows 笔记本,发现中标了……
    唉,要不要换卡巴斯基呢
    它这几招倒是真心学到了,受教
    AresCNZJ
        18
    AresCNZJ  
       2017-08-17 18:44:40 +08:00
    还好用着一年前的版本,懒得每次都去官网下,于是养成了保存安装包的习惯
    abwong
        19
    abwong  
       2017-08-18 13:21:28 +08:00
    我擦,中标了?咋解决.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1062 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:35 · PVG 06:35 · LAX 14:35 · JFK 17:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.