这次的 XShell 后门真高端，应该是乌纱帽或者大黑帽团体的杰作

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2654 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://securelist.com/shadowpad/81432/

1、用 DNS 服务来做 C&C 服务器，连接的服务器域名根据当前时间日期生成（这个倒不是啥新技术，2009 年的 Conficker 就做到了，以前轮子的某门有个版本也用过伪装 DNS 协议）
2、部分代码加密，从 C&C 服务器取得密钥并解密该部分
3、可以从 C&C 服务器继续下载恶意代码模块，并加密保存在注册表（用注册表保存恶意代码，这个我以前真的没想到过，最多想到过在 autorun.inf 里的垃圾字段里加密保存代码，U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除）中根据系统唯一标识而生成的特定位置。

代码

DNS

服务器

加密

19 条回复 • 2017-08-18 13:21:28 +08:00

twz

2017-08-16 22:18:36 +08:00

吓死我了，还好不用 XShell

2017-08-16 22:37:56 +08:00

所以要注册三百多个域名吗……

t6attack

2017-08-16 22:45:21 +08:00

一直没升级，侥幸躲过了后门版本

ovear

2017-08-16 22:53:28 +08:00

幸好我还在用 15 年的版本。。

qq292382270

2017-08-16 22:55:27 +08:00

幸好我做前端...

yksoft1

2017-08-16 22:57:30 +08:00

@oh 不需要三百多个，没必要每天换一个。但是用了 DGA 技术生成 C&C 服务器域名的恶意软件一般作者实力雄厚，能随时买起大量域名。国内用这个玩意的恶意软件比较少。
DGA 技术： https://en.wikipedia.org/wiki/Domain_generation_algorithm

crab

2017-08-16 22:59:16 +08:00

连接的服务器域名根据当前时间日期生成-》那不是要注册 N 个域名？

yksoft1

2017-08-16 23:05:59 +08:00

@crab 不需要注册 N 个，只需要过一段时间注册那个算法在那个时间段能生成出来的一个域名就行。当时 Conficker 会疯狂轮询根据 DGA 算法生成的一堆域名，只要有一个成功就上线了。

zwy100e72

2017-08-16 23:08:53 +08:00

@crab
@oh
根据楼主提供的原文链接一共使用了 11 个.com 域名

感觉用 DNS 好处多多还可以减小控制端负载

silymore

2017-08-16 23:15:06 +08:00 via iPhone

Who is behind this attack?

Attribution is hard and the attackers were very careful to not leave obvious traces. However certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

居然是国产的

yksoft1

2017-08-16 23:21:15 +08:00

@silymore 那些组织老以为可以通过资源和编译器版本等对方能控制的信息来确认开发者的国籍，殊不知这些都可以欺骗的。

chinvo

2017-08-16 23:33:21 +08:00

@silymore 这年头，只要是 malware，外国“专家”就一上来猜测是说中文的开发的，这是“政治正确”

zingl

2017-08-17 00:26:51 +08:00

> certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

有几楼玻璃心是不是看不懂这句