这次的 XShell 后门真高端,应该是乌纱帽或者大黑帽团体的杰作

2017-08-16 21:26:49 +08:00
 yksoft1
https://securelist.com/shadowpad/81432/

1、用 DNS 服务来做 C&C 服务器,连接的服务器域名根据当前时间日期生成(这个倒不是啥新技术,2009 年的 Conficker 就做到了,以前轮子的某门有个版本也用过伪装 DNS 协议)
2、部分代码加密,从 C&C 服务器取得密钥并解密该部分
3、可以从 C&C 服务器继续下载恶意代码模块,并加密保存在注册表(用注册表保存恶意代码,这个我以前真的没想到过,最多想到过在 autorun.inf 里的垃圾字段里加密保存代码,U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除)中根据系统唯一标识而生成的特定位置。
5090 次点击
所在节点    分享发现
19 条回复
twz
2017-08-16 22:18:36 +08:00
吓死我了,还好不用 XShell
oh
2017-08-16 22:37:56 +08:00
所以要注册三百多个域名吗……
t6attack
2017-08-16 22:45:21 +08:00
一直没升级,侥幸躲过了后门版本
ovear
2017-08-16 22:53:28 +08:00
幸好我还在用 15 年的版本。。
qq292382270
2017-08-16 22:55:27 +08:00
幸好我做前端...
yksoft1
2017-08-16 22:57:30 +08:00
@oh 不需要三百多个,没必要每天换一个。但是用了 DGA 技术生成 C&C 服务器域名的恶意软件一般作者实力雄厚,能随时买起大量域名。国内用这个玩意的恶意软件比较少。
DGA 技术: https://en.wikipedia.org/wiki/Domain_generation_algorithm
crab
2017-08-16 22:59:16 +08:00
连接的服务器域名根据当前时间日期生成-》那不是要注册 N 个域名?
yksoft1
2017-08-16 23:05:59 +08:00
@crab 不需要注册 N 个,只需要过一段时间注册那个算法在那个时间段能生成出来的一个域名就行。当时 Conficker 会疯狂轮询根据 DGA 算法生成的一堆域名,只要有一个成功就上线了。
zwy100e72
2017-08-16 23:08:53 +08:00
@crab
@oh
根据楼主提供的原文链接 一共使用了 11 个.com 域名

感觉用 DNS 好处多多 还可以减小控制端负载
silymore
2017-08-16 23:15:06 +08:00
Who is behind this attack?

Attribution is hard and the attackers were very careful to not leave obvious traces. However certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

居然是国产的
yksoft1
2017-08-16 23:21:15 +08:00
@silymore 那些组织老以为可以通过资源和编译器版本等对方能控制的信息来确认开发者的国籍,殊不知这些都可以欺骗的。
chinvo
2017-08-16 23:33:21 +08:00
@silymore 这年头,只要是 malware,外国“专家”就一上来猜测是 说中文 的开发的,这是“政治正确”
zingl
2017-08-17 00:26:51 +08:00
> certain techniques were known to be used in another malware like PlugX and Winnti, which were allegedly developed by Chinese-speaking actors.

有几楼玻璃心是不是看不懂这句
lovestudykid
2017-08-17 00:46:58 +08:00
@zingl 人家看懂了,没毛病,这一句就是在没有任何证据的情况下预设立场,暗示是中国人开发的
Aar0nFr4nk
2017-08-17 00:49:47 +08:00
哇 可怕 😨还好我用 iTerm2 + fish ..
crab
2017-08-17 04:14:50 +08:00
@yksoft1 https://en.wikipedia.org/wiki/Domain_generation_algorithm
chr(((year ^ month ^ day) % 25) + 97) 为什么不是 % 25 ? 这样少了个 z 吧
wupher
2017-08-17 15:01:42 +08:00
中午回家检查自己的 Windows 笔记本,发现中标了……
唉,要不要换卡巴斯基呢
它这几招倒是真心学到了,受教
AresCNZJ
2017-08-17 18:44:40 +08:00
还好用着一年前的版本,懒得每次都去官网下,于是养成了保存安装包的习惯
abwong
2017-08-18 13:21:28 +08:00
我擦,中标了?咋解决.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/383497

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX