Xshell供应链攻击：一场精密的定向攻击案例 在2017年，全球范围内发生了一起影响深远的供应链攻击事件——Xshell供应链攻击

    这次攻击针对的是NetSarang公司旗下的Xmanager、Xshell、Xftp和Xlpd等服务器远程管理软件

    这些软件因其强大的功能和广泛的应用，在全球程序员和运维开发人员中享有极高的声誉，特别是被大量用于管理企事业单位的重要服务器资产

    然而，正是这些广泛使用的软件成为了黑客的攻击目标，导致了一场规模巨大的信息安全事件

     攻击事件的背景 NetSarang公司成立于1947年，专注于在全球市场研发、开拓和支持安全的连接方案

    公司总部设立于美国及韩国，专门为包括金融服务、能源、零售、科技与媒体在内的许多行业的大型企业开发服务器管理工具

    然而，在2017年7月，NetSarang公司旗下的多款软件被曝出存在严重的安全漏洞

     攻击事件的发现 事情的开端可以追溯到2017年7月的一次调查

    360科技集团追日团队在分析合作伙伴的网络时，发现了可疑的DNS请求

    这些请求源于金融交易处理相关系统，而进一步调查显示，可疑DNS查询的来源正是NetSarang的软体套件

    经过详细调查分析，专家们发现NetSarang旗下软件最近发布的几个版本被恶意修改，植入了加密载荷（Payload）

     NetSarang公司在2017年7月17日发布了多款产品的新版软件，更新修复了多处bug并增强了会话加密能力，用于对抗CIA木马“BothanSpy”的密码劫持功能

    然而，仅仅几天后，NetSarang与卡巴斯基发布联合声明，声称在7月18日发现软件存在安全漏洞被攻击

    2017年8月15日，双方再次更新联合声明，称在香港发现了利用该软件漏洞的案例

     攻击方式及原理 此次攻击的核心在于NetSarang系列软件的关键网络通信组件nssock2.dll被植入了恶意代码

    该组件在软件发布时，已经被打上了合法的数字签名，并随新版软件包一起发布

    用户机器一旦启动软件，就会加载组件中的恶意代码，将主机的用户信息通过特定DGA（域名生成算法）产生的DNS域名传送至黑客的远程命令控制服务器

    同时，黑客的服务器会动态下发任意的恶意代码至用户机器执行

     这个后门被命名为“XshellGhost”（xshell幽灵），它是一个精密的定向攻击平台

    所有的功能模块实现均为shellcode形式，客户端攻击通过感染供应链软件和各个shellcode模块，实现了无自启动项、无落地文件和多种通信协议的远程控制

    后门潜伏于受害者电脑，等待黑客在云控制平台下发shellcode数据执行

    黑客在云端甚至可能通过上传的用户信息进行选择性的定向攻击

     攻击步骤及影响 XshellGhost的远程控制逻辑相当复杂，主要分为五个步骤： 1.软件启动加载被感染组件nssock2.dll，解密shellcode1执行

     2.Shellcode1解密Shellcode2执行以下功能： - 创建注册表项，上报数据到每月对应的DGA域名当中； - 通过发往知名的域名解析器上传用户信息给攻击者； - 将接收的数据写入到创建的注册表项当中； - 通过获取的key1和key2解密Shellcode 3并执行

     3.Shellcode3会创建日志文件并写入信息，启动系统进程Svchost.exe，修改其oep处的代码，并注入shellcode形式的Root模块执行

     4.Root模块的初始化过程中，会加载并初始化Plugins、Config、Install、Online和DNS等功能模块，然后调用函数Install->InstallByCfg以获取配置信息，监控注册表并创建全局互斥体，调用Online->InitNet

     5.函数Online->InitNet会根据其配置初始化网络相关资源，向指定服务地址发送信息，并等待云端动态下发代码进行下一步攻击

     由于该系列软件在国内的程序员和运维开发人员中被广泛使用，黑客极有可能进一步窃取用户所管理的服务器身份验证信息，秘密入侵用户相关的服务器

    这不仅威胁到了用户的数据安全，还可能对整个企业的信息安全造成重大影响

     应对措施及防范建议 在发现攻击后，NetSarang公司迅速响应，撤除了所有受影响版本，并发布了纯净无损版软件

    然而，对于已经受到攻击的用户来说，及时检测和清除恶意代码至关重要

    用户可以通过更新软件到最新版本，禁止设备对特定的C2域进行DNS查询等方式来清除受影响版本

     此外，供应链攻击的不断飙升提醒我们，加强网络安全并不能完全阻止黑客的攻击

    组织需要更加重视供应链安全，与具有强大安全态势的供应商合作，减少通过供应链成为攻击目标的可能性

    实现零信任安全体系结构（zero-trust security architecture, ZTA）是一种可靠的安全控制手段

    在ZTA中，应用了“永不信任，始终验证”的原则，所有用户都必须经过身份验证、授权和持续的安全配置验证才能访问组织的应用程序和数据

     此外，组织还应实施蜜标、网络分段、监控第三方攻击面等策略来降低供应链风险

    蜜标可以引诱和追踪黑客，网络分段可以最小化供应链攻击的影响，而监控第三方攻击面则可以识别漏洞并进行及时修复

     最后，教育员工和供应商对于改善供应链安全而言也具有重要意义

    通过提供全面的网络安全意识培训计划，可以告知他们不同类型的网络攻击以及如何识别和报告可疑活动

    这不仅可以提高