关于Xshell后门的真实目的！

前两天xshell后门的事件闹得沸沸扬扬，各家的安全情报此起彼伏，但并没有一个定论，大都猜测是黑客针对NetSarang的一次apt攻击，在NetSarang的xshell等产品中植入了恶意代码，恶意代码的具体作用是什么，并没有太详细的分析，目前卡巴出了一个详细的分析，这个恶意代码是一个精密的模块化网络攻击平台，卡巴称之为ShadowPad：

该平台的设计分为两个阶段。

第一阶段是嵌入在nssock2.dll中的shellcode， 这个阶段是负责用于连接到命令和控制（C＆C）服务器并获得配置。

第二阶段是负责C＆C的五个主要功能模块的协作，通信使用DNS协议，用于动态加载和注入额外的插件。

因此所有真正的有效载荷都是作为插件从C＆C动态接收的，用于执行不同的操作。也就是黑客做了什么你也不知道，用完就走了 = =！！

参考：

https://securelist.com/shadowpad-in-corporate-networks/81432/

https://cdn.securelist.com/files/2017/08/ShadowPad_technical_description_PDF.pdf