小心!正规公司软件被利用,窃取信息甚至监控聊天记录!
本帖最后由 kevinjian 于 2022-11-4 14:24 编辑今天在逆向一个易语言程序的时候,发现软件并不启动就以为是检测到虚拟机了,通过查看代码才知道原来软件在窃取用户信息!由于正规监控软件驱动带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。
样本在执行过程中会在从远程服务器下载dll或者释放exe,通过消息操作实现屏幕监控、流量监控、屏幕录像、监控上网行为、软件管理、访问控制、文档备份、下发文件等复杂功能,同时其释放的驱动注册了进程回调来保护主进程不被结束.
将相关文件释放到C:\Program Files(x86)\Common Files\NSEC目录下,由于NsecRTS.exe对该目录做了保护,普通权限下看不到有文件存在。(显示隐藏什么的也不行)
获取需要连接的IP地址,之后连接该IP的端口,由于控制功能过多,只挑选几个简单的,不同的功能会使用不同的端口进行通讯
可以实时截屏功能,每隔三秒截一次图并发送到主控端。图像等数据保存在了C:\NSFiles目录下,且受到保护,只能使用高权限软件查看并且可以记录使用信息
收集信息模块在PCinfo.dll中,向远程服务器上传非常详细的本机信息。硬件设备、系统账号、系统版本、磁盘大小等信息。
由于之前 分析时把文件 都删除了。所以只留下了这几个信息文件。实则运行一段时间后会有更多的详细文件,包括QQ的使用情况等。
根据网上搜索的信息,该远控的自我保护能力很强,其驱动模块(nFsFlt32.sys、nFsFlt64.sys)创建了进程回调并注册minifilter,用于保护NsecRTS.exe进程不会被结束,用火绒等高权限程序结束进程后又会重新生产新的进程!
其他驱动模块还注册了关机回调,防删除!!!
找到其驱动
签名文件为“山东安在信息技术有限责任公司”,访问其官网发现是一家专注于终端安全管理系统的信息安全公司。样本应该是ping32终端管理软件的客户端
所以总的来说,有心之人得到软件后,破解出来给自己无限使用,通过捆绑或者欺骗用户运行来实现其目的,当然,也可以通过其他渠道得到使用权限,甚至买下来,玩远控。
解决方案(供参考):
我的解决方案是卸载相关的驱动模块或者结束进程删除文件:(清除内核回调我不会:keai)
用高权限的软件或工具查看相关的驱动、文件 ,卸载、删除相关的驱动文件 ,删除目录
特别要注意看清楚目录路径,小心直接卸载会有蓝屏风险
C盘下对应的有关nsec 的文件 和文件夹都删除。
启动信息
另外某数字社区也给出了方法,大同小异。仅供参考
反正要用有高权限 的工具来处理,并且要看清楚路径,至于有没有释放到系统system32或者其他目录下,根据软件不同而不同吧。
最重要的是不要随意点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而防止隐私信息被盗取的风险!
本人也是今天才得知这个东东,能力有限,分析总结不够深入,且行且珍惜吧。
补充:今天在清理磁盘时候无意发现的被截屏的图片,按日期分类。并有一些加密后的数据文件。图片我的在I:\NSST\SmartSnap目录下,把我写这篇贴子的行为都记录了下来,恐怖!
ps:为了写贴子我也是没有关闭和删除相关文件。:'(weeqw
一会工夫就截图了一千九百多张的图片。
删除就好
然后在写完这篇帖子的第二天,因为我服务器有个弱口令的网页,所以就又被挂马了。服务器还多次提醒扫描到的恶意文件。挂的应该是一句话木马。
想想都觉得后怕。
这个是什么抓包工具 求告知! 52leitong2016 发表于 2022-11-1 15:47
大佬,你那个倒数第三个图片的软件是什么软件呀?
应该是这个PCHunter v1.57 授权到2099年 ,论坛中有,你查询一下 大佬,你那个倒数第三个图片的软件是什么软件呀? {:301_993:} 这是什么程序直播间?
5151diy 发表于 2022-11-1 16:14
应该是这个PCHunter v1.57 授权到2099年 ,论坛中有,你查询一下
谢谢大佬{:301_993:} 学习了学习了 学习了~~~ 谢谢@Thanks! Zzhilianyun587 发表于 2022-11-1 16:57
HTTPDBUG 论坛里面有的
搜不到啊