吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15845|回复: 109
收起左侧

[PC样本分析] 小心!正规公司软件被利用,窃取信息甚至监控聊天记录!

    [复制链接]
kevinjian 发表于 2022-11-1 00:27
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 kevinjian 于 2022-11-4 14:24 编辑

今天在逆向一个易语言程序的时候,发现软件并不启动就以为是检测到虚拟机了,通过查看代码才知道原来软件在窃取用户信息!由于正规监控软件驱动带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。

样本在执行过程中会在从远程服务器下载dll或者释放exe,通过消息操作实现屏幕监控、流量监控、屏幕录像、监控上网行为、软件管理、访问控制、文档备份、下发文件等复杂功能,同时其释放的驱动注册了进程回调来保护主进程不被结束.

dll

dll


Quicker_20221031_224300.png

Quicker_20221101_000304.png

将相关文件释放到C:\Program Files(x86)\Common Files\NSEC目录下,由于NsecRTS.exe对该目录做了保护,普通权限下看不到有文件存在。(显示隐藏什么的也不行)
Quicker_20221031_224545.png

5914490e10d0a596e9f46e87107ae4db.png

获取需要连接的IP地址,之后连接该IP的端口,由于控制功能过多,只挑选几个简单的,不同的功能会使用不同的端口进行通讯
Quicker_20221031_225331.png

Quicker_20221031_225457.png

可以实时截屏功能,每隔三秒截一次图并发送到主控端。图像等数据保存在了C:\NSFiles目录下,且受到保护,只能使用高权限软件查看并且可以记录使用信息
Quicker_20221031_230116.png

收集信息模块在PCinfo.dll中,向远程服务器上传非常详细的本机信息。硬件设备、系统账号、系统版本、磁盘大小等信息。
Quicker_20221031_230215.png
Quicker_20221031_232150.png


由于之前 分析时把文件 都删除了。所以只留下了这几个信息文件。实则运行一段时间后会有更多的详细文件,包括QQ的使用情况等。
根据网上搜索的信息,该远控的自我保护能力很强,其驱动模块(nFsFlt32.sys、nFsFlt64.sys)创建了进程回调并注册minifilter,用于保护NsecRTS.exe进程不会被结束,用火绒等高权限程序结束进程后又会重新生产新的进程!
其他驱动模块还注册了关机回调,防删除!!!

找到其驱动
Quicker_20221031_231150.png

Quicker_20221031_231247.png

签名文件为“山东安在信息技术有限责任公司”,访问其官网发现是一家专注于终端安全管理系统的信息安全公司。样本应该是ping32终端管理软件的客户端
Quicker_20221031_231703.png

7582f73573ac73811c621b8bd77ecc1d.png

所以总的来说,有心之人得到软件后,破解出来给自己无限使用,通过捆绑或者欺骗用户运行来实现其目的,当然,也可以通过其他渠道得到使用权限,甚至买下来,玩远控。

解决方案(供参考):
我的解决方案是卸载相关的驱动模块或者结束进程删除文件:(清除内核回调我不会
用高权限的软件或工具查看相关的驱动、文件 ,卸载、删除相关的驱动文件 ,删除目录
特别要注意看清楚目录路径,小心直接卸载会有蓝屏风险
Quicker_20221031_233901.png

Quicker_20221031_234459.png

Quicker_20221031_235014.png


C盘下对应的有关nsec 的文件 和文件夹都删除。

启动信息
Quicker_20221101_000722.png

另外某数字社区也给出了方法,大同小异。仅供参考
Quicker_20221101_001331.png

反正要用有高权限 的工具来处理,并且要看清楚路径,至于有没有释放到系统system32或者其他目录下,根据软件不同而不同吧。
最重要的是不要随意点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而防止隐私信息被盗取的风险!

本人也是今天才得知这个东东,能力有限,分析总结不够深入,且行且珍惜吧。


补充:今天在清理磁盘时候无意发现的被截屏的图片,按日期分类。并有一些加密后的数据文件。图片我的在I:\NSST\SmartSnap目录下,把我写这篇贴子的行为都记录了下来,恐怖!
ps:为了写贴子我也是没有关闭和删除相关文件。
一会工夫就截图了一千九百多张的图片。


Quicker_20221104_140706.png
Quicker_20221104_142119.png
删除就好

然后在写完这篇帖子的第二天,因为我服务器有个弱口令的网页,所以就又被挂马了。服务器还多次提醒扫描到的恶意文件。挂的应该是一句话木马。


Cache_-173b529f02253c68..jpg

想想都觉得后怕。

image.png

免费评分

参与人数 40吾爱币 +36 热心值 +36 收起 理由
wurenxi + 1 + 1 我很赞同!
Rumo + 1 + 1 热心回复!
hzyh + 1 + 1 热心回复!
20141111zhenxi + 1 + 1 谢谢@Thanks!
HiMars2023 + 1 + 1 我很赞同!
Sea2023 + 1 + 1 谢谢@Thanks!
h0ck + 1 我很赞同!
Norkie + 1 热心回复!
fbl119 + 1 + 1 谢谢@Thanks!
huzhiyuan1997 + 1 用心讨论,共获提升!
坡婆子 + 1 + 1 用心讨论,共获提升!
SAPLU + 1 + 1 我很赞同!
xbdy + 1 + 1 谢谢@Thanks!
youseitei + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ABe00 + 1 谢谢@Thanks!
SayoYuuki + 1 用心讨论,共获提升!
peterpanq + 1 我很赞同!
czenmyth + 1 + 1 谢谢@Thanks!
落华无痕 + 1 + 1 相关样本看57楼
hostclsecho + 1 + 1 我很赞同!
福仔 + 2 + 1 谢谢@Thanks!
林伊轩 + 2 + 1 牛!
skiss + 1 + 1 谢谢@Thanks!
ks3887 + 1 + 1 用心讨论,共获提升!
rjlly + 1 + 1 谢谢@Thanks!
烟凌 + 1 用心讨论,共获提升!
Bluesky10 + 1 + 1 热心回复!
满不懂 + 1 + 1 谢谢@Thanks!
ipadx520 + 1 + 1 会有律师函警告吗?
yuyaoshi + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
poboren + 1 + 1 我很赞同!
zhaoqingdz + 1 用心讨论,共获提升!
HarryPotter01 + 1 热心回复!
xiong930626 + 1 + 1 用心讨论,共获提升!
assa + 1 + 1 谢谢@Thanks!
eleven2026 + 1 + 1 热心回复!
jiaokeer + 1 + 1 热心回复!
Wawapj3333 + 1 谢谢@Thanks!
披星代月 + 1 + 1 谢谢@Thanks!
癫疯灬博 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

涛涛丶 发表于 2022-11-1 16:32
image.png

这个是什么抓包工具 求告知!
5151diy 发表于 2022-11-1 16:14
52leitong2016 发表于 2022-11-1 15:47
大佬,你那个倒数第三个图片的软件是什么软件呀?

应该是这个PCHunter v1.57 授权到2099年 ,论坛中有,你查询一下
52leitong2016 发表于 2022-11-1 15:47
大佬,你那个倒数第三个图片的软件是什么软件呀?
5151diy 发表于 2022-11-1 16:09
这是什么程序直播间?
52leitong2016 发表于 2022-11-1 16:33
5151diy 发表于 2022-11-1 16:14
应该是这个PCHunter v1.57 授权到2099年 ,论坛中有,你查询一下

谢谢大佬
xhr2002 发表于 2022-11-1 16:51
学习了学习了
xiong930626 发表于 2022-11-1 17:17
学习了~~~
patagonia 发表于 2022-11-1 17:28
谢谢@Thanks!
涛涛丶 发表于 2022-11-1 18:12
Zzhilianyun587 发表于 2022-11-1 16:57
HTTPDBUG 论坛里面有的

搜不到啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 08:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表