社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 4397阅读
  • 4回复

[分享]小心!正规公司软件被利用,窃取信息甚至监控聊天记录!

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8
只看楼主 更多操作 0 发表于: 2022-11-01
今天在逆向一个易语言程序的时候,发现软件并不启动就以为是检测到虚拟机了,通过查看代码才知道原来软件在窃取用户信息!由于正规监控软件驱动带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。样子在执行过程中会在从远程服务器下载dll或者释放exe,通过消息操作实现屏幕监控、流量监控、屏幕录像、监控上网行为、软件管理、访问控制、文档备份、下发文件等复杂功能,同时其释放的驱动注册了进程回调来保护主进程不被结束.将相关文件释放到C:Program FilesCommon FilesNSEC目录下,由于NsecRTS.exe对该目录做了保护,普通权限下看不到有文件存在。(显示隐藏什么的也不行)获取需要连接的IP地址,之后连接该IP的端口,由于控制功能过多,只挑选几个简单的,不同的功能会使用不同的端口进行通讯可以实时截屏功能,每隔三秒截一次图并发送到主控端。图像等数据保存在了C:NSFiles目录下,且受到保护,只能使用高权限软件查看并且可以记录使用信息收集信息模块在PCinfo.dll中,向远程服务器上传非常详细的本机信息。硬件设备、系统账号、系统版本、磁盘大小等信息。由于之前 分析时把文件 都删除了。所以只留下了这几个信息文件。实则运行一段时间后会有更多的详细文件,包括QQ的使用情况等。根据网上搜索的信息,该远控的自我保护能力很强,其驱动模块(nFsFlt32.sys、nFsFlt64.sys)创建了进程回调并注册minifilter,用于保护NsecRTS.exe进程不会被结束,用火绒等高权限程序结束进程后又会重新生产新的进程!其他驱动模块还注册了关机回调,防删除!!!找到其驱动签名文件为“山东安在信息技术有限责任公司”,访问其官网发现是一家专注于终端安全管理系统的信息安全公司。样本应该是ping32终端管理软件的客户端所以总的来说,有心之人得到软件后,破解出来给自己无限使用,通过捆绑或者欺骗用户运行来实现其目的,当然,也可以通过其他渠道得到使用权限,甚至买下来,玩远控。解决方案(供参考):我的解决方案是卸载相关的驱动模块或者结束进程删除文件:(清除内核回调我不会)用高权限的软件或工具查看相关的驱动、文件 ,卸载、删除相关的驱动文件 ,删除目录特别要注意看清楚目录路径,小心直卸载会有蓝屏风险C盘下对应的有关nsec 的文件 和文件夹都删除。启动信息另外某数字社区也给出了方法,大同小异。仅供参考反正要用有高权限 的工具来处理,并且要看清楚路径,至于有没有释放到系统system32或者其他目录下,根据软件不同而不同吧。最重要的是不要随意点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而防止隐私信息被盗取的风险!本人也是今天才得知这个东东,能力有限,分析总结不够深入,且行且珍惜吧。


image.png (118.3 KB, 下载次数: 0)
关键词: bot 系统 下载 软件 安全
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834790
飞翔币
226682
威望
224648
飞扬币
2448172
信誉值
0
只看该作者 1 发表于: 2022-11-02
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834790
飞翔币
226682
威望
224648
飞扬币
2448172
信誉值
0
只看该作者 2 发表于: 2022-11-02
不错,了解了
回复 引用
举报
srwam 
级别: 超级版主
发帖
635325
飞翔币
68
威望
25247
飞扬币
2862926
信誉值
0
只看该作者 3 发表于: 2022-11-06
来看看
回复 引用
举报
srwam 
级别: 超级版主
发帖
635325
飞翔币
68
威望
25247
飞扬币
2862926
信誉值
0
只看该作者 4 发表于: 2022-11-06
了解一下
回复 引用
举报
发帖 回复
« 返回列表