小心！正规公司软件被利用，窃取信息甚至监控聊天记录！

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

本帖最后由 kevinjian 于 2022-11-4 14:24 编辑

今天在逆向一个易语言程序的时候，发现软件并不启动就以为是检测到虚拟机了，通过查看代码才知道原来软件在窃取用户信息！由于正规监控软件驱动带有数字签名，杀软一般不会对其进行查杀，从而达到免杀的效果。

样本在执行过程中会在从远程服务器下载dll或者释放exe，通过消息操作实现屏幕监控、流量监控、屏幕录像、监控上网行为、软件管理、访问控制、文档备份、下发文件等复杂功能，同时其释放的驱动注册了进程回调来保护主进程不被结束.

Quicker_20221031_223841.png (118.3 KB, 下载次数: 1)

下载附件

dll

2022-10-31 22:39 上传

Quicker_20221031_224300.png (124.86 KB, 下载次数: 1)

下载附件

2022-10-31 22:43 上传

Quicker_20221101_000304.png (38.82 KB, 下载次数: 1)

下载附件

2022-11-1 00:03 上传

将相关文件释放到C:\Program Files(x86)\Common Files\NSEC目录下，由于NsecRTS.exe对该目录做了保护，普通权限下看不到有文件存在。（显示隐藏什么的也不行）

Quicker_20221031_224545.png (104.09 KB, 下载次数: 1)

下载附件

2022-10-31 22:46 上传

5914490e10d0a596e9f46e87107ae4db.png (125.78 KB, 下载次数: 1)

下载附件

2022-10-31 22:47 上传

获取需要连接的IP地址，之后连接该IP的端口，由于控制功能过多，只挑选几个简单的，不同的功能会使用不同的端口进行通讯

Quicker_20221031_225331.png (36.77 KB, 下载次数: 1)

下载附件

2022-10-31 22:55 上传

Quicker_20221031_225457.png (67.19 KB, 下载次数: 1)

下载附件

2022-10-31 22:55 上传

可以实时截屏功能，每隔三秒截一次图并发送到主控端。图像等数据保存在了C:\NSFiles目录下，且受到保护，只能使用高权限软件查看并且可以记录使用信息

Quicker_20221031_230116.png (30.29 KB, 下载次数: 1)

下载附件

2022-10-31 23:03 上传

收集信息模块在PCinfo.dll中，向远程服务器上传非常详细的本机信息。硬件设备、系统账号、系统版本、磁盘大小等信息。

Quicker_20221031_230215.png (78.63 KB, 下载次数: 1)

下载附件

2022-10-31 23:03 上传

Quicker_20221031_232150.png (74.49 KB, 下载次数: 1)

下载附件

2022-10-31 23:22 上传

由于之前 分析时把文件 都删除了。所以只留下了这几个信息文件。实则运行一段时间后会有更多的详细文件，包括QQ的使用情况等。
根据网上搜索的信息，该远控的自我保护能力很强，其驱动模块（nFsFlt32.sys、nFsFlt64.sys）创建了进程回调并注册minifilter，用于保护NsecRTS.exe进程不会被结束，用火绒等高权限程序结束进程后又会重新生产新的进程！
其他驱动模块还注册了关机回调，防删除！！！

找到其驱动

Quicker_20221031_231150.png (27.74 KB, 下载次数: 1)

下载附件

2022-10-31 23:12 上传

Quicker_20221031_231247.png (41.49 KB, 下载次数: 1)

下载附件

2022-10-31 23:13 上传

签名文件为“山东安在信息技术有限责任公司”，访问其官网发现是一家专注于终端安全管理系统的信息安全公司。样本应该是ping32终端管理软件的客户端

Quicker_20221031_231703.png (161.99 KB, 下载次数: 2)

下载附件

2022-10-31 23:17 上传

7582f73573ac73811c621b8bd77ecc1d.png (64.55 KB, 下载次数: 2)

下载附件

2022-10-31 23:18 上传

所以总的来说，有心之人得到软件后，破解出来给自己无限使用，通过捆绑或者欺骗用户运行来实现其目的，当然，也可以通过其他渠道得到使用权限，甚至买下来，玩远控。

解决方案（供参考）：
我的解决方案是卸载相关的驱动模块或者结束进程删除文件：（清除内核回调我不会

）
用高权限的软件或工具查看相关的驱动、文件 ，卸载、删除相关的驱动文件 ，删除目录
特别要注意看清楚目录路径,小心直接卸载会有蓝屏风险

Quicker_20221031_233901.png (21.03 KB, 下载次数: 1)

下载附件

2022-10-31 23:42 上传

Quicker_20221031_234459.png (92.16 KB, 下载次数: 2)

下载附件

2022-10-31 23:46 上传

Quicker_20221031_235014.png (79.89 KB, 下载次数: 1)

下载附件

2022-11-1 00:03 上传

C盘下对应的有关nsec 的文件 和文件夹都删除。

启动信息

Quicker_20221101_000722.png (81.6 KB, 下载次数: 1)

下载附件

2022-11-1 00:08 上传

另外某数字社区也给出了方法，大同小异。仅供参考

Quicker_20221101_001331.png (63.24 KB, 下载次数: 1)

下载附件

2022-11-1 00:14 上传

反正要用有高权限 的工具来处理，并且要看清楚路径，至于有没有释放到系统system32或者其他目录下，根据软件不同而不同吧。
最重要的是不要随意点击来源不明的邮件和可执行文件，同时提高个人的安全意识，从而防止隐私信息被盗取的风险！

本人也是今天才得知这个东东，能力有限，分析总结不够深入，且行且珍惜吧。


补充：今天在清理磁盘时候无意发现的被截屏的图片，按日期分类。并有一些加密后的数据文件。图片我的在I:\NSST\SmartSnap目录下，把我写这篇贴子的行为都记录了下来，恐怖！
ps：为了写贴子我也是没有关闭和删除相关文件。

一会工夫就截图了一千九百多张的图片。

Quicker_20221104_140706.png (21.58 KB, 下载次数: 1)

下载附件

2022-11-4 14:14 上传

Quicker_20221104_142119.png (104.49 KB, 下载次数: 1)

下载附件

2022-11-4 14:21 上传

删除就好

然后在写完这篇帖子的第二天，因为我服务器有个弱口令的网页，所以就又被挂马了。服务器还多次提醒扫描到的恶意文件。挂的应该是一句话木马。

Cache_-173b529f02253c68..jpg (14.08 KB, 下载次数: 1)

下载附件

2022-11-4 14:15 上传

想想都觉得后怕。

 

 

image.png (118.3 KB, 下载次数: 7)

下载附件

2022-10-31 22:38 上传

 

免费评分 参与人数 40吾爱币 +36 热心值 +36 理由

wurenxi   + 1   + 1   我很赞同！  

Rumo   + 1   + 1   热心回复！  

hzyh   + 1   + 1   热心回复！  

20141111zhenxi   + 1   + 1   谢谢@Thanks！  

HiMars2023   + 1   + 1   我很赞同！  

Sea2023   + 1   + 1   谢谢@Thanks！  

h0ck     + 1   我很赞同！  

Norkie   + 1     热心回复！  

fbl119   + 1   + 1   谢谢@Thanks！  

huzhiyuan1997   + 1     用心讨论，共获提升！  

坡婆子   + 1   + 1   用心讨论，共获提升！  

SAPLU   + 1   + 1   我很赞同！  

xbdy   + 1   + 1   谢谢@Thanks！  

youseitei   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

ABe00     + 1   谢谢@Thanks！  

SayoYuuki     + 1   用心讨论，共获提升！  

peterpanq     + 1   我很赞同！  

czenmyth   + 1   + 1   谢谢@Thanks！  

落华无痕   + 1   + 1   相关样本看57楼  

hostclsecho   + 1   + 1   我很赞同！  

福仔   + 2   + 1   谢谢@Thanks！  

林伊轩   + 2   + 1   牛!  

skiss   + 1   + 1   谢谢@Thanks！  

ks3887   + 1   + 1   用心讨论，共获提升！  

rjlly   + 1   + 1   谢谢@Thanks！  

烟凌   + 1     用心讨论，共获提升！  

Bluesky10   + 1   + 1   热心回复！  

满不懂   + 1   + 1   谢谢@Thanks！  

ipadx520   + 1   + 1   会有律师函警告吗？  

yuyaoshi   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

poboren   + 1   + 1   我很赞同！  

zhaoqingdz     + 1   用心讨论，共获提升！  

HarryPotter01     + 1   热心回复！  

xiong930626   + 1   + 1   用心讨论，共获提升！  

assa   + 1   + 1   谢谢@Thanks！  

eleven2026   + 1   + 1   热心回复！  

jiaokeer   + 1   + 1   热心回复！  

Wawapj3333   + 1     谢谢@Thanks！  

披星代月   + 1   + 1   谢谢@Thanks！  

癫疯灬博   + 1   + 1   用心讨论，共获提升！  

查看全部评分