疑似主机被入侵,发现存疑文件,望师傅们分析分析

2023-04-11 17:46:15 55 7049
事情的起因是,在进程中发现了一个NSecRTS.exe的进程,怎么也杀不掉,并且pid一直在变换,网上搜了一下,发现了几个几年前的文章《彻底解决NSEC病毒》《NSecRTS.exe可疑程序操作,进程无法关闭》等,于是怀疑自己安乱七八糟的工具被上线了;
追到目录后发现可疑文件目录被设置了隐藏属性,之后在进程的路径,执行“attrib -s -h -r Nsec”,将隐藏的文件显示出来,着急忙慌的就给删除了,忘了留个完整的副本;
目录中还有一个NSecHW.exe文件,还以为是哪位师傅护网期间钓鱼的作品,之后分析出应该是HardWare的缩写;
上传了其中三个文件到微步,发现在我上传之前就已经存在:
(1)https://s.threatbook.com/report/file/acb4b14bf9ec8ccb929bc2543de57cfec12699b6e86ce3300e8a8dbd2c5622b5
(2)https://s.threatbook.com/report/file/2af4234cb3beb048a48e7e32a751c8c788c8d60cdb8968ffd9683251d27709be
(3)https://s.threatbook.com/report/file/6ef901dee4d10bab732c23e318008f01fe2f593df2ac225fad8c90512c7905ab
-----------------------------------------------------------------
简单分析出几点:
(1)在C盘各种地方释放了大量文件,并且全部都是隐藏属性;
(2)进行了识别杀软、防删除、自启动、信息搜集、释放文件、注入explorer进程、读取终端服务密钥等行为,疑似使用腾讯云存储隐藏恶意ip;
(3)从2023-02-17存在于我的电脑中,一直存活到2023-03-22才被我发现(平时不注意防护和检查);
(4)获取了我主机的大量信息,包括安装的软件、运行的进程、连接过的wifi、我访问过的一些网站等大量信息(保存在了C:/ProgramFile(x86)/CommonFiles/NSEC/data/下);
(5)操作了我的微信文件,但并不知道具体操作了哪些(在C:\NSEC\Debug\Log\目录下发现了WeChat.exe-user_2023-03-22.xml日志文件,两个dll文件在我电脑中执行成功<imCed.dll、imDec2.dll>);
(6)C盘一直在生成一个NSec文件,追踪到注册表后发现NSecsoft值(安在软件?,我记忆里应该没安装过他们的软件);
(7)事件在网上已经有过案例,但关注的不多,奇安信威胁情报中心曾经有过事件描述(https://ti.qianxin.com/blog/articles/genuine-surveillance-software-used-by-hackers/);
(8)发现恶意ip:124.222.15.51,(微步评论:利用NSecRTS进行远控,并远程窃取信息。每3s截图一次上传);
-----------------------------------------------------------------
至今我也不知道这是从哪个原始程序释放出来的,也不是很清楚具体收集了哪些信息,师傅们感兴趣可以分析一下,大部分文件都放在样本附件里了(删除了一些被存储的主机信息和db文件);
百度云链接:https://pan.baidu.com/s/1uScwavbbkjZdr2CSBxbxgQ?pwd=0411
upload.ee链接:https://www.upload.ee/files/15107426/NSec__.rar.html
-----------------------------------------------------------------
如果也有类似的情况,可以排查以下目录:
C:\NSEC
C:\NSFiles
C:\NSST
C:\Program Files (x86)\Common Files\NSEC
C:\Program Files\Common Files\NSEC
C:\Program Files ( x86)\Cached Backup
C:\Program Files (x86)\Microsoft\NSEC
C:\Windows\System32\drivers\nFsFlt64.sys
C:\Windows\System32\drivers\nsprotocolfilter.sys

关于作者

Anonymous0篇文章0篇回复

We are Anonymous!

评论55次

要评论?请先  登录  或  注册