疑似主机被入侵,发现存疑文件,望师傅们分析分析

2023-04-11 17:46:15 55 7051
事情的起因是,在进程中发现了一个NSecRTS.exe的进程,怎么也杀不掉,并且pid一直在变换,网上搜了一下,发现了几个几年前的文章《彻底解决NSEC病毒》《NSecRTS.exe可疑程序操作,进程无法关闭》等,于是怀疑自己安乱七八糟的工具被上线了;
追到目录后发现可疑文件目录被设置了隐藏属性,之后在进程的路径,执行“attrib -s -h -r Nsec”,将隐藏的文件显示出来,着急忙慌的就给删除了,忘了留个完整的副本;
目录中还有一个NSecHW.exe文件,还以为是哪位师傅护网期间钓鱼的作品,之后分析出应该是HardWare的缩写;
上传了其中三个文件到微步,发现在我上传之前就已经存在:
(1)https://s.threatbook.com/report/file/acb4b14bf9ec8ccb929bc2543de57cfec12699b6e86ce3300e8a8dbd2c5622b5
(2)https://s.threatbook.com/report/file/2af4234cb3beb048a48e7e32a751c8c788c8d60cdb8968ffd9683251d27709be
(3)https://s.threatbook.com/report/file/6ef901dee4d10bab732c23e318008f01fe2f593df2ac225fad8c90512c7905ab
-----------------------------------------------------------------
简单分析出几点:
(1)在C盘各种地方释放了大量文件,并且全部都是隐藏属性;
(2)进行了识别杀软、防删除、自启动、信息搜集、释放文件、注入explorer进程、读取终端服务密钥等行为,疑似使用腾讯云存储隐藏恶意ip;
(3)从2023-02-17存在于我的电脑中,一直存活到2023-03-22才被我发现(平时不注意防护和检查);
(4)获取了我主机的大量信息,包括安装的软件、运行的进程、连接过的wifi、我访问过的一些网站等大量信息(保存在了C:/ProgramFile(x86)/CommonFiles/NSEC/data/下);
(5)操作了我的微信文件,但并不知道具体操作了哪些(在C:\NSEC\Debug\Log\目录下发现了WeChat.exe-user_2023-03-22.xml日志文件,两个dll文件在我电脑中执行成功<imCed.dll、imDec2.dll>);
(6)C盘一直在生成一个NSec文件,追踪到注册表后发现NSecsoft值(安在软件?,我记忆里应该没安装过他们的软件);
(7)事件在网上已经有过案例,但关注的不多,奇安信威胁情报中心曾经有过事件描述(https://ti.qianxin.com/blog/articles/genuine-surveillance-software-used-by-hackers/);
(8)发现恶意ip:124.222.15.51,(微步评论:利用NSecRTS进行远控,并远程窃取信息。每3s截图一次上传);
-----------------------------------------------------------------
至今我也不知道这是从哪个原始程序释放出来的,也不是很清楚具体收集了哪些信息,师傅们感兴趣可以分析一下,大部分文件都放在样本附件里了(删除了一些被存储的主机信息和db文件);
百度云链接:https://pan.baidu.com/s/1uScwavbbkjZdr2CSBxbxgQ?pwd=0411
upload.ee链接:https://www.upload.ee/files/15107426/NSec__.rar.html
-----------------------------------------------------------------
如果也有类似的情况,可以排查以下目录:
C:\NSEC
C:\NSFiles
C:\NSST
C:\Program Files (x86)\Common Files\NSEC
C:\Program Files\Common Files\NSEC
C:\Program Files ( x86)\Cached Backup
C:\Program Files (x86)\Microsoft\NSEC
C:\Windows\System32\drivers\nFsFlt64.sys
C:\Windows\System32\drivers\nsprotocolfilter.sys

关于作者

Anonymous0篇文章0篇回复

We are Anonymous!

评论55次

要评论?请先  登录  或  注册
  • 15楼
    2023-4-12 09:14

    作为这块从业人员,自身的安全防护也还是要多注意点

  • 14楼
    2023-4-12 01:04

    桿,看完了这篇,赶快去把我的电脑从里到外检测了一遍。

  • 13楼
    2023-4-12 00:02

    窃取信息。每3s截图一次上传,这个就确实猛了啊,发现之后是不是特别慌

  • 12楼
    2023-4-11 23:44

    楼主是不是瞬间没有安全感了。。被监控了那么久。。 看完文章计划明天就重装电脑,确实对很多github工具都没有戒备心。

  • 11楼
    2023-4-11 22:14

    重头再来 或搞个冰点或影子

  • 10楼
    2023-4-11 22:13

    运行这些都在虚拟机里搞啊,个人,工作,测试 物理隔离

  • 9楼
    2023-4-11 21:06

    怕是用了什么捆绑了恶意软件的,直接回炉重装吧

  • 8楼
    2023-4-11 19:32

    有没有高位端口的开放情况

  • 7楼
    2023-4-11 19:16
    lguang16

    时不时的重装下xi统还是有好处的~

    1

    已经准备回炉重造了

  • 6楼
    2023-4-11 19:13
    PeterLee

    这个安在软件就是来监控你的,本意是监控员工,被搞黑产的拿去做恶意远控了。驱动级的,一般人还发现不了。至于微信可以监控聊天信息,你在电脑上聊啥别人都知道。

    1
    Anonymous

    在印象里,我也没有装过他们公司的软件

    2
    PeterLee

    那你想想有没有运行过来路不明的文件

    3

    太多了,github上的工具用过的就数不清了

  • 5楼
    2023-4-11 19:08
    PeterLee

    这个安在软件就是来监控你的,本意是监控员工,被搞黑产的拿去做恶意远控了。驱动级的,一般人还发现不了。至于微信可以监控聊天信息,你在电脑上聊啥别人都知道。

    1
    Anonymous

    在印象里,我也没有装过他们公司的软件

    2

    那你想想有没有运行过来路不明的文件

  • 4楼
    2023-4-11 19:07

    时不时的重装下xi统还是有好处的~

  • 3楼
    2023-4-11 19:05
    PeterLee

    这个安在软件就是来监控你的,本意是监控员工,被搞黑产的拿去做恶意远控了。驱动级的,一般人还发现不了。至于微信可以监控聊天信息,你在电脑上聊啥别人都知道。

    1

    在印象里,我也没有装过他们公司的软件

  • 2楼
    2023-4-11 18:28

    反打这个恶意的IP地址(DDoS),让对方也知道你不是吃素的。

  • 1楼
    2023-4-11 18:09

    这个安在软件就是来监控你的,本意是监控员工,被搞黑产的拿去做恶意远控了。驱动级的,一般人还发现不了。至于微信可以监控聊天信息,你在电脑上聊啥别人都知道。