03.08.2018 22:24
Occul
 
Видимо, осенью запахло, очередное обострение. В прошлый раз после нескольких скандалов с падающим софтом программу слежки убрали. Ну, вот и опять. Долго я ковырялся, чтобы как-то оживить свою древнюю машинку, но безы обломили. Без включенной кучи сервисов не работала их слежка "Стахановец", о которой будет речь в этой теме. Сервисы я запустил. Машина встала раком и после установки еще и сервиса StkhClientService виртуально завыла от натуги. Каждый чих теперь соскребается с винта в течение нескольких секунд. Суть - запуск stkhcl32.dll из System32. По этой DLL программу "Стахановец" и очень легко обнаружить.

Возможности программы

Цитата:
"Стахановец" – это ПО, позволяющее руководителю отслеживать деятельность своих сотрудников. При помощи программы можно удаленно смотреть рабочий стол сотрудника, делать скриншоты, снимки через веб-камеру, отслеживать интернет-трафик, контролировать, что идет на печать, мониторить буфер обмена, контролировать и при необходимости блокировать USB-устройства.

В функциях программы также значатся: контроль присутствия и активности сотрудников, учет времени работы, анализ клавиатурного почерка, выявление автора документа, сотрудников в состоянии алкогольного опьянения. Также программа умеет мониторить звуковые переговоры в мессенджерах, фиксировать все файловые операции: запись, редактирование, копирование и т.д. В общем, полный контроль над компьютером сотрудника и всем, что он на нем делает.
В общем - мечта вуайериста. Я не знаю, каким больным надо быть, чтобы часами разглядывать скрины и написанное сотрудником. Либо босс действительно вопросы решает, либо задрачивает сотрудников какой-то хренью со скринами. Мое мнение, сотрудник либо работает и справляется с обязанностями, т.е. от регулярно получают какие-то положительные и своевременные результаты, либо никакие скрины и прочее не помогут. А такой софт меня лично, трудоголика с большим стажем, дико бесит, как и простое подглядывание из-за спины в экран без приглашения, чем бы я не был занят.

Так мало того, оно теперь еще и тормозит за гранью гуманности. В общем, сделал
Код:
sc delete StkhClientService
в запале, если будут доставать - уволюсь, пусть пустое кресло наблюдают, запуская процесс текучки кадров. Если у кого-то есть идеи, как противодействовать такому говнософту - прошу озвучить.

P.S. Запачкали имя Алексея Григорьевича, уроды.
08.03.2019 14:12
Occul
 
Продолжаю разбираться со "Стахановцем". Интересная особенность, при том, что программа может использоваться для шпионажа, взлома и воровства информации, ее не ловит ни один антивирус!
Вот, Virustotal:

Кстати, разработчик подстраховался и обязал использовать софт только в видимом режиме... Догадайтесь, как его используют на самом деле...



Последний раз редактировалось Occul; 08.03.2019 в 14:17.
08.03.2019 14:18
Occul
 
Видимый вариант при логоне пользователя сообщает окошком

08.03.2019 14:23
Occul
 
Порт сервера по умолчанию 4744.
Кстати, еще одно обстоятельство, на самом форуме "Стахановца" люди жалуются на то, что кто-то нелегально использует эту дрянь в их локальной сети. Просили помочь расследовать... Тишина была ответом... Вот ссылка
Учитывая, что антивирусы дрянь не ловят, для неподготовленных администраторов это может быть большим сюрпризом.

В целом же их "форум" сводится к тому, что всех публично обращающихся за помощью отфутболивают "мы написали вам лично", хотя неоднократно встречал просьбы "напишите прямо здесь", такое подозрение, что жалующихся просто банят.
08.03.2019 14:25
Occul
 
Обнаружить запущенного на машине скрытую клиентскую часть "Стахановца" очень просто

Код:
sc qc StkhClientService
sc query StkhClientService
08.03.2019 14:26
Occul
 
Хакер же может смотреть окна с заголовками и список процессов, в т.ч. скрытые


Программа дает трогательные подсказки
08.03.2019 14:28
Occul
 
Если за вами кто-то подглядывает в режиме реального времени, то это заметно по потреблению CPU процессом "Хост-процесс Windows (Rundll32)", что видно в диспетчере задач



Изображение при этом передается буферно, рывками, независимо от скорости сети. Видимо частота кадров где-то около 1 в секунду.
08.03.2019 14:37
Occul
 
У программы есть возможность выполнить блокировку компьютера. Ее легко обойти, просто перезагрузив компьютер. В целом же программа создает впечатление работы студентов-первокурсников.

Для того, чтобы можно было в автомате определять работает сотрудник или нет, необходимо долго и муторно настраивать списки программ. В противном случае у меня, например, большая часть активности записывается в "Другое".

Онлайн-отчеты вообще ни о чем и мало для чего годятся, только непосредственно для подглядывания. Причем, при количестве компов от 10 штук придется перейти к попеременному подглядыванию за каждым. Экраны всех на монитор тупо не влезают. Оффлайновые отчеты каждый раз пересоздаются как-то странно и кешируются, несмотря на изменение данных. Мне для теста пришлось снимать и ставить галочку на каком-то из параметров, чтобы увидеть изменения.
08.03.2019 14:38
Occul
 
Ошибается в перечислении активности программ




ParkDale был просто открыт на старте. Т.е. активность - это не пользователя, а просто активное окно.

Суть отчетов БОСС-оффлайн позволяет максимум что сделать - отследить, когда пользователь пришел, когда ушел, и проследить ленту скриншотов. Выделение событий, как таковое, у меня так и не заработало.
08.03.2019 14:39
Occul
 
Очень интересная фича сбора паролей…





После такого я бы однозначно выгнал бы взашей тех, кто рискнет использовать подобный шлак на предприятии...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.