وقت القراءة: 4 دقائق
مقدمة من PSIXBOT:
PsiXBot هو حصان طروادة لسرقة البيانات قادر على جمع البيانات السرية وكلمات المرور من كمبيوتر الضحية. يمكنه سرقة ملفات تعريف الارتباط ، واستخراج معلومات تسجيل الدخول / كلمات المرور من تطبيقات مثل Firefox و Microsoft Outlook ، وتسجيل ضغطات مفاتيح الضحية ، والسماح للمجرمين بالعرض / التفاعل مع سطح مكتب الضحية ، ويمكنه أيضًا إضافة كمبيوتر الضحية إلى الروبوتات. غالبًا ما ينتشر عبر مرفقات البريد الإلكتروني المصابة ، وعبر الإعلانات عبر الإنترنت التي تحتوي على الروبوت ، وعبر طرق الهندسة الاجتماعية الأخرى.
ظهر برنامج PsixBot الضار الأصلي في نوفمبر 2017 ولكنه خضع لتطور كبير قبل أن يصل إلى تنسيق تجريبي في عام 2019. ومنذ ذلك الحين تم تطويره بشكل أكبر وهو الآن في الإصدار 1.1.0.4 في فبراير 2020:
تم إنشاء PsixBot في إطار عمل .NET. تأخذك هذه المدونة عبر التكرارات المختلفة لبرنامج PsixBot لتوضيح كيف يقوم مجرمو الإنترنت بتحديث ملفات البرمجيات الخبيثة لتحسين أدائها وميزاتها.
سلوك PsixBot
يغير PsixBot إعدادات شهادة النظام ، والتي تمنحه فعليًا حقوق وصول غير محدودة للمستخدم على الجهاز المضيف:
المفاتيح المضافة:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
تمت إضافة القيم:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
الملفات المضافة:
ج: المستندات والإعدادات المسؤول بيانات التطبيق
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 بيتا
الإصدار الأول من PsixBot الذي يتم تناوله في هذه المدونة هو Beta 1.0.0 مع الفئة الأساسية 11. لكل فصل مهمته الفردية. يتم استخدام الفئات الأساسية التالية في جميع إصدارات PsixBot:
- سيرفرتالك - تُستخدم لتهيئة المتغير العام ، وإنشاء اتصال مع خادم الوحدة الأم ، وإرسال النتائج ذهابًا وإيابًا.
- RunInMemory - تستخدم بالفعل لتنفيذ الملف.
- سسنفو - تُستخدم للحصول على معلومات حول نظام المستخدم ، بما في ذلك اسم برنامج مكافحة الفيروسات ووحدة المعالجة المركزية وإصدار Windows ونوع المستخدم وأذونات المستخدم.
- CatchEndSession - تُستخدم لإنشاء عمليات تشغيل تلقائية مخفية.
- حذف أتريب - تستخدم لقتل النظام برامج الحماية من الفيروساتو Windows Explorer وأي تنبيهات بأخطاء النظام.
- IsAdmin - تستخدم لتولي عضوية مجموعة الإدارة.
- IsVm - يكتشف وجود أي أجهزة افتراضية.
- ResolveBit - تستخدم لحل طلبات DNS من المستخدم.
- RC4 - الخوارزمية المستخدمة لتشفير وفك تشفير البيانات.
- تثبيت - يقوم بتثبيت ملف bot وإعداد وحدات الحماية والتحديث الخاصة بالملف.
نسخة 1.0.2
احتفظ الإصدار Beta 1.0.2 بوظائف الفئة الأساسية للإصدار الأول ، لكنه أعاد تسمية بعض الفئات على النحو التالي:
- سيرفر توك - أعيدت تسميته باسم CpWorker
- RunInMemory - أعيدت تسميته باسم وحدات الذاكرة
- SysInfo - أعيدت تسميته باسم مساعد النظام
... وإضافة الفصل التالي:
- عامل DNS - تُستخدم للحصول على إدخال المضيف وإجراء اختبار اتصال للمضيف للتحقق مما إذا كان قد انتهى أم لا.
نسخة 1.1
احتفظ الإصدار 1.1 مرة أخرى بنفس بنية الفئة السابقة ولكنه أضاف المهمة التالية إلى قائمة الميزات:
- Forfg - تستخدم للحصول على المسار إلى متغير temp ، قم بتعيين دليل DLL واكتبه في ملف .dat:
نسخة 1.1.0.2
شهد الإصدار 1.1.0.2 تحديثًا تم بموجبه أن يكون ملف فورفج تم دمج الميزة مع قائمة الميزات الأخرى. بقيت جميع الطبقات والأنشطة الأخرى على حالها.
نسخة 1.1.0.4
مرة أخرى ، بقيت الفئات الأساسية كما هي في الإصدار السابق ولكن مع إضافة الفئة التالية ، المهمة
- GzipWebClient - تُستخدم لفك ضغط أي ملفات Gzip تم تنزيلها بواسطة الروبوت:
تحديثات قائمة الميزات
عراف - استدعاء وظيفة مؤشر الترابط المستخدمة لتشغيل الملف وتشغيله الذاكرة (RunInMemory).
مفتاح بوت - يحتوي PsixBot على كود ثابت مشتركمفتاح d في جميع الإصدارات:
أنشطة الشبكة- يستخدم PsixBot في البداية Google DNS ثم يتواصل لاحقًا مع DNS الخاص به:
الوحدات الأساسية لكل إصدار
FeautersList لكل إصدار
ازدحام انترنت
يتصل PsixBot مبدئيًا بـ Google DNS ثم يتصل بخادم DNS الخاص به على Greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
وظيفة إصدارات PSIXBOT ظهرت للمرة الأولى على أخبار كومودو ومعلومات أمن الإنترنت.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- من نحن
- الوصول
- أنشطة
- وأضاف
- إضافة
- مشرف
- خوارزمية
- الكل
- تحليل
- الحماية من الفيروسات
- في أى مكان
- التطبيقات
- قبل
- بيتا
- اسود
- حظر
- المدونة
- أحذية طويلة
- الروبوتات
- قادر على
- شهادة
- فئة
- فصول
- الجمع بين
- مشترك
- الكمبيوتر
- صلة
- باستمرار
- ملفات تعريف الارتباط ( الكوكيز )
- جوهر
- خلق
- المجرمين
- حاليا
- البيانات
- سطح المكتب
- المتقدمة
- التطوير التجاري
- العرض
- DNS
- وثائق
- كل
- البريد الإلكتروني
- الهندسة
- الميزات
- المميزات
- ٣١ يناير
- برنامج فايرفوكس
- الاسم الأول
- متابعيك
- متابعات
- شكل
- الإطار
- مجانًا
- تبدأ من
- وظيفة
- وظيفة
- إضافي
- ولدت
- العالمية
- شراء مراجعات جوجل
- تجمع
- اﻟﺤﺼﺎد
- كيفية
- HTTPS
- صورة
- أهمية
- تحسن
- بما فيه
- فرد
- معلومات
- Internet
- الإنترنت الأمن
- IT
- القفل
- قائمة
- آلة
- الآلات
- البرمجيات الخبيثة
- عضوية
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- طرق
- مایکروسافت
- أكثر
- صاف
- شبكة
- أخبار
- online
- أخرى
- بريد اوتلوك
- الخاصة
- كلمات السر
- أداء
- بينغ
- وجود
- سابق
- سجل
- بقي
- طلبات
- النتائج
- يجري
- نفسه
- أمن
- طقم
- هام
- منذ
- العدالة
- هندسة اجتماعية
- بعض
- انتشار
- معيار
- المدرجات
- نظام
- •
- عبر
- الوقت
- حركة المرور
- حصان طروادة
- غير محدود
- تحديث
- مختلف
- الإصدار
- افتراضي
- سواء
- نوافذ