Lesezeit: 4 Minuten
Einführung von PSIXBOT:
PsiXBot ist ein Trojaner, der Daten stiehlt und vertrauliche Daten und Passwörter vom Computer eines Opfers abrufen kann. Es kann Cookies stehlen, Anmeldungen / Passwörter aus Anwendungen wie Firefox und Microsoft Outlook extrahieren, die Tastenanschläge des Opfers aufzeichnen, Kriminellen die Remote-Anzeige / Interaktion mit dem Desktop des Opfers ermöglichen und sogar den Computer des Opfers einem Botnetz hinzufügen. Es wird am häufigsten über infizierte E-Mail-Anhänge, über Online-Anzeigen, die den Bot enthalten, und über andere Social-Engineering-Methoden verbreitet.
Die ursprüngliche PsixBot-Malware ist im November 2017 aufgetaucht, wurde jedoch vor ihrer Einführung im Beta-Format im Jahr 2019 erheblich weiterentwickelt. Seitdem wurde sie weiterentwickelt und befindet sich derzeit im Februar 1.1.0.4 in Version 2020:
PsixBot wurde im .NET-Framework generiert. Dieser Blog führt Sie durch die verschiedenen Iterationen von PsixBot, um zu veranschaulichen, wie Online-Kriminelle ihre ständig aktualisieren Malware um seine Leistung und Funktionen zu verbessern.
Verhalten von PsixBot
PsixBot ändert die Systemzertifikateinstellungen, wodurch praktisch unbegrenzte Benutzerzugriffsrechte auf dem Hostcomputer gewährt werden:
Schlüssel hinzugefügt:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Werte hinzugefügt:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Dateien hinzugefügt:
C: Dokumente und EinstellungenAdministrator-Anwendungsdaten
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Die erste Version von PsixBot, die in diesem Blog behandelt wird, ist Beta 1.0.0 mit der Kernklasse 11. Jede Klasse hat ihre eigene Aufgabe. Die folgenden Grundklassen werden in allen Versionen von PsixBot verwendet:
- Servertalk - Wird verwendet, um die globale Variable zu initialisieren, die Verbindung zum Mutterschiffsserver herzustellen und Ergebnisse hin und her zu senden.
- RunInMemory - wird verwendet, um die Datei tatsächlich auszuführen.
- SysInfo - Wird verwendet, um Informationen über das System des Benutzers abzurufen, einschließlich Antiviren-Name, CPU, Windows-Version, Benutzertyp und Benutzerberechtigungen.
- CatchEndSession - wird verwendet, um versteckte Autoruns zu erstellen.
- DeleteAttrib – verwendet, um das System zu beenden Antivirus-Software, Windows Explorer und alle Systemfehlerwarnungen.
- IsAdmin - Wird verwendet, um die Mitgliedschaft in der Administratorgruppe zu übernehmen.
- IsVm - Erkennt das Vorhandensein virtueller Maschinen.
- ResolveBit - wird verwendet, um DNS-Anforderungen des Benutzers aufzulösen.
- RC4 - der Algorithmus zum Ver- und Entschlüsseln von Daten.
- Installieren - Installiert die Bot-Datei und richtet die Sicherheits- und Aktualisierungsmodule der Datei ein.
Version 1.0.2
Beta 1.0.2 behielt die grundlegende Klassenfunktionalität der ersten Version bei, benannte jedoch einige der Klassen wie folgt um:
- ServerTalk - umbenannt in CpWorker
- RunInMemory - umbenannt in SpeichermoduleWorker
- SysInfo - umbenannt in SysHelper
… Und fügte die folgende Klasse hinzu:
- DNSWorker - Wird verwendet, um den Hosteintrag abzurufen und den Host anzupingen, um zu überprüfen, ob er aktiv ist oder nicht.
Version 1.1
Version 1.1 behielt wieder die gleiche Klassenstruktur wie ihr Vorgänger bei, fügte jedoch der Funktionsliste die folgende Aufgabe hinzu:
- Forfg - Wird verwendet, um den Pfad zur temporären Variablen abzurufen, das DLL-Verzeichnis festzulegen und in eine DAT-Datei zu schreiben:
Version 1.1.0.2
In Version 1.1.0.2 wurde ein Update durchgeführt, bei dem die FORFG Feature wurde mit der anderen Feature-Liste kombiniert. Alle anderen Klassen und Aktivitäten blieben gleich.
Version 1.1.0.4
Auch hier blieben die Grundklassen die gleichen wie in der vorherigen Version, jedoch mit der folgenden wichtigen Klasse
- GzipWebClient - Dient zum Dekomprimieren aller vom Bot heruntergeladenen Gzip-Dateien:
Aktualisierungen der Funktionsliste
Threader - Rufen Sie die Thread-Funktion auf, mit der die Datei ausgeführt wird, und führen Sie sie im Speicher aus (RunInMemory).
Bot-Schlüssel - PsixBot hat einen gemeinsamen Hardcoded Geben Sie alle Versionen ein:
Netzwerkaktivitäten- PsixBot verwendet zunächst Google DNS und kommuniziert später mit seinem eigenen DNS:
Kernmodule pro Version
FeautersList pro Version
Netzwerktraffic
PsixBot stellt zunächst eine Verbindung zu Google DNS her und stellt dann eine Verbindung zu seinem eigenen DNS-Server unter her greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
Die Post VERSIONEN VON PSIXBOT erschien zuerst auf Comodo News und Internet-Sicherheitsinformationen.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Über uns
- Zugang
- Aktivitäten
- hinzugefügt
- Zusatz
- Administrator
- Algorithmus
- Alle
- Analyse
- Antivirus
- von jedem Standort
- Anwendungen
- Bevor
- Beta
- Schwarz
- Blockieren
- Blog
- Wander- und Outdoorschuhen
- Botnet
- fähig
- Bescheinigung
- Klasse
- Unterricht
- kombiniert
- gemeinsam
- Computer
- Verbindung
- ständig
- Cookies
- Kernbereich
- erstellen
- Criminals
- Zur Zeit
- technische Daten
- Desktop
- entwickelt
- Entwicklung
- Display
- dns
- Unterlagen
- jeder
- Entwicklung
- Merkmal
- Eigenschaften
- Februar 2020
- Firefox
- Vorname
- Folgende
- folgt
- Format
- Unser Ansatz
- Frei
- für
- Funktion
- Funktionalität
- weiter
- erzeugt
- Global
- Gruppe an
- Ernte
- Ultraschall
- HTTPS
- Image
- wichtig
- zu unterstützen,
- Einschließlich
- Krankengymnastik
- Information
- Internet
- Internet Security
- IT
- Wesentliche
- Liste
- Maschine
- Maschinen
- Malware
- Mitgliedschaft
- Memory
- Methoden
- Microsoft
- vor allem warme
- Netto-
- Netzwerk
- News
- Online
- Andere
- Outlook
- besitzen
- Passwörter
- Leistung
- Klingeln
- Präsenz
- früher
- Rekord
- blieb
- Zugriffe
- Die Ergebnisse
- Führen Sie
- gleich
- Sicherheitdienst
- kompensieren
- signifikant
- da
- Social Media
- Soziale Technik
- einige
- Verbreitung
- Standard
- steht
- System
- Das
- Durch
- Zeit
- der Verkehr
- Trojan
- unbegrenzt
- Aktualisierung
- verschiedene
- Version
- Assistent
- ob
- Fenster