Χρόνος διαβασματός: 4 πρακτικά
Εισαγωγή του PSIXBOT:
Το PsiXBot είναι ένα trojan που κλέβει δεδομένα, ικανό να συλλέγει εμπιστευτικά δεδομένα και κωδικούς πρόσβασης από τον υπολογιστή του θύματος. Μπορεί να κλέψει cookies, να εξάγει στοιχεία σύνδεσης/κωδικούς πρόσβασης από εφαρμογές όπως το Firefox και το Microsoft Outlook, να καταγράφει τις πληκτρολογήσεις του θύματος, να επιτρέπει στους εγκληματίες να βλέπουν/αλληλεπιδρούν εξ αποστάσεως με τον επιτραπέζιο υπολογιστή του θύματος και μπορεί ακόμη και να προσθέτει τον υπολογιστή του θύματος σε ένα botnet. Τις περισσότερες φορές μεταδίδεται μέσω μολυσμένων συνημμένων ηλεκτρονικού ταχυδρομείου, μέσω διαδικτυακών διαφημίσεων που περιέχουν το bot και μέσω άλλων μεθόδων κοινωνικής μηχανικής.
Το αρχικό κακόβουλο λογισμικό PsixBot εμφανίστηκε τον Νοέμβριο του 2017, αλλά υποβλήθηκε σε σημαντική ανάπτυξη προτού φτάσει σε μορφή beta το 2019. Έκτοτε έχει αναπτυχθεί περαιτέρω και επί του παρόντος βρίσκεται στην έκδοση 1.1.0.4 τον Φεβρουάριο του 2020:
Το PsixBot δημιουργήθηκε σε πλαίσιο .NET. Αυτό το ιστολόγιο σας οδηγεί στις διάφορες επαναλήψεις του PsixBot για να δείξετε πώς οι διαδικτυακοί εγκληματίες ενημερώνουν συνεχώς malware για τη βελτίωση της απόδοσης και των δυνατοτήτων του.
Συμπεριφορά του PsixBot
Το PsixBot αλλάζει τις ρυθμίσεις του πιστοποιητικού συστήματος, γεγονός που του παρέχει ουσιαστικά απεριόριστα δικαιώματα πρόσβασης χρήστη στον κεντρικό υπολογιστή:
Κλειδιά που προστέθηκαν:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Προστιθέμενες αξίες:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Προστέθηκαν αρχεία:
C:Documents and SettingsAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
Η πρώτη έκδοση του PsixBot που καλύπτεται σε αυτό το ιστολόγιο είναι η Beta 1.0.0 με την βασική κλάση 11. Κάθε τάξη έχει την ατομική της αποστολή. Οι ακόλουθες βασικές κλάσεις χρησιμοποιούνται σε όλες τις εκδόσεις του PsixBot:
- Servertalk – χρησιμοποιείται για την προετοιμασία της καθολικής μεταβλητής, τη δημιουργία της σύνδεσης με τον διακομιστή μητρότητας και την αποστολή αποτελεσμάτων εμπρός και πίσω.
- RunInMemory – χρησιμοποιείται για την πραγματική εκτέλεση του αρχείου.
- Sysinfo – χρησιμοποιείται για τη λήψη πληροφοριών σχετικά με το σύστημα του χρήστη, συμπεριλαμβανομένου του ονόματος προστασίας από ιούς, της CPU, της έκδοσης των Windows, του τύπου χρήστη και των δικαιωμάτων χρήστη.
- CatchEndSession – χρησιμοποιείται για τη δημιουργία κρυφών autoruns.
- DeleteAttrib – χρησιμοποιείται για να σκοτώσει το σύστημα λογισμικό προστασίας από ιούς, την Εξερεύνηση των Windows και τυχόν ειδοποιήσεις σφάλματος συστήματος.
- IsAdmin – χρησιμοποιείται για την ανάληψη ιδιότητας μέλους της ομάδας διαχειριστή.
- IsVm – ανιχνεύει την παρουσία οποιωνδήποτε εικονικών μηχανών.
- ResolveBit – χρησιμοποιείται για την επίλυση αιτημάτων DNS από τον χρήστη.
- RC4 – ο αλγόριθμος που χρησιμοποιείται για την κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων.
- εγκαταστήστε – εγκαθιστά το αρχείο bot και ρυθμίζει τις μονάδες ασφαλείας και ενημέρωσης του αρχείου.
Έκδοση 1.0.2
Η Beta 1.0.2 διατήρησε τη βασική λειτουργικότητα κατηγορίας της πρώτης έκδοσης, αλλά μετονόμασε ορισμένες από τις κλάσεις ως εξής:
- ServerTalk - μετονομάστηκε ως CpWorker
- RunInMemory - μετονομάστηκε ως MemoryModulesWorker
- SysInfo - μετονομάστηκε ως SysHelper
… και πρόσθεσε την ακόλουθη τάξη:
- DNSWorker – χρησιμοποιείται για τη λήψη της καταχώρισης κεντρικού υπολογιστή και ping στον κεντρικό υπολογιστή για να ελέγξετε εάν είναι ενεργοποιημένος ή όχι.
Έκδοση 1.1
Η έκδοση 1.1 διατήρησε και πάλι την ίδια δομή κλάσης με την προκάτοχό της, αλλά πρόσθεσε την ακόλουθη εργασία στη λίστα χαρακτηριστικών:
- Forfg - χρησιμοποιείται για να λάβετε τη διαδρομή προς τη μεταβλητή temp, ορίστε τον κατάλογο DLL και γράψτε τον σε ένα αρχείο .dat:
Έκδοση 1.1.0.2
Η έκδοση 1.1.0.2 είδε μια ενημέρωση σύμφωνα με την οποία το FORFG το χαρακτηριστικό συνδυάστηκε με τη λίστα άλλων χαρακτηριστικών. Όλες οι άλλες τάξεις και δραστηριότητες παρέμειναν ίδιες.
Έκδοση 1.1.0.4
Και πάλι, οι βασικές τάξεις παρέμειναν ίδιες με την προηγούμενη έκδοση αλλά με την προσθήκη της παρακάτω, σημαντικής, κατηγορίας
- GzipWebClient – χρησιμοποιείται για την αποσυμπίεση τυχόν αρχείων Gzip που έχουν ληφθεί από το bot:
Ενημερώσεις λίστας δυνατοτήτων
Threader - Καλέστε τη συνάρτηση νήματος που χρησιμοποιείται για την εκτέλεση του αρχείου και εκτελέστε τη μνήμη του (RunInMemory).
Κλειδί Bot - Το PsixBot έχει έναν κοινό, σκληρό κώδικακλειδί d σε όλες τις εκδόσεις:
Δραστηριότητες Δικτύου– Το PsixBot αρχικά χρησιμοποιεί το Google DNS και στη συνέχεια επικοινωνεί με το δικό του DNS:
Βασικές ενότητες ανά έκδοση
FeautersList ανά έκδοση
Κυκλοφορία δικτύου
Το PsixBot αρχικά συνδέεται με το Google DNS και στη συνέχεια συνδέεται με τον δικό του διακομιστή DNS στο greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
ΔΟΕ
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
Ο ορθοστάτης ΕΚΔΟΣΕΙΣ ΤΟΥ PSIXBOT εμφανίστηκε για πρώτη φορά σε Comodo Ειδήσεις και Πληροφορίες Ασφάλειας Διαδικτύου.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Σχετικά
- πρόσβαση
- δραστηριοτήτων
- προστιθέμενη
- Επιπλέον
- διαχειριστής
- αλγόριθμος
- Όλα
- ανάλυση
- προστασίας από ιούς
- οπουδήποτε
- εφαρμογές
- πριν
- βήτα
- Μαύρη
- Αποκλεισμός
- Blog
- Bot
- botnet
- ικανός
- πιστοποιητικό
- τάξη
- τάξεις
- σε συνδυασμό
- Κοινός
- υπολογιστή
- σύνδεση
- συνεχώς
- μπισκότα
- πυρήνας
- δημιουργία
- Εγκληματίες
- Τη στιγμή
- ημερομηνία
- επιφάνεια εργασίας
- αναπτύχθηκε
- Ανάπτυξη
- Display
- dns
- έγγραφα
- κάθε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Μηχανική
- Χαρακτηριστικό
- Χαρακτηριστικά
- Φεβρουάριος 2020
- Firefox
- Όνομα
- Εξής
- εξής
- μορφή
- Πλαίσιο
- Δωρεάν
- από
- λειτουργία
- λειτουργικότητα
- περαιτέρω
- παράγεται
- Παγκόσμιο
- Group
- συγκομιδή
- Πως
- HTTPS
- εικόνα
- σημαντικό
- βελτίωση
- Συμπεριλαμβανομένου
- ατομικές
- πληροφορίες
- Internet
- Ασφάλεια στο Διαδίκτυο
- IT
- Κλειδί
- Λίστα
- μηχανή
- μηχανήματα
- malware
- ιδιότητα του μέλους
- Μνήμη
- μέθοδοι
- Microsoft
- πλέον
- καθαρά
- δίκτυο
- νέα
- διαδικτυακά (online)
- ΑΛΛΑ
- θέα
- δική
- Κωδικοί πρόσβασης
- επίδοση
- ping σε
- παρουσία
- προηγούμενος
- ρεκόρ
- παρέμεινε
- αιτήματα
- Αποτελέσματα
- τρέξιμο
- ίδιο
- ασφάλεια
- σειρά
- σημαντικός
- αφού
- Μ.Κ.Δ
- Κοινωνική μηχανική
- μερικοί
- διάδοση
- πρότυπο
- στέκεται
- σύστημα
- Η
- Μέσω
- ώρα
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Trojan
- απεριόριστες
- Ενημέρωση
- διάφορα
- εκδοχή
- Πραγματικός
- αν
- παράθυρα