Tiempo de leer: 4 minutos
Introducción de PSIXBOT:
PsiXBot es un troyano que roba datos y es capaz de recolectar datos confidenciales y contraseñas de la computadora de la víctima. Puede robar cookies, extraer inicios de sesión / contraseñas de aplicaciones como Firefox y Microsoft Outlook, grabar las pulsaciones de teclas de la víctima, permitir que los delincuentes vean / interactúen de forma remota con el escritorio de la víctima e incluso puede agregar la computadora de la víctima a una botnet. Con mayor frecuencia se propaga a través de archivos adjuntos de correo electrónico infectados, a través de anuncios en línea que contienen el bot y a través de otros métodos de ingeniería social.
El malware PsixBot original apareció en noviembre de 2017, pero experimentó un desarrollo significativo antes de llegar en formato beta en 2019. Desde entonces se ha desarrollado más y actualmente se encuentra en la versión 1.1.0.4 en febrero de 2020:
PsixBot se generó en .NET framework. Este blog lo lleva a través de las diversas iteraciones de PsixBot para ilustrar cómo los delincuentes en línea actualizan constantemente sus el malware para mejorar su rendimiento y características.
Comportamiento de PsixBot
PsixBot cambia la configuración del certificado del sistema, lo que le otorga derechos de acceso de usuario prácticamente ilimitados en la máquina host:
Claves agregadas:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valores agregados:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Archivos agregados:
C: Documentos y configuraciones Administrador Datos de aplicación
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 beta
La primera versión de PsixBot cubierta en este blog es Beta 1.0.0 con la clase principal 11. Cada clase tiene su tarea individual. Las siguientes clases básicas se utilizan en todas las versiones de PsixBot:
- Charla de servidor - Se utiliza para inicializar la variable global, crear la conexión con el servidor de la nave nodriza y enviar resultados de un lado a otro.
- ejecutar en memoria - utilizado para ejecutar realmente el archivo.
- SysInfo - Se utiliza para obtener información sobre el sistema del usuario, incluido el nombre del antivirus, la CPU, la versión de Windows, el tipo de usuario y los permisos de usuario.
- CapturaEndSession - Se utiliza para crear ejecuciones automáticas ocultas.
- Eliminar atributo – utilizado para matar el sistema software antivirus, Explorador de Windows y cualquier alerta de error del sistema.
- IsAdmin - Solía asumir la pertenencia al grupo de administración.
- esvm - Detecta la presencia de máquinas virtuales.
- resolverBit - Se utiliza para resolver las solicitudes de DNS del usuario.
- RC4 - El algoritmo utilizado para cifrar y descifrar datos.
- Instalar - instala el archivo bot y configura los módulos de seguridad y actualización del archivo.
Versión 1.0.2
Beta 1.0.2 retuvo la funcionalidad de clase básica de la primera versión, pero cambió el nombre de algunas de las clases de la siguiente manera:
- ServerTalk - renombrado como CpTrabajador
- RunInMemory - renombrado como MemoriaMódulosTrabajador
- SysInfo - renombrado como ayudante del sistema
... y agregó la siguiente clase:
- trabajador DNS - Se utiliza para obtener la entrada del host y hacer ping al host para verificar si está activo o no.
Versión 1.1
La versión 1.1 nuevamente retuvo la misma estructura de clase que su predecesora, pero agregó la siguiente tarea a la lista de características:
- Forfg - utilizado para obtener la ruta a la variable temporal, establecer el directorio DLL y escribirlo en un archivo .dat:
Versión 1.1.0.2
La versión 1.1.0.2 vio una actualización por la cual el FORFG La característica se combinó con la otra lista de características. Todas las demás clases y actividades permanecieron igual.
Versión 1.1.0.4
Una vez más, las clases básicas se mantuvieron igual que la versión anterior pero con la adición de la siguiente clase importante.
- Cliente Web Gzip - Se utiliza para descomprimir cualquier archivo Gzip descargado por el bot:
Actualizaciones de la lista de funciones
Enhebrador - Invoque la función de hilo utilizada para ejecutar el archivo y ejecútelo en la memoria (ejecutar en memoria).
Bot clave – PsixBot tiene un código duro comúnd clave en todas las versiones:
Actividades de red- PsixBot inicialmente usa Google DNS y luego se comunica con su propio DNS:
Módulos principales por versión
FeautersList por versión
Tráfico de red
PsixBot inicialmente se conecta a Google DNS y luego se conecta a su propio servidor DNS en greentowns.hk:
193.32.188.136 (ciudadesverdes.hk)
185.98.87.59 (ciudadesverdes.hk)
COI
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
El puesto VERSIONES DE PSIXBOT apareció por primera vez en Comodo News e información de seguridad de Internet.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Sobre
- de la máquina
- actividades
- adicional
- adición
- Admin
- algoritmo
- Todos
- análisis
- antivirus
- dondequiera
- aplicaciones
- antes
- beta
- Negro
- Bloquear
- Blog
- Bot
- Botnet
- capaz
- certificado
- clase
- privadas
- combinado
- Algunos
- computadora
- conexión
- constantemente
- galletas
- Core
- Para crear
- Los criminales
- En la actualidad
- datos
- computadora de escritorio
- desarrollado
- Desarrollo
- Pantalla
- dns
- documentos
- cada una
- Ingeniería
- Feature
- Caracteristicas
- Febrero 2020
- Firefox
- Nombre
- siguiendo
- siguiente
- formato
- Marco conceptual
- Gratuito
- en
- función
- a la fatiga
- promover
- generado
- Buscar
- Grupo procesos
- Cosecha
- Cómo
- HTTPS
- imagen
- importante
- mejorar
- Incluye
- INSTRUMENTO individual
- información
- Internet
- Internet Security
- IT
- Clave
- Lista
- máquina
- Máquinas
- el malware
- La membresía/afiliación
- Salud Cerebral
- métodos
- Microsoft
- MEJOR DE TU
- red
- del sistema,
- noticias
- en línea
- Otro
- Outlook
- EL DESARROLLADOR
- contraseñas
- actuación
- de ping
- presencia
- anterior
- grabar
- se mantuvo
- solicitudes
- Resultados
- Ejecutar
- mismo
- EN LINEA
- set
- importante
- desde
- Social
- Ingeniería social
- algo
- propagación
- estándar
- es la
- te
- El
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- tráfico
- Trojan
- ilimitado
- Actualizar
- diversos
- versión
- Virtual
- sean
- ventanas
