Lukuaika: 4 pöytäkirja
PSIXBOT-esittely:
PsiXBot on tietoja varastava troijalainen, joka pystyy keräämään luottamuksellisia tietoja ja salasanoja uhrin tietokoneelta. Se voi varastaa evästeitä, poimia kirjautumistunnuksia / salasanoja sovelluksista kuten Firefox ja Microsoft Outlook, tallentaa uhrin näppäinpainalluksia, antaa rikollisille mahdollisuuden katsoa / olla vuorovaikutuksessa uhrin työpöydän kanssa ja voi jopa lisätä uhrin tietokoneen bottiverkkoon. Se leviää useimmiten tartunnan saaneiden sähköpostiliitteiden, bottiä sisältävien online-ilmoitusten ja muiden sosiaalisen insinöörityön menetelmien kautta.
Alkuperäinen PsixBot-haittaohjelma tuli esiin marraskuussa 2017, mutta sitä kehitettiin merkittävästi ennen kuin se saapui beeta-muotoon vuonna 2019. Sitä on sittemmin kehitetty edelleen ja se on tällä hetkellä helmikuussa 1.1.0.4 versiossa 2020:
PsixBot luotiin .NET-kehyksessä. Tämä blogi opastaa sinut PsixBotin eri iteraatioiden läpi havainnollistamaan, kuinka verkkorikolliset päivittävät jatkuvasti omiaan haittaohjelmat parantaakseen sen suorituskykyä ja ominaisuuksia.
PsixBotin käyttäytyminen
PsixBot muuttaa järjestelmäsertifikaatin asetuksia, mikä antaa sille käytännöllisesti katsoen rajoittamattomat käyttöoikeudet isäntäkoneessa:
Lisätyt avaimet:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Lisätyt arvot:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Lisätyt tiedostot:
C: Documents and SettingsAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Ensimmäinen tämän blogin kattava PsixBot-versio on Beta 1.0.0 ydinluokalla 11. Jokaisella luokalla on oma tehtävä. Seuraavia perusluokkia käytetään kaikissa PsixBot-versioissa:
- Servertalk - käytetään alustamaan globaali muuttuja, luomaan yhteys äitiyspalvelimeen ja lähettämään tuloksia edestakaisin.
- RunInMemory - käytetään tiedoston tosiasialliseen suorittamiseen.
- sysinfo - käytetään tiedon hankkimiseen käyttäjän järjestelmästä, mukaan lukien virustorjunta, CPU, Windows-versio, käyttäjän tyyppi ja käyttöoikeudet.
- CatchEndSession - käytetään luomaan piilotettuja automaattista asennusta.
- Poista attribuutti – käytetään tappamaan järjestelmän virustorjuntaohjelmisto, Windowsin Resurssienhallinta ja kaikki järjestelmävirheilmoitukset.
- IsAdmin - käytetään olettamaan jäsenyys järjestelmänvalvojan ryhmässä.
- IsVm - havaitsee virtuaalikoneiden läsnäolon.
- ResolveBit - käytetään ratkaisemaan käyttäjän DNS-pyynnöt.
- RC4 - tietojen salaamiseen ja salauksen purkamiseen käytetty algoritmi.
- install - asentaa bot-tiedoston ja määrittää tiedoston suojaus- ja päivitysmoduulit.
Versio 1.0.2
Beta 1.0.2 säilytti ensimmäisen version perusluokkatoiminnot, mutta nimitti jotkut luokista uudelleen seuraavasti:
- ServerTalk - nimettiin uudelleen CpWorker
- RunInMemory - nimettiin uudelleen MemoryModulesWorker
- SysInfo - nimettiin uudelleen SysHelper
… Ja lisäsi seuraavan luokan:
- DNSWorker - käytetään isäntämerkinnän hakemiseen ja ping-palvelimen tarkistamiseen, onko se valmis.
Versio 1.1
Versio 1.1 säilytti jälleen saman luokkarakenteen kuin edeltäjänsä, mutta lisäsi seuraavan tehtävän ominaisuusluetteloon:
- Forfg - käytetään hakemaan polku temp-muuttujaan, aseta DLL-hakemisto ja kirjoita se .dat-tiedostoon:
Versio 1.1.0.2
Versio 1.1.0.2 näki päivityksen, jolla FORFG ominaisuus yhdistettiin toisen ominaisuusluettelon kanssa. Kaikki muut luokat ja aktiviteetit pysyivät ennallaan.
Versio 1.1.0.4
Perusluokat jäivät jälleen samoiksi kuin edellinen versio, mutta lisäämällä seuraava tärkeä luokka
- GzipWebClient - käytetään botin lataamien Gzip-tiedostojen purkamiseen:
Ominaisuusluettelon päivitykset
Threader - Käynnistä tiedoston suorittamiseen käytetty lankatoiminto ja suorita sen muisti (RunInMemory).
Bot-avain - PsixBotilla on yhteinen kova koodid-avain kaikissa versioissa:
Verkko-aktiviteetit- PsixBot käyttää aluksi Google DNS: tä, sitten kommunikoi myöhemmin oman DNS: n kanssa:
Ydinmoduulit versiota kohti
Ominaisuusluettelo versiota kohti
Verkkoliikenne
PsixBot muodostaa yhteyden ensin Google DNS: ään ja sitten omaan DNS-palvelimeen osoitteessa greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
KOK
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
Viesti PSIXBOT-VERSIOT ilmestyi ensin Comodo-uutiset ja Internet-tietoturva.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Meistä
- pääsy
- toiminta
- lisä-
- Lisäksi
- admin
- algoritmi
- Kaikki
- analyysi
- antivirus
- kaikkialla
- sovellukset
- ennen
- beeta
- Musta
- Tukkia
- Blogi
- Bot
- botnet
- kykenee
- todistus
- luokka
- luokat
- yhdistetty
- Yhteinen
- tietokone
- liitäntä
- alituisesti
- keksit
- Ydin
- luoda
- rikolliset
- Tällä hetkellä
- tiedot
- pöytä-
- kehitetty
- Kehitys
- näyttö
- dns
- asiakirjat
- kukin
- Tekniikka
- Ominaisuus
- Ominaisuudet
- helmikuu 2020
- Firefox
- Etunimi
- jälkeen
- seuraa
- muoto
- Puitteet
- Ilmainen
- alkaen
- toiminto
- toiminnallisuus
- edelleen
- syntyy
- Global
- Ryhmä
- korjuu
- Miten
- HTTPS
- kuva
- tärkeä
- parantaa
- Mukaan lukien
- henkilökohtainen
- tiedot
- Internet
- Internet Security
- IT
- avain
- Lista
- kone
- Koneet
- haittaohjelmat
- jäsenyys
- Muisti
- menetelmät
- Microsoft
- eniten
- netto
- verkko
- uutiset
- verkossa
- Muut
- näkymät
- oma
- salasanat
- suorituskyky
- ping
- läsnäolo
- edellinen
- ennätys
- pysyi
- pyynnöt
- tulokset
- ajaa
- sama
- turvallisuus
- setti
- merkittävä
- koska
- sosiaalinen
- Sosiaalinen insinööri
- jonkin verran
- levitä
- standardi
- seisoo
- järjestelmä
- -
- Kautta
- aika
- liikenne
- Troijalainen
- rajoittamaton
- Päivitykset
- eri
- versio
- Virtual
- onko
- ikkunat