A PsixBot verziói | A PsixBot viselkedés típusai

Olvasási idő: 4 jegyzőkönyv

A PSIXBOT bemutatása:

A PsiXBot egy adatlopó trójai, amely képes bizalmas adatokat és jelszavakat gyűjteni az áldozat számítógépéről. Cookie-kat lophat, bejelentkezési adatokat/jelszavakat kinyerhet az olyan alkalmazásokból, mint a Firefox és a Microsoft Outlook, rögzítheti az áldozat billentyűleütéseit, lehetővé teszi a bűnözők számára az áldozat asztalának távoli megtekintését/interakcióját, és még az áldozat számítógépét is hozzáadhatja egy botnethez. Leggyakrabban fertőzött e-mail mellékleteken, a botot tartalmazó online hirdetéseken és más social engineering módszerekkel terjed.

Az eredeti PsixBot rosszindulatú program 2017 novemberében jelent meg, de jelentős fejlődésen ment keresztül, mielőtt 2019-ben béta formátumba került volna. Azóta továbbfejlesztették, és jelenleg a 1.1.0.4 februári 2020-es verziója áll:

A PsixBot .NET keretrendszerben jött létre. Ez a blog végigvezeti a PsixBot különféle iterációin, hogy bemutassa, hogyan frissítik folyamatosan az online bűnözők a sajátjukat malware teljesítményének és funkcióinak javítása érdekében.

A PsixBot viselkedése

A PsixBot megváltoztatja a rendszertanúsítvány-beállításokat, ami gyakorlatilag korlátlan felhasználói hozzáférési jogosultságot biztosít a gazdagépen:

Hozzáadott kulcsok:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Hozzáadott értékek:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Hozzáadott fájlok:

C:Dokumentumok és beállításokAdministratorApplication Data

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

béta 1.0.0

A blogban tárgyalt PsixBot első verziója a Beta 1.0.0, a 11-es alaposztályú. Minden osztálynak megvan a maga egyéni feladata. A következő alaposztályok a PsixBot összes verziójában használatosak:

• Servertalk – a globális változó inicializálására, az anyahajó szerverrel való kapcsolat létrehozására és az eredmények oda-vissza küldésére szolgál.
• RunInMemory – a fájl tényleges végrehajtására szolgál.
• sysinfo – a felhasználó rendszerével kapcsolatos információk megszerzésére szolgál, beleértve a víruskereső nevét, a CPU-t, a Windows verziót, a felhasználó típusát és a felhasználói engedélyeket.
• CatchEndSession – rejtett autorunok létrehozására szolgál.
• DeleteAttrib – a rendszer megölésére használták víruskereső szoftver, Windows Intéző és minden rendszerhiba-riasztás.
• IsAdmin – az adminisztrátori csoport tagságát feltételezi.
• IsVm – észleli a virtuális gépek jelenlétét.
• ResolveBit – a felhasználótól érkező DNS-kérések megoldására szolgál.
• RC4 – az adatok titkosítására és visszafejtésére használt algoritmus.
• felszerel – telepíti a bot fájlt, és beállítja a fájl biztonsági és frissítési moduljait.

változat 1.0.2

A béta 1.0.2 megtartotta az első verzió alapvető osztályfunkcióit, de néhány osztályt átnevezett a következőképpen:

• ServerTalk – névre keresztelték át CpWorker
• RunInMemory – névre keresztelték át MemoryModulesWorker
• SysInfo – névre keresztelték át SysHelper

… és hozzáadta a következő osztályt:

• DNSWorker – a gazdagép bejegyzésének lekérésére és a gazdagép ping-elésére szolgál, hogy ellenőrizze, hogy fent van-e vagy sem.

változat 1.1

Az 1.1-es verzió ismét megtartotta ugyanazt az osztálystruktúrát, mint elődje, de hozzáadta a következő feladatot a szolgáltatások listájához:

• Forfg – a temp változó elérési útjának beszerzéséhez használja, állítsa be a DLL-könyvtárat, és írja be egy .dat fájlba:

változat 1.1.0.2

Az 1.1.0.2-es verzió frissítést látott, amely a FORFG funkciót kombinálták a többi szolgáltatáslistával. Az összes többi óra és tevékenység ugyanaz maradt.

változat 1.1.0.4

Az alaposztályok ismét ugyanazok maradtak, mint az előző verzióban, de a következő fontos osztály hozzáadásával

• GzipWebClient – a bot által letöltött Gzip-fájlok kicsomagolására szolgál:

Funkciólista frissítések

Menetvágó – Hívja meg a fájl futtatásához használt szál függvényt és futtassa a memóriát (RunInMemory).

Bot Key - A PsixBot-nak van egy közös, kemény kódjad kulcs minden verzióban:

Hálózati tevékenységek– A PsixBot kezdetben a Google DNS-t használja, majd később a saját DNS-ével kommunikál:

Alapmodulok verziónként

FeatersList verziónként

Hálózati forgalom

A PsixBot először csatlakozik a Google DNS-hez, majd csatlakozik saját DNS-kiszolgálójához a címen greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

NOB

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://blog.comodo.com/comodo-news/versions-of-psixbot/