Waktu Membaca: 4 menit
Pengenalan PSIXBOT:
PsiXBot adalah pencuri data trojan yang mampu memanen data rahasia dan kata sandi dari komputer korban. Itu dapat mencuri cookie, mengekstrak login / kata sandi dari aplikasi seperti Firefox dan Microsoft Outlook, merekam penekanan tombol korban, memungkinkan penjahat untuk melihat / berinteraksi dari jarak jauh dengan desktop korban, dan bahkan dapat menambahkan komputer korban ke botnet. Ini paling sering menyebar melalui lampiran email yang terinfeksi, melalui iklan online yang mengandung bot, dan melalui metode rekayasa sosial lainnya.
Malware PsixBot asli muncul pada November 2017 tetapi mengalami pengembangan yang signifikan sebelum tiba dalam format beta pada 2019. Sejak itu, malware ini telah dikembangkan lebih lanjut dan saat ini berdiri di versi 1.1.0.4 pada Februari 2020:
PsixBot dibuat dalam kerangka .NET. Blog ini membawa Anda melalui berbagai iterasi PsixBot untuk mengilustrasikan bagaimana penjahat online terus-menerus memperbarui mereka malware untuk meningkatkan kinerja dan fitur-fiturnya.
Perilaku PsixBot
PsixBot mengubah pengaturan sertifikat sistem, yang memberikannya hak akses pengguna yang hampir tidak terbatas pada mesin host:
Kunci ditambahkan:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Nilai ditambahkan:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 โฆโฆ..
File ditambahkan:
C: Dokumen dan PengaturanAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 beta
Versi pertama PsixBot yang tercakup dalam blog ini adalah Beta 1.0.0 dengan kelas inti 11. Setiap kelas memiliki tugas masing-masing. Kelas dasar berikut digunakan di semua versi PsixBot:
- Pembicaraan server - Digunakan untuk menginisialisasi variabel global, membuat koneksi dengan server induk, dan mengirim hasil bolak-balik.
- Jalankan Dalam Memori - Digunakan untuk benar-benar mengeksekusi file.
- Sysinfo - Digunakan untuk memperoleh informasi tentang sistem pengguna, termasuk nama antivirus, CPU, versi Windows, tipe pengguna dan izin pengguna.
- TangkapSesi Akhir - Digunakan untuk membuat autoruns tersembunyi.
- Hapus Atribut โ digunakan untuk mematikan sistem perangkat lunak antivirus, Windows Explorer, dan peringatan kesalahan sistem apa pun.
- Adalah Admin - Digunakan untuk mengasumsikan keanggotaan grup admin.
- AdalahVm - Mendeteksi keberadaan mesin virtual apa pun.
- ResolusiBit - Digunakan untuk menyelesaikan permintaan DNS dari pengguna.
- RC4 - algoritma yang digunakan untuk mengenkripsi dan mendekripsi data.
- Install - menginstal file bot dan mengatur modul keamanan dan memperbarui file.
versi 1.0.2
Beta 1.0.2 mempertahankan fungsionalitas kelas dasar dari versi pertama, tetapi mengganti nama beberapa kelas sebagai berikut:
- ServerTalk - berganti nama menjadi pekerja cp
- RunInMemory - berganti nama menjadi MemoryModulesPekerja
- SysInfo - berganti nama menjadi Pembantu Sistem
... dan menambahkan kelas berikut:
- Pekerja DNS - Digunakan untuk mendapatkan entri host dan ping host untuk memeriksa apakah sudah habis atau belum.
versi 1.1
Versi 1.1 lagi mempertahankan struktur kelas yang sama dengan pendahulunya tetapi menambahkan tugas berikut ke daftar fitur:
- Forfg - digunakan untuk mendapatkan path ke variabel temp, atur direktori DLL dan tulis ke file dat:
versi 1.1.0.2
Versi 1.1.0.2 melihat pembaruan dimana FORFG fitur digabungkan dengan daftar fitur lainnya. Semua kelas dan kegiatan lainnya tetap sama.
versi 1.1.0.4
Sekali lagi, kelas dasar tetap sama dengan versi sebelumnya tetapi dengan penambahan kelas berikut yang penting
- Klien Web Gzip - Digunakan untuk mendekompres file Gzip yang diunduh oleh bot:
Pembaruan Daftar Fitur
Utas - Meminta fungsi utas yang digunakan untuk menjalankan file dan menjalankannya sebagai memori (Jalankan Dalam Memori).
Kunci Bot - PsixBot memiliki kode umum yang samamasukkan semua versi:
Kegiatan Jaringan- PsixBot awalnya menggunakan Google DNS kemudian berkomunikasi dengan DNS sendiri:
Modul Inti per Versi
FeautersList per Versi
Lalu Lintas Jaringan
PsixBot awalnya terhubung ke Google DNS kemudian menghubungkan ke server DNS sendiri di greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
Pos VERSI PSIXBOT muncul pertama pada Berita Comodo dan Informasi Keamanan Internet.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Tentang Kami
- mengakses
- kegiatan
- menambahkan
- tambahan
- admin
- algoritma
- Semua
- analisis
- antivirus
- di manapun
- aplikasi
- sebelum
- beta
- Black
- Memblokir
- Blog
- Bot
- botnet
- mampu
- sertifikat
- kelas
- kelas-kelas
- bergabung
- Umum
- komputer
- koneksi
- terus-menerus
- kue
- Core
- membuat
- Penjahat
- Sekarang
- data
- Desktop
- dikembangkan
- Pengembangan
- Display
- dns
- dokumen
- setiap
- Teknik
- Fitur
- Fitur
- Februari 2020
- Firefox
- Pertama
- berikut
- berikut
- format
- Kerangka
- Gratis
- dari
- fungsi
- fungsi
- lebih lanjut
- dihasilkan
- Aksi
- Kelompok
- Panen
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- gambar
- penting
- memperbaiki
- Termasuk
- sendiri-sendiri
- informasi
- Internet
- Internet Security
- IT
- kunci
- Daftar
- mesin
- Mesin
- malware
- keanggotaan
- Memori
- metode
- Microsoft
- paling
- bersih
- jaringan
- berita
- secara online
- Lainnya
- Outlook
- sendiri
- password
- prestasi
- ping
- kehadiran
- sebelumnya
- catatan
- tetap
- permintaan
- Hasil
- Run
- sama
- keamanan
- set
- penting
- sejak
- Sosial
- Rekayasa Sosial
- beberapa
- penyebaran
- standar
- berdiri
- sistem
- Grafik
- Melalui
- waktu
- lalu lintas
- Trojan
- tak terbatas
- Memperbarui
- berbagai
- versi
- maya
- apakah
- Windows
