Momento della lettura: 4 verbale
Introduzione di PSIXBOT:
PsiXBot è un trojan che ruba dati in grado di raccogliere dati riservati e password dal computer di una vittima. Può rubare cookie, estrarre accessi/password da applicazioni come Firefox e Microsoft Outlook, registrare i tasti premuti dalla vittima, consentire ai criminali di visualizzare/interagire in remoto con il desktop della vittima e persino aggiungere il computer della vittima a una botnet. Viene spesso diffuso tramite allegati e-mail infetti, tramite annunci online che contengono il bot e tramite altri metodi di ingegneria sociale.
Il malware PsixBot originale è emerso nel novembre 2017, ma ha subito uno sviluppo significativo prima di arrivare in formato beta nel 2019. Da allora è stato ulteriormente sviluppato e attualmente si trova alla versione 1.1.0.4 nel febbraio 2020:
PsixBot è stato generato nel framework .NET. Questo blog ti guida attraverso le varie iterazioni di PsixBot per illustrare come i criminali online aggiornano costantemente i loro il malware per migliorarne le prestazioni e le caratteristiche.
Comportamento di PsixBot
PsixBot modifica le impostazioni del certificato di sistema, il che gli conferisce diritti di accesso utente virtualmente illimitati sulla macchina host:
Chiavi aggiunte:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valori aggiunti:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
File aggiunti:
C:Documents and SettingsAmministratoreApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
La prima versione di PsixBot trattata in questo blog è la Beta 1.0.0 con la classe principale 11. Ogni classe ha il suo compito individuale. Le seguenti classi di base sono utilizzate in tutte le versioni di PsixBot:
- Servertalk – utilizzato per inizializzare la variabile globale, creare la connessione con il server della nave madre e inviare i risultati avanti e indietro.
- RunInMemory – utilizzato per eseguire effettivamente il file.
- SysInfo – utilizzato per ottenere informazioni sul sistema dell'utente, inclusi il nome dell'antivirus, la CPU, la versione di Windows, il tipo di utente e le autorizzazioni dell'utente.
- CatchEndSession – utilizzato per creare autorun nascosti.
- EliminaAttrib - usato per uccidere il sistema software antivirus, Esplora risorse e qualsiasi avviso di errore di sistema.
- ÈAdmin – utilizzato per assumere l'appartenenza al gruppo admin.
- IsVm – rileva la presenza di eventuali macchine virtuali.
- ResolveBit – utilizzato per risolvere le richieste DNS dell'utente.
- RC4 – l'algoritmo utilizzato per crittografare e decrittografare i dati.
- Installazione – installa il file bot e imposta i moduli di sicurezza e aggiornamento del file.
Versione: 1.0.2
La beta 1.0.2 ha mantenuto la funzionalità di classe di base della prima versione, ma ha rinominato alcune delle classi come segue:
- ServerTalk – rinominato come CpWorker
- EseguiInMemoria – rinominato come MemoryModulesWorker
- Informazioni di sistema – rinominato come SysHelper
… e ha aggiunto la seguente classe:
- DNSWorker – utilizzato per ottenere la voce dell'host e eseguire il ping dell'host per verificare se è attivo o meno.
Versione: 1.1
La versione 1.1 ha nuovamente mantenuto la stessa struttura di classe del suo predecessore, ma ha aggiunto la seguente attività all'elenco delle funzionalità:
- Forfg – utilizzato per ottenere il percorso della variabile temp, impostare la directory DLL e scriverla in un file .dat:
Versione: 1.1.0.2
La versione 1.1.0.2 ha visto un aggiornamento per cui il file FORFG caratteristica è stata combinata con l'altro elenco di funzionalità. Tutte le altre classi e attività sono rimaste le stesse.
Versione: 1.1.0.4
Anche in questo caso le classi base sono rimaste le stesse della versione precedente ma con l'aggiunta della seguente, importante, classe
- GzipWebClient – utilizzato per decomprimere eventuali file Gzip scaricati dal bot:
Aggiornamenti dell'elenco delle funzionalità
Infila – Richiama la funzione thread utilizzata per eseguire il file ed eseguilo in memoria (RunInMemory).
Chiave del Bot - PsixBot ha un hard-code comunechiave d in tutte le versioni:
Attività di rete– PsixBot utilizza inizialmente il DNS di Google, quindi successivamente comunica con il proprio DNS:
Moduli principali per versione
FeautersList per versione
Traffico di rete
PsixBot inizialmente si connette a Google DNS, quindi si connette al proprio server DNS su greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
CIO
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Il post VERSIONI DI PSIXBOT apparve prima Notizie Comodo e informazioni sulla sicurezza di Internet.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- WRI
- accesso
- attività
- aggiunto
- aggiunta
- Admin
- algoritmo
- Tutti
- .
- antivirus
- ovunque
- applicazioni
- prima
- beta
- Nero
- Bloccare
- Blog
- Bot
- Botnet
- capace
- a livello internazionale
- classe
- classi
- combinato
- Uncommon
- computer
- veloce
- costantemente
- Cookies
- Nucleo
- creare
- criminali
- Attualmente
- dati
- tavolo
- sviluppato
- Mercato
- Dsiplay
- dns
- documenti
- ogni
- Ingegneria
- caratteristica
- Caratteristiche
- Febbraio 2020
- Firefox
- Nome
- i seguenti
- segue
- formato
- Contesto
- Gratis
- da
- function
- funzionalità
- ulteriormente
- generato
- globali
- Gruppo
- Raccolta
- Come
- HTTPS
- Immagine
- importante
- competenze
- Compreso
- individuale
- informazioni
- Internet
- Internet Security
- IT
- Le
- Lista
- macchina
- macchine
- il malware
- iscrizione
- Memorie
- metodi
- Microsoft
- maggior parte
- rete
- Rete
- notizie
- online
- Altro
- Outlook
- proprio
- Le password
- performance
- ping
- presenza
- precedente
- record
- è rimasta
- richieste
- Risultati
- Correre
- stesso
- problemi di
- set
- significativa
- da
- Social
- Ingegneria sociale
- alcuni
- diffondere
- Standard
- si
- sistema
- Il
- Attraverso
- tempo
- traffico
- Trojan
- illimitato
- Aggiornanento
- vario
- versione
- virtuale
- se
- finestre