Momento della lettura: 4 verbale
Introduzione di PSIXBOT:
PsiXBot è un trojan che ruba dati in grado di raccogliere dati riservati e password dal computer di una vittima. Può rubare cookie, estrarre accessi/password da applicazioni come Firefox e Microsoft Outlook, registrare i tasti premuti dalla vittima, consentire ai criminali di visualizzare/interagire in remoto con il desktop della vittima e persino aggiungere il computer della vittima a una botnet. Viene spesso diffuso tramite allegati e-mail infetti, tramite annunci online che contengono il bot e tramite altri metodi di ingegneria sociale.
Il malware PsixBot originale è emerso nel novembre 2017, ma ha subito uno sviluppo significativo prima di arrivare in formato beta nel 2019. Da allora è stato ulteriormente sviluppato e attualmente si trova alla versione 1.1.0.4 nel febbraio 2020:
PsixBot è stato generato nel framework .NET. Questo blog ti guida attraverso le varie iterazioni di PsixBot per illustrare come i criminali online aggiornano costantemente i loro il malware per migliorarne le prestazioni e le caratteristiche.
Comportamento di PsixBot
PsixBot modifica le impostazioni del certificato di sistema, il che gli conferisce diritti di accesso utente virtualmente illimitati sulla macchina host:
Chiavi aggiunte:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valori aggiunti:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
File aggiunti:
C:Documents and SettingsAmministratoreApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
La prima versione di PsixBot trattata in questo blog è la Beta 1.0.0 con la classe principale 11. Ogni classe ha il suo compito individuale. Le seguenti classi di base sono utilizzate in tutte le versioni di PsixBot:
- Servertalk – utilizzato per inizializzare la variabile globale, creare la connessione con il server della nave madre e inviare i risultati avanti e indietro.
- RunInMemory – utilizzato per eseguire effettivamente il file.
- SysInfo – utilizzato per ottenere informazioni sul sistema dell'utente, inclusi il nome dell'antivirus, la CPU, la versione di Windows, il tipo di utente e le autorizzazioni dell'utente.
- CatchEndSession – utilizzato per creare autorun nascosti.
- EliminaAttrib - usato per uccidere il sistema software antivirus, Esplora risorse e qualsiasi avviso di errore di sistema.
- ÈAdmin – utilizzato per assumere l'appartenenza al gruppo admin.
- IsVm – rileva la presenza di eventuali macchine virtuali.
- ResolveBit – utilizzato per risolvere le richieste DNS dell'utente.
- RC4 – l'algoritmo utilizzato per crittografare e decrittografare i dati.
- Installazione – installa il file bot e imposta i moduli di sicurezza e aggiornamento del file.
Versione: 1.0.2
La beta 1.0.2 ha mantenuto la funzionalità di classe di base della prima versione, ma ha rinominato alcune delle classi come segue:
- ServerTalk – rinominato come CpWorker
- EseguiInMemoria – rinominato come MemoryModulesWorker
- Informazioni di sistema – rinominato come SysHelper
… e ha aggiunto la seguente classe:
- DNSWorker – utilizzato per ottenere la voce dell'host e eseguire il ping dell'host per verificare se è attivo o meno.
Versione: 1.1
La versione 1.1 ha nuovamente mantenuto la stessa struttura di classe del suo predecessore, ma ha aggiunto la seguente attività all'elenco delle funzionalità:
- Forfg – utilizzato per ottenere il percorso della variabile temp, impostare la directory DLL e scriverla in un file .dat:
Versione: 1.1.0.2
La versione 1.1.0.2 ha visto un aggiornamento per cui il file FORFG caratteristica è stata combinata con l'altro elenco di funzionalità. Tutte le altre classi e attività sono rimaste le stesse.
Versione: 1.1.0.4
Anche in questo caso le classi base sono rimaste le stesse della versione precedente ma con l'aggiunta della seguente, importante, classe
- GzipWebClient – utilizzato per decomprimere eventuali file Gzip scaricati dal bot:
Aggiornamenti dell'elenco delle funzionalità
Infila – Richiama la funzione thread utilizzata per eseguire il file ed eseguilo in memoria (RunInMemory).
Chiave del Bot - PsixBot ha un hard-code comunechiave d in tutte le versioni:
Attività di rete– PsixBot utilizza inizialmente il DNS di Google, quindi successivamente comunica con il proprio DNS:
Moduli principali per versione
FeautersList per versione
Traffico di rete
PsixBot inizialmente si connette a Google DNS, quindi si connette al proprio server DNS su greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
CIO
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- :ha
- :È
- :non
- $ SU
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- WRI
- accesso
- attività
- effettivamente
- aggiungere
- aggiunto
- aggiunta
- Admin
- ancora
- Avvisi
- algoritmo
- Tutti
- consentire
- an
- .
- ed
- antivirus
- in qualsiasi
- applicazioni
- SONO
- in arrivo
- AS
- assumere
- At
- precedente
- basic
- stato
- prima
- comportamento
- beta
- Blog
- Bot
- Botnet
- ma
- by
- Materiale
- capace
- a livello internazionale
- Modifiche
- dai un'occhiata
- classe
- classi
- clicca
- combinato
- Uncommon
- computer
- riservato
- veloce
- collega
- costantemente
- contenere
- Cookies
- Nucleo
- coperto
- creare
- criminali
- Attualmente
- dati
- decrypt
- tavolo
- sviluppato
- Mercato
- elenco
- dns
- documenti
- scaricata
- ogni
- cifrare
- Ingegneria
- iscrizione
- errore
- Anche
- Evento
- eseguire
- esploratore
- estratto
- caratteristica
- Caratteristiche
- Febbraio
- Febbraio 2020
- Compila il
- File
- Firefox
- Nome
- i seguenti
- segue
- Nel
- formato
- via
- Contesto
- Gratis
- da
- function
- funzionalità
- ulteriormente
- generato
- ottenere
- dà
- globali
- Gruppo
- Raccolta
- nascosto
- host
- Come
- HTTPS
- illustrare
- Immagine
- importante
- competenze
- in
- Compreso
- individuale
- infetto
- informazioni
- inizialmente
- immediato
- IT
- iterazioni
- SUO
- jpg
- Le
- Uccidere
- dopo
- piace
- Lista
- macchina
- macchine
- il malware
- max-width
- iscrizione
- Memorie
- metodi
- Microsoft
- moduli
- maggior parte
- Nome
- rete
- Rete
- Novembre
- nt
- ottenere
- of
- di frequente
- on
- online
- or
- i
- Altro
- Outlook
- proprio
- Le password
- sentiero
- per
- performance
- permessi
- PHP
- ping
- Platone
- Platone Data Intelligence
- PlatoneDati
- predecessore
- presenza
- precedente
- record
- è rimasta
- da remoto
- richieste
- risolvere
- Risultati
- diritti
- Correre
- stesso
- sega
- cartoncino segnapunti
- problemi di
- inviare
- server
- set
- Set
- impostazioni
- significativa
- da
- Social
- Ingegneria sociale
- alcuni
- diffondere
- Standard
- si
- La struttura
- sistema
- prende
- Task
- Il
- loro
- poi
- questo
- minaccia
- Attraverso
- tempo
- a
- traffico
- Trojan
- Digitare
- Tipi di
- sottoposti
- illimitato
- Aggiornanento
- utilizzato
- Utente
- usa
- variabile
- vario
- versione
- versioni
- via
- virtuale
- potenzialmente
- Prima
- se
- quale
- finestre
- con
- scrivere
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro