Versioni di PsixBot | Tipi di comportamento di PsixBot

Momento della lettura: 4 verbale

Introduzione di PSIXBOT:

PsiXBot è un trojan che ruba dati in grado di raccogliere dati riservati e password dal computer di una vittima. Può rubare cookie, estrarre accessi/password da applicazioni come Firefox e Microsoft Outlook, registrare i tasti premuti dalla vittima, consentire ai criminali di visualizzare/interagire in remoto con il desktop della vittima e persino aggiungere il computer della vittima a una botnet. Viene spesso diffuso tramite allegati e-mail infetti, tramite annunci online che contengono il bot e tramite altri metodi di ingegneria sociale.

Il malware PsixBot originale è emerso nel novembre 2017, ma ha subito uno sviluppo significativo prima di arrivare in formato beta nel 2019. Da allora è stato ulteriormente sviluppato e attualmente si trova alla versione 1.1.0.4 nel febbraio 2020:

PsixBot è stato generato nel framework .NET. Questo blog ti guida attraverso le varie iterazioni di PsixBot per illustrare come i criminali online aggiornano costantemente i loro il malware per migliorarne le prestazioni e le caratteristiche.

Comportamento di PsixBot

PsixBot modifica le impostazioni del certificato di sistema, il che gli conferisce diritti di accesso utente virtualmente illimitati sulla macchina host:

Chiavi aggiunte:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Valori aggiunti:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

File aggiunti:

C:Documents and SettingsAmministratoreApplication Data

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Beta 1.0.0

La prima versione di PsixBot trattata in questo blog è la Beta 1.0.0 con la classe principale 11. Ogni classe ha il suo compito individuale. Le seguenti classi di base sono utilizzate in tutte le versioni di PsixBot:

• Servertalk – utilizzato per inizializzare la variabile globale, creare la connessione con il server della nave madre e inviare i risultati avanti e indietro.
• RunInMemory – utilizzato per eseguire effettivamente il file.
• SysInfo – utilizzato per ottenere informazioni sul sistema dell'utente, inclusi il nome dell'antivirus, la CPU, la versione di Windows, il tipo di utente e le autorizzazioni dell'utente.
• CatchEndSession – utilizzato per creare autorun nascosti.
• EliminaAttrib - usato per uccidere il sistema software antivirus, Esplora risorse e qualsiasi avviso di errore di sistema.
• ÈAdmin – utilizzato per assumere l'appartenenza al gruppo admin.
• IsVm – rileva la presenza di eventuali macchine virtuali.
• ResolveBit – utilizzato per risolvere le richieste DNS dell'utente.
• RC4 – l'algoritmo utilizzato per crittografare e decrittografare i dati.
• Installazione – installa il file bot e imposta i moduli di sicurezza e aggiornamento del file.

Versione: 1.0.2

La beta 1.0.2 ha mantenuto la funzionalità di classe di base della prima versione, ma ha rinominato alcune delle classi come segue:

• ServerTalk – rinominato come CpWorker
• EseguiInMemoria – rinominato come MemoryModulesWorker
• Informazioni di sistema – rinominato come SysHelper

… e ha aggiunto la seguente classe:

• DNSWorker – utilizzato per ottenere la voce dell'host e eseguire il ping dell'host per verificare se è attivo o meno.

Versione: 1.1

La versione 1.1 ha nuovamente mantenuto la stessa struttura di classe del suo predecessore, ma ha aggiunto la seguente attività all'elenco delle funzionalità:

• Forfg – utilizzato per ottenere il percorso della variabile temp, impostare la directory DLL e scriverla in un file .dat:

Versione: 1.1.0.2

La versione 1.1.0.2 ha visto un aggiornamento per cui il file FORFG caratteristica è stata combinata con l'altro elenco di funzionalità. Tutte le altre classi e attività sono rimaste le stesse.

Versione: 1.1.0.4

Anche in questo caso le classi base sono rimaste le stesse della versione precedente ma con l'aggiunta della seguente, importante, classe

• GzipWebClient – utilizzato per decomprimere eventuali file Gzip scaricati dal bot:

Aggiornamenti dell'elenco delle funzionalità

Infila – Richiama la funzione thread utilizzata per eseguire il file ed eseguilo in memoria (RunInMemory).

Chiave del Bot - PsixBot ha un hard-code comunechiave d in tutte le versioni:

Attività di rete– PsixBot utilizza inizialmente il DNS di Google, quindi successivamente comunica con il proprio DNS:

Moduli principali per versione

FeautersList per versione

Traffico di rete

PsixBot inizialmente si connette a Google DNS, quindi si connette al proprio server DNS su greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

CIO

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

193.32.188.136(greentowns.hk)

185.98.87.59(greentowns.hk)

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://blog.comodo.com/comodo-news/versions-of-psixbot/