זמן קריאה: 4 דקות
הצגת PSIXBOT:
PsiXBot הוא גניבת נתונים טרויאני המסוגל לקצור נתונים וסיסמאות חסויים ממחשב הקורבן. זה יכול לגנוב עוגיות, לחלץ כניסות / סיסמאות מיישומים כמו Firefox ו- Microsoft Outlook, להקליט את הקשות הקורבן של הקורבן, לאפשר לפושעים להציג / לתקשר מרחוק עם שולחן העבודה של הקורבן, ואף יכול להוסיף את מחשב הקורבן לבוטנט. לרוב זה מופץ באמצעות קבצים מצורפים לדוא"ל נגועים, באמצעות מודעות מקוונות המכילות את הבוט, ובאמצעות שיטות אחרות להנדסה חברתית.
התוכנה הזדונית המקורית של PsixBot עלתה בנובמבר 2017 אך עברה פיתוח משמעותי לפני שהגיעה בפורמט בטא בשנת 2019. מאז היא פותחה עוד ועומדת כיום על גרסה 1.1.0.4 בפברואר 2020:
PsixBot נוצר במסגרת NET. בלוג זה לוקח אותך דרך האיטרציות השונות של PsixBot כדי להמחיש כיצד פושעים מקוונים מעדכנים כל הזמן שלהם תוכנות זדוניות כדי לשפר את הביצועים והתכונות שלו.
התנהגות PsixBot
PsixBot משנה את הגדרות אישור המערכת, מה שמקנה לה זכויות גישה כמעט בלתי מוגבלות למשתמש במחשב המארח:
מפתחות נוסף:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
ערכים שנוספו:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
קבצים שנוספו:
ג: מסמכים והגדרות מנהל נתונים נתוני יישומים
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
ביתא 1.0.0
הגרסה הראשונה של PsixBot המכוסה בבלוג זה היא Beta 1.0.0 עם מחלקת הליבה 11. לכל כיתה יש את המשימה האישית שלה. המחלקות הבסיסיות הבאות משמשות בכל הגרסאות של PsixBot:
- סרברטלק - משמש לאתחול המשתנה הגלובלי, ליצירת חיבור לשרת ספינת האם ושליחת תוצאות הלוך ושוב.
- RunInMemory - משמש להפעלת הקובץ בפועל.
- SysInfo - משמש להשגת מידע על מערכת המשתמש, כולל שם אנטי-וירוס, מעבד, גרסת Windows, סוג משתמש והרשאות משתמש.
- CatchEndSession - משמש ליצירת רשויות סמויות.
- מחק אטריב - משמש כדי להרוג את המערכת תוכנת אנטי-וירוס, סייר Windows וכל התראות שגיאות מערכת.
- IsAdmin - נהג לקחת על עצמו חברות בקבוצת הניהול.
- IsVm - מגלה נוכחות של כל מכונות וירטואליות.
- ResolveBit - משמש כדי לפתור בקשות DNS מהמשתמש.
- RC4 - האלגוריתם המשמש להצפנה ופענוח נתונים.
- התקן - מתקין את קובץ הבוט ומגדיר את מודולי האבטחה והעדכון של הקובץ.
גרסת 1.0.2
Beta 1.0.2 שמרה על הפונקציונליות של המחלקה הבסיסית של הגירסה הראשונה, אך שמה שונה לחלק מהכיתות באופן הבא:
- ServerTalk - שינוי שם בשם CpWorker
- RunInMemory - שינוי שם בשם MemoryModulesWorker
- SysInfo - שינוי שם בשם SysHelper
... והוספתי את הכיתה הבאה:
- עובד DNS - משמש כדי לקבל את כניסת המארח ולפינג למארח כדי לבדוק אם הוא לא.
גרסת 1.1
גרסה 1.1 שמרה שוב על אותה מבנה מחלקה כמו קודמתה אך הוסיפה את המשימה הבאה לרשימת התכונות:
- Forfg - המשמש להשגת הנתיב למשתנה הזמני, הגדר את ספריית ה- DLL וכתוב אותה לקובץ .dat:
גרסת 1.1.0.2
גרסה 1.1.0.2 ראתה עדכון לפיו FORFG התכונה שולבה עם רשימת התכונות האחרות. כל שאר השיעורים והפעילויות נותרו זהים.
גרסת 1.1.0.4
שוב, המחלקות הבסיסיות נותרו זהות לגירסה הקודמת אך עם התוספת של הכיתה הבאה, החשובה,
- GzipWebClient - משמש לפירוק כל קבצי Gzip שהורדו על ידי הבוט:
עדכוני רשימת תכונות
Threader - הזעק את פונקציית השרשור המשמשת להפעלת הקובץ ולהפעלת אותו בזיכרון (RunInMemory).
מפתח בוט - ל- PsixBot קוד קשה, נפוץמפתח d בכל הגרסאות:
פעילויות רשת- PsixBot משתמש בתחילה ב- Google DNS ואז מתקשר בהמשך עם DNS משלו:
מודולי ליבה לגרסה
רשימת Feauters לכל גרסה
תנועת רשת
PsixBot מתחבר בתחילה לגוגל DNS ואז מתחבר לשרת DNS משלו ב- greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
ועד אולימפי בינלאומי
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
ההודעה גרסאות של PSIXBOT הופיע לראשונה ב חדשות קומודו ומידע בנושא אבטחת אינטרנט.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- אודות
- גישה
- פעילויות
- הוסיף
- תוספת
- מנהל
- אַלגוֹרִיתְם
- תעשיות
- אנליזה
- אנטי וירוס
- בְּכָל מָקוֹם
- יישומים
- לפני
- בטא
- שחור
- לחסום
- בלוג
- בוט
- בוטנט
- מסוגל
- תעודה
- בכיתה
- כיתות
- משולב
- Common
- המחשב
- הקשר
- תמיד
- עוגיות
- ליבה
- לִיצוֹר
- פושעים
- כיום
- נתונים
- שולחן העבודה
- מפותח
- צעצועי התפתחות
- לְהַצִיג
- DNS
- מסמכים
- כל אחד
- אמייל
- הנדסה
- מאפיין
- תכונות
- פבואר 2020
- Firefox
- ראשון
- הבא
- כדלקמן
- פוּרמָט
- מסגרת
- חופשי
- החל מ-
- פונקציה
- פונקציונלי
- נוסף
- נוצר
- גלוֹבָּלִי
- קְבוּצָה
- קְצִיר
- איך
- HTTPS
- תמונה
- חשוב
- לשפר
- כולל
- בנפרד
- מידע
- אינטרנט
- Internet Security
- IT
- מפתח
- רשימה
- מכונה
- מכונה
- תוכנות זדוניות
- חֲבֵרוּת
- זכרון
- שיטות
- מיקרוסופט
- רוב
- נטו
- רשת
- חדשות
- באינטרנט
- אחר
- Outlook
- שֶׁלוֹ
- סיסמאות
- ביצועים
- פינג
- נוכחות
- קודם
- שיא
- נשאר
- בקשות
- תוצאות
- הפעלה
- אותו
- אבטחה
- סט
- משמעותי
- since
- חֶברָתִי
- הנדסה חברתית
- כמה
- התפשטות
- תֶקֶן
- עומד
- מערכת
- אל האני
- דרך
- זמן
- תְנוּעָה
- טרויאני
- בלתי מוגבל
- עדכון
- שונים
- גרסה
- וירטואלי
- אם
- חלונות