読書の時間: 4 分
PSIXBOTの紹介:
PsiXBotは、被害者のコンピュータから機密データとパスワードを収集できるデータ盗用型トロイの木馬です。 Cookieを盗んだり、FirefoxやMicrosoft Outlookなどのアプリケーションからログイン/パスワードを抽出したり、被害者のキーストロークを記録したり、犯罪者が被害者のデスクトップをリモートで表示/操作したり、被害者のコンピュータをボットネットに追加したりすることができます。 ほとんどの場合、感染したメールの添付ファイル、ボットを含むオンライン広告、その他のソーシャルエンジニアリング手法を介して拡散します。
元のPsixBotマルウェアは2017年2019月に表面化しましたが、1.1.0.4年にベータ形式で到着する前に大幅な開発が行われました。その後さらに開発され、現在2020年XNUMX月にバージョンXNUMXになっています。
PsixBot は .NET Framework で生成されました。このブログでは、PsixBot のさまざまな反復を通じて、オンライン犯罪者がどのようにして常にセキュリティ情報を更新しているかを説明します。 マルウェア パフォーマンスと機能を向上させるため。
PsixBotの動作
PsixBotはシステム証明書の設定を変更します。これにより、ホストマシン上で実質的に無制限のユーザーアクセス権が付与されます。
追加されたキー:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
追加された値:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
追加されたファイル:
C:Documents and SettingsAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
ベータ1.0.0
このブログで取り上げられているPsixBotの最初のバージョンは、コアクラス1.0.0のBeta 11です。各クラスには個別のタスクがあります。 次の基本クラスは、PsixBotのすべてのバージョンで使用されます。
- サーバートーク –グローバル変数の初期化、マザーシップサーバーとの接続の作成、結果の送受信に使用されます。
- ランインメモリ –実際にファイルを実行するために使用されます。
- シスインフォ –アンチウイルス名、CPU、Windowsバージョン、ユーザータイプ、ユーザー権限など、ユーザーのシステムに関する情報を取得するために使用されます。
- キャッチエンドセッション –非表示の自動実行を作成するために使用されます。
- 削除属性 – システムを強制終了するために使用されます ウイルス対策ソフト、Windows エクスプローラー、およびその他のシステム エラー アラート。
- 管理者です –管理グループのメンバーシップを引き受けるために使用されます。
- IsVm –仮想マシンの存在を検出します。
- 解決ビット –ユーザーからのDNS要求を解決するために使用されます。
- RC4 –データの暗号化と復号化に使用されるアルゴリズム。
- インストールを開始する –ボットファイルをインストールし、ファイルのセキュリティと更新モジュールを設定します。
Version 1.0.2
Beta 1.0.2では、最初のバージョンの基本的なクラス機能が維持されていましたが、一部のクラスの名前が次のように変更されました。
- サーバートーク – 名前を変更 CPワーカー
- ランインメモリー – 名前を変更 メモリモジュールワーカー
- システム情報 – 名前を変更 システムヘルパー
…そして次のクラスを追加しました:
- DNSワーカー –ホストエントリを取得し、ホストにpingして、アップしているかどうかを確認するために使用されます。
Version 1.1
バージョン1.1では、以前のバージョンと同じクラス構造が保持されていますが、機能リストに次のタスクが追加されています。
- フォーグ – temp変数へのパスを取得し、DLLディレクトリを設定し、それを.datファイルに書き込むために使用されます。
Version 1.1.0.2
バージョン1.1.0.2では、 フォーグ 機能は他の機能リストと組み合わされました。 他のすべてのクラスと活動は同じままでした。
Version 1.1.0.4
繰り返しますが、基本クラスは以前のバージョンと同じですが、次の重要なクラスが追加されています
- GzipWebClientComment –ボットによってダウンロードされたGzipファイルを解凍するために使用されます。
機能リストの更新
スレッダー– ファイルを実行するために使用されるスレッド関数を呼び出し、それをメモリ(ランインメモリ).
ボットキー – PsixBotには共通のハードコードがありますすべてのバージョンのdキー:
ネットワーク活動– PsixBotは最初にGoogle DNSを使用し、その後独自のDNSと通信します。
バージョンごとのコアモジュール
バージョンごとのFeautersList
ネットワークトラフィック
PsixBotは最初にGoogle DNSに接続してから、次の場所にある独自のDNSサーバーに接続します グリーンタウンズ香港:
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
ポスト PSIXBOTのバージョン 最初に登場した コモドニュースとインターネットセキュリティ情報.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- 私たちについて
- アクセス
- 活動
- 追加されました
- 添加
- 管理人
- アルゴリズム
- すべて
- 分析
- アンチウイルス
- どこにでも
- ベータ
- ブラック
- ブロック
- ブログ
- ロボット
- ボットネット
- できる
- 証明書
- class
- クラス
- 組み合わせた
- コマンドと
- コンピュータ
- 接続
- 絶えず
- クッキー
- 基本
- 作ります
- 犯罪者
- 現在
- データ
- デスクトップ
- 発展した
- 開発
- ディスプレイ
- DNS
- ドキュメント
- 各
- エンジニアリング
- 特徴
- 特徴
- 2月2020
- Firefoxの
- 名
- フォロー中
- 次
- 形式でアーカイブしたプロジェクトを保存します.
- フレームワーク
- 無料版
- から
- function
- 機能性
- さらに
- 生成された
- グローバル
- でログイン
- グループ
- 収穫
- 認定条件
- HTTPS
- 画像
- 重要
- 改善します
- 含めて
- 個人
- 情報
- インターネット
- インターネットセキュリティー
- IT
- キー
- リスト
- 機械
- マシン
- マルウェア
- メンバーシップ
- メモリ
- メソッド
- Microsoft
- 最も
- net
- ネットワーク
- ニュース
- オンライン
- その他
- Outlook
- 自分の
- パスワード
- パフォーマンス
- ping
- プレゼンス
- 前
- 記録
- 残った
- リクエスト
- 結果
- ラン
- 同じ
- セキュリティ
- セッションに
- 重要
- から
- 社会
- ソーシャルエンジニアリング
- 一部
- 広がる
- 標準
- スタンド
- 介して
- 時間
- トラフィック
- トロイの
- 無限の
- アップデイト
- さまざまな
- バージョン
- バーチャル
- かどうか
- ウィンドウズ