Leestijd: 4 minuten
Introductie van PSIXBOT:
PsiXBot is een trojan voor het stelen van gegevens die in staat is vertrouwelijke gegevens en wachtwoorden van de computer van een slachtoffer te verzamelen. Het kan cookies stelen, logins / wachtwoorden extraheren uit applicaties zoals Firefox en Microsoft Outlook, de toetsaanslagen van het slachtoffer opnemen, criminelen op afstand de desktop van het slachtoffer laten bekijken / gebruiken en zelfs de computer van het slachtoffer toevoegen aan een botnet. Het wordt meestal verspreid via geรฏnfecteerde e-mailbijlagen, via online advertenties die de bot bevatten, en via andere social engineering-methoden.
De originele PsixBot-malware dook in november 2017 op, maar onderging een aanzienlijke ontwikkeling voordat het in bรจtavorming in 2019 arriveerde. Sindsdien is het verder ontwikkeld en staat het momenteel op versie 1.1.0.4 in februari 2020:
PsixBot is gegenereerd in .NET-framework. Deze blog neemt je mee door de verschillende iteraties van PsixBot om te laten zien hoe online criminelen hun malware om de prestaties en functies te verbeteren.
Gedrag van PsixBot
PsixBot verandert de instellingen van het systeemcertificaat, waardoor het vrijwel onbeperkte toegangsrechten voor gebruikers op de hostcomputer krijgt:
Sleutels toegevoegd:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Waarden toegevoegd:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 โฆโฆ..
Bestanden toegevoegd:
C: Documenten en instellingen Administrator Applicatiegegevens
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
De eerste versie van PsixBot die in deze blog wordt behandeld, is Beta 1.0.0 met de kernklasse 11. Elke klas heeft zijn individuele taak. De volgende basisklassen worden gebruikt in alle versies van PsixBot:
- Serverpraat - wordt gebruikt om de globale variabele te initialiseren, de verbinding met de moederschipserver tot stand te brengen en resultaten heen en weer te sturen.
- RunInMemory - gebruikt om het bestand daadwerkelijk uit te voeren.
- SysInfo - gebruikt om informatie te verkrijgen over het systeem van de gebruiker, inclusief antivirusnaam, CPU, Windows-versie, gebruikerstype en gebruikersrechten.
- CatchEndSessie - gebruikt om verborgen autoruns te maken.
- Attribuut verwijderen - gebruikt om het systeem te doden antivirus software, Windows Verkenner en eventuele systeemfoutwaarschuwingen.
- IsAdmin - gebruikt om lidmaatschap van de admin-groep aan te nemen.
- IsVm - detecteert de aanwezigheid van virtuele machines.
- OplossenBit - gebruikt om DNS-verzoeken van de gebruiker op te lossen.
- RC4 - het algoritme dat wordt gebruikt om gegevens te versleutelen en ontsleutelen.
- Install - installeert het botbestand en stelt de beveiligings- en updatemodules van het bestand in.
versie 1.0.2
Beta 1.0.2 behield de basisklasse-functionaliteit van de eerste versie, maar hernoemde enkele klassen als volgt:
- ServerTalk - hernoemd als CpWerker
- RunInMemory - hernoemd als GeheugenModulesWerknemer
- SysInfo - hernoemd als SysHelper
โฆ En voegde de volgende klasse toe:
- DNSWerknemer - wordt gebruikt om de host-invoer op te halen en de host te pingen om te controleren of deze actief is.
versie 1.1
Versie 1.1 behield opnieuw dezelfde klassenstructuur als zijn voorganger, maar voegde de volgende taak toe aan de lijst met functies:
- Forfg - gebruikt om het pad naar de tijdelijke variabele te verkrijgen, de DLL-directory in te stellen en deze naar een .dat-bestand te schrijven:
versie 1.1.0.2
Versie 1.1.0.2 zag een update waarbij het FORFG feature werd gecombineerd met de andere feature lijst. Alle andere lessen en activiteiten bleven hetzelfde.
versie 1.1.0.4
Nogmaals, de basisklassen bleven hetzelfde als de vorige versie, maar met de toevoeging van de volgende, belangrijke, klasse
- GzipWebClient - gebruikt om alle Gzip-bestanden die door de bot zijn gedownload te decomprimeren:
Functielijstupdates
Inrijger - Roep de thread-functie op die wordt gebruikt om het bestand uit te voeren en voer het uit in het geheugen (RunInMemory).
Bot-sleutel - PsixBot heeft een gemeenschappelijke, harde coded-toets in alle versies:
Netwerkactiviteiten- PsixBot gebruikt in eerste instantie Google DNS en communiceert later met zijn eigen DNS:
Kernmodules per versie
FeautersList per versie
Netwerk verkeer
PsixBot maakt in eerste instantie verbinding met Google DNS en maakt vervolgens verbinding met zijn eigen DNS-server op greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
De post VERSIES VAN PSIXBOT verscheen eerst op Comodo Nieuws en informatie over internetbeveiliging.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Over
- toegang
- activiteiten
- toegevoegd
- toevoeging
- beheerder
- algoritme
- Alles
- analyse
- antivirus
- overal
- toepassingen
- vaardigheden
- beta
- Zwart
- Blok
- Blog
- Bot
- botnet
- in staat
- certificaat
- klasse
- klassen
- gecombineerde
- Gemeen
- computer
- versterken
- permanent
- cookies
- Kern
- en je merk te creรซren
- criminelen
- Op dit moment
- gegevens
- desktop
- ontwikkelde
- Ontwikkeling
- Display
- dns
- documenten
- elk
- Engineering
- Kenmerk
- Voordelen
- februari 2020
- Firefox
- Voornaam*
- volgend
- volgt
- formaat
- Achtergrond
- Gratis
- oppompen van
- functie
- functionaliteit
- verder
- gegenereerde
- Globaal
- Kopen Google Reviews
- Groep
- oogst
- Hoe
- HTTPS
- beeld
- belangrijk
- verbeteren
- Inclusief
- individueel
- informatie
- Internet
- internet Security
- IT
- sleutel
- Lijst
- machine
- Machines
- malware
- lidmaatschap
- Geheugen
- methoden
- Microsoft
- meest
- netto
- netwerk
- nieuws
- online.
- Overige
- Outlook
- het te bezitten.
- wachtwoorden
- prestatie
- ping
- aanwezigheid
- vorig
- record
- bleef
- verzoeken
- Resultaten
- lopen
- dezelfde
- veiligheid
- reeks
- aanzienlijke
- sinds
- Social
- Social engineering
- sommige
- verspreiden
- standaard
- staat
- system
- De
- Door
- niet de tijd of
- verkeer
- Trojaans
- onbeperkt
- bijwerken
- divers
- versie
- Virtueel
- of
- ruiten
