Lesetid: 4 minutter
Introduksjon av PSIXBOT:
PsiXBot er en trojaner som stjeler data som er i stand til å hente konfidensielle data og passord fra et offers datamaskin. Den kan stjele informasjonskapsler, trekke ut pålogginger/passord fra applikasjoner som Firefox og Microsoft Outlook, registrere offerets tastetrykk, tillate kriminelle å eksternt se/samhandle med offerets skrivebord, og kan til og med legge til offerets datamaskin til et botnett. Det spres oftest via infiserte e-postvedlegg, via nettannonser som inneholder boten, og via andre sosiale ingeniørmetoder.
Den originale PsixBot-malwaren dukket opp i november 2017, men gjennomgikk betydelig utvikling før den kom i betaformat i 2019. Den har siden blitt videreutviklet og står for tiden på versjon 1.1.0.4 i februar 2020:
PsixBot ble generert i .NET framework. Denne bloggen tar deg gjennom de forskjellige gjentakelsene av PsixBot for å illustrere hvordan kriminelle på nettet stadig oppdaterer sine malware for å forbedre ytelsen og funksjonene.
Oppførselen til PsixBot
PsixBot endrer systemsertifikatinnstillingene, noe som gir den praktisk talt ubegrensede brukertilgangsrettigheter på vertsmaskinen:
Nøkler lagt til:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Verdier lagt til:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Filer lagt til:
C:Documents and SettingsAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Den første versjonen av PsixBot som dekkes i denne bloggen er Beta 1.0.0 med kjerneklassen 11. Hver klasse har sin individuelle oppgave. Følgende grunnleggende klasser brukes i alle versjoner av PsixBot:
- Servertalk – brukes til å initialisere den globale variabelen, opprette forbindelsen med moderskipsserveren og sende resultater frem og tilbake.
- RunInMemory – brukes til å faktisk kjøre filen.
- Sysinfo – brukes til å få informasjon om brukerens system, inkludert antivirusnavn, CPU, Windows-versjon, brukertype og brukertillatelser.
- CatchEndSession – brukes til å lage skjulte autoruns.
- SlettAttrib – brukes til å drepe systemets antivirusprogramvare, Windows Utforsker og eventuelle systemfeilvarsler.
- IsAdmin – brukes til å anta medlemskap i admin-gruppen.
- IsVm – oppdager tilstedeværelsen av virtuelle maskiner.
- ResolveBit – brukes til å løse DNS-forespørsler fra brukeren.
- RC4 – Algoritmen som brukes til å kryptere og dekryptere data.
- Install – installerer bot-filen og setter opp filens sikkerhets- og oppdateringsmoduler.
versjon 1.0.2
Beta 1.0.2 beholdt den grunnleggende klassefunksjonaliteten til den første versjonen, men ga nytt navn til noen av klassene som følger:
- ServerTalk – omdøpt til CpWorker
- RunInMemory – omdøpt til MemoryModulesWorker
- SysInfo – omdøpt til SysHelper
… og la til følgende klasse:
- DNSWorker – brukes til å få vertsoppføringen og pinge verten for å sjekke om den er oppe eller ikke.
versjon 1.1
Versjon 1.1 beholdt igjen samme klassestruktur som forgjengeren, men la til følgende oppgave til funksjonslisten:
- Forfg – brukes til å hente banen til temp-variabelen, sett DLL-katalogen og skriv den til en .dat-fil:
versjon 1.1.0.2
Versjon 1.1.0.2 så en oppdatering der FORFG funksjonen ble kombinert med den andre funksjonslisten. Alle andre klasser og aktiviteter forble de samme.
versjon 1.1.0.4
Igjen forble de grunnleggende klassene de samme som den forrige versjonen, men med tillegg av følgende, viktige, klasse
- GzipWebClient – brukes til å dekomprimere alle Gzip-filer lastet ned av boten:
Funksjonslisteoppdateringer
Tråder – Påkall trådfunksjonen som brukes til å kjøre filen og kjøre den i minnet (RunInMemory).
Bot nøkkel - PsixBot har en vanlig hard-koded-tast i alle versjoner:
Nettverksaktiviteter– PsixBot bruker først Google DNS og kommuniserer senere med sin egen DNS:
Kjernemoduler per versjon
FeautersList per versjon
Nettverkstrafikk
PsixBot kobler seg først til Google DNS og kobler deretter til sin egen DNS-server kl greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Innlegget VERSJONER AV PSIXBOT dukket først på Comodo News og Internet Security Information.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Om oss
- adgang
- Aktiviteter
- la til
- tillegg
- admin
- algoritme
- Alle
- analyse
- antivirus
- hvor som helst
- søknader
- før du
- beta
- Svart
- Blokker
- Blogg
- Bot
- botnet
- stand
- sertifikat
- klasse
- klasser
- kombinert
- Felles
- datamaskin
- tilkobling
- stadig
- cookies
- Kjerne
- skape
- kriminelle
- I dag
- dato
- desktop
- utviklet
- Utvikling
- Vise
- dns
- dokumenter
- hver enkelt
- emalje
- Ingeniørarbeid
- Trekk
- Egenskaper
- februar 2020
- Firefox
- Først
- etter
- følger
- format
- Rammeverk
- Gratis
- fra
- funksjon
- funksjonalitet
- videre
- generert
- Global
- Gruppe
- høsting
- Hvordan
- HTTPS
- bilde
- viktig
- forbedre
- Inkludert
- individuelt
- informasjon
- Internet
- Internet Security
- IT
- nøkkel
- Liste
- maskin
- maskiner
- malware
- medlemskap
- Minne
- metoder
- Microsoft
- mest
- nett
- nettverk
- nyheter
- på nett
- Annen
- Outlook
- egen
- passord
- ytelse
- ping
- tilstedeværelse
- forrige
- rekord
- forble
- forespørsler
- Resultater
- Kjør
- samme
- sikkerhet
- sett
- signifikant
- siden
- selskap
- Sosialteknikk
- noen
- spre
- Standard
- står
- system
- De
- Gjennom
- tid
- trafikk
- Trojan
- ubegrenset
- Oppdater
- ulike
- versjon
- virtuelle
- om
- vinduer
