Czas czytania: 4 minuty
Wprowadzenie PSIXBOT:
PsiXBot to trojan kradnący dane zdolny do przechwytywania poufnych danych i haseł z komputera ofiary. Może kraść pliki cookie, wyodrębniać loginy / hasła z aplikacji takich jak Firefox i Microsoft Outlook, rejestrować naciśnięcia klawiszy ofiary, umożliwiać przestępcom zdalne przeglądanie / interakcję z pulpitem ofiary, a nawet może dodać komputer ofiary do botnetu. Najczęściej rozprzestrzenia się za pośrednictwem zainfekowanych załączników wiadomości e-mail, reklam internetowych zawierających bota oraz innych metod inżynierii społecznej.
Oryginalne złośliwe oprogramowanie PsixBot pojawiło się w listopadzie 2017 r., Ale przeszło znaczący rozwój, zanim pojawiło się w formacie beta w 2019 r. Od tego czasu było dalej rozwijane i obecnie obowiązuje w wersji 1.1.0.4 w lutym 2020 r .:
PsixBot został wygenerowany w środowisku .NET. Ten blog przeprowadzi Cię przez różne iteracje PsixBot, aby zilustrować, w jaki sposób przestępcy internetowi stale aktualizują swoje malware aby poprawić jego wydajność i funkcje.
Zachowanie PsixBot
PsixBot zmienia ustawienia certyfikatów systemowych, co daje mu praktycznie nieograniczone prawa dostępu użytkownika na maszynie hosta:
Dodane klucze:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Dodane wartości:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Dodane pliki:
C: Dokumenty i ustawienia Administrator Dane aplikacji
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Pierwsza wersja PsixBota opisana na tym blogu to Beta 1.0.0 z podstawową klasą 11. Każda klasa ma swoje indywidualne zadanie. We wszystkich wersjach PsixBot używane są następujące podstawowe klasy:
- Rozmowa serwera - służy do inicjalizacji zmiennej globalnej, tworzenia połączenia z serwerem statku-matki i przesyłania wyników tam iz powrotem.
- Uruchom w pamięci - używany do faktycznego wykonania pliku.
- Informacje systemowe - służy do uzyskiwania informacji o systemie użytkownika, w tym o nazwie programu antywirusowego, procesorze, wersji systemu Windows, typie użytkownika i uprawnieniach użytkownika.
- ZłapZakończ Sesję - używany do tworzenia ukrytych autorunów.
- UsuńAtrybut – służy do zabijania systemu oprogramowanie antywirusowe, Eksplorator Windows i wszelkie alerty o błędach systemu.
- Jest administratorem - używany do zakładania członkostwa w grupie administratorów.
- IsVm - wykrywa obecność jakichkolwiek maszyn wirtualnych.
- Rozdziel bit - służy do rozwiązywania żądań DNS od użytkownika.
- RC4 - algorytm używany do szyfrowania i deszyfrowania danych.
- Zainstalować - instaluje plik bota i konfiguruje jego zabezpieczenia i moduły aktualizacji.
Wersja 1.0.2
Beta 1.0.2 zachowała podstawową funkcjonalność klas z pierwszej wersji, ale zmieniono nazwy niektórych klas w następujący sposób:
- ServerTalk - przemianowany na Pracownik Cp
- RunInMemory - przemianowany na PamięćModułyPracownik
- SysInfo - przemianowany na SysHelper
… I dodał następującą klasę:
- Pracownik DNS - używany do pobierania wpisu hosta i pingowania hosta, aby sprawdzić, czy działa.
Wersja 1.1
Wersja 1.1 ponownie zachowała tę samą strukturę klas, co jej poprzedniczka, ale dodała następujące zadanie do listy funkcji:
- Forfg - służy do uzyskania ścieżki do zmiennej temp, ustaw katalog DLL i zapisz go w pliku .dat:
Wersja 1.1.0.2
W wersji 1.1.0.2 pojawiła się aktualizacja, w wyniku której FORFG funkcja została połączona z inną listą funkcji. Wszystkie inne zajęcia i zajęcia pozostały takie same.
Wersja 1.1.0.4
Ponownie, podstawowe klasy pozostały takie same jak w poprzedniej wersji, ale z dodatkiem następnej, ważnej klasy
- Klient GzipWeb - służy do dekompresji wszystkich plików Gzip pobranych przez bota:
Aktualizacje listy funkcji
Gwintownik - Wywołaj funkcję wątku używaną do uruchomienia pliku i uruchom go w pamięci (Uruchom w pamięci).
Klucz bota - PsixBot ma wspólny, twardy kodd klucz we wszystkich wersjach:
Działania sieciowe- PsixBot początkowo używa Google DNS, a następnie komunikuje się z własnym DNS:
Podstawowe moduły na wersję
FeautersList na wersję
Ruch w sieci
PsixBot początkowo łączy się z Google DNS, a następnie łączy się z własnym serwerem DNS pod adresem greentowns.pl:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- O nas
- dostęp
- zajęcia
- faktycznie
- Dodaj
- w dodatku
- dodatek
- Admin
- ponownie
- Alarmy
- algorytm
- Wszystkie kategorie
- dopuszczać
- an
- analiza
- i
- antywirusowe
- każdy
- aplikacje
- SĄ
- przyjazd
- AS
- założyć
- At
- z powrotem
- podstawowy
- być
- zanim
- zachowanie
- beta
- Blog
- Bot
- Botnet
- ale
- by
- CAN
- zdolny
- świadectwo
- Zmiany
- ZOBACZ
- klasa
- Klasy
- kliknij
- połączony
- wspólny
- komputer
- poufny
- połączenie
- łączy
- stale
- zawierać
- cookies
- rdzeń
- pokryty
- Stwórz
- przestępcy
- Obecnie
- dane
- Odszyfruj
- stacjonarny
- rozwinięty
- oprogramowania
- katalog
- dns
- dokumenty
- pobrany
- każdy
- Szyfrowanie
- Inżynieria
- wejście
- błąd
- Parzyste
- wydarzenie
- wykonać
- badacz
- wyciąg
- Cecha
- Korzyści
- luty
- luty 2020
- filet
- Akta
- Firefox
- i terminów, a
- następujący
- następujący sposób
- W razie zamówieenia projektu
- format
- naprzód
- Framework
- Darmowy
- od
- funkcjonować
- Funkcjonalność
- dalej
- wygenerowane
- otrzymać
- daje
- Globalne
- Zarządzanie
- Żniwny
- Ukryty
- gospodarz
- W jaki sposób
- HTTPS
- zilustrować
- obraz
- ważny
- podnieść
- in
- Włącznie z
- indywidualny
- zarażony
- Informacja
- początkowo
- natychmiastowy
- IT
- iteracje
- JEGO
- jpg
- Klawisz
- Zabić
- później
- lubić
- Lista
- maszyna
- maszyny
- malware
- Maksymalna szerokość
- członkostwo
- Pamięć
- metody
- Microsoft
- Moduły
- większość
- Nazwa
- netto
- sieć
- listopad
- nt
- uzyskać
- of
- często
- on
- Online
- or
- oryginalny
- Inne
- Outlook
- własny
- hasła
- ścieżka
- dla
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- uprawnienia
- PHP
- świst
- plato
- Analiza danych Platona
- PlatoDane
- poprzednik
- obecność
- poprzedni
- rekord
- pozostał
- zdalnie
- wywołań
- rozwiązać
- Efekt
- prawa
- run
- taki sam
- zobaczył
- karta z punktami
- bezpieczeństwo
- wysłać
- serwer
- zestaw
- Zestawy
- w panelu ustawień
- znaczący
- ponieważ
- Obserwuj Nas
- Inżynieria społeczna
- kilka
- rozpiętość
- standard
- stojaki
- Struktura
- system
- trwa
- Zadanie
- Połączenia
- ich
- następnie
- to
- groźba
- Przez
- czas
- do
- ruch drogowy
- trojański
- rodzaj
- typy
- przeszedł
- nieograniczone
- Aktualizacja
- używany
- Użytkownik
- zastosowania
- zmienna
- różnorodny
- wersja
- Wersje
- przez
- Wirtualny
- prawie
- była
- czy
- który
- okna
- w
- napisać
- You
- Twój
- zefirnet