WERSJE PSIXBOT

Czas czytania: 4 minuty

Wprowadzenie PSIXBOT:

PsiXBot to trojan kradnący dane zdolny do przechwytywania poufnych danych i haseł z komputera ofiary. Może kraść pliki cookie, wyodrębniać loginy / hasła z aplikacji takich jak Firefox i Microsoft Outlook, rejestrować naciśnięcia klawiszy ofiary, umożliwiać przestępcom zdalne przeglądanie / interakcję z pulpitem ofiary, a nawet może dodać komputer ofiary do botnetu. Najczęściej rozprzestrzenia się za pośrednictwem zainfekowanych załączników wiadomości e-mail, reklam internetowych zawierających bota oraz innych metod inżynierii społecznej.

Oryginalne złośliwe oprogramowanie PsixBot pojawiło się w listopadzie 2017 r., Ale przeszło znaczący rozwój, zanim pojawiło się w formacie beta w 2019 r. Od tego czasu było dalej rozwijane i obecnie obowiązuje w wersji 1.1.0.4 w lutym 2020 r .:

PsixBot został wygenerowany w środowisku .NET. Ten blog przeprowadzi Cię przez różne iteracje PsixBot, aby zilustrować, w jaki sposób przestępcy internetowi stale aktualizują swoje malware aby poprawić jego wydajność i funkcje.

Zachowanie PsixBot

PsixBot zmienia ustawienia certyfikatów systemowych, co daje mu praktycznie nieograniczone prawa dostępu użytkownika na maszynie hosta:

Dodane klucze:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Dodane wartości:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Dodane pliki:

C: Dokumenty i ustawienia Administrator Dane aplikacji

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

beta 1.0.0

Pierwsza wersja PsixBota opisana na tym blogu to Beta 1.0.0 z podstawową klasą 11. Każda klasa ma swoje indywidualne zadanie. We wszystkich wersjach PsixBot używane są następujące podstawowe klasy:

• Rozmowa serwera - służy do inicjalizacji zmiennej globalnej, tworzenia połączenia z serwerem statku-matki i przesyłania wyników tam iz powrotem.
• Uruchom w pamięci - używany do faktycznego wykonania pliku.
• Informacje systemowe - służy do uzyskiwania informacji o systemie użytkownika, w tym o nazwie programu antywirusowego, procesorze, wersji systemu Windows, typie użytkownika i uprawnieniach użytkownika.
• ZłapZakończ Sesję - używany do tworzenia ukrytych autorunów.
• UsuńAtrybut – służy do zabijania systemu oprogramowanie antywirusowe, Eksplorator Windows i wszelkie alerty o błędach systemu.
• Jest administratorem - używany do zakładania członkostwa w grupie administratorów.
• IsVm - wykrywa obecność jakichkolwiek maszyn wirtualnych.
• Rozdziel bit - służy do rozwiązywania żądań DNS od użytkownika.
• RC4 - algorytm używany do szyfrowania i deszyfrowania danych.
• Zainstalować - instaluje plik bota i konfiguruje jego zabezpieczenia i moduły aktualizacji.

Wersja 1.0.2

Beta 1.0.2 zachowała podstawową funkcjonalność klas z pierwszej wersji, ale zmieniono nazwy niektórych klas w następujący sposób:

• ServerTalk - przemianowany na Pracownik Cp
• RunInMemory - przemianowany na PamięćModułyPracownik
• SysInfo - przemianowany na SysHelper

… I dodał następującą klasę:

• Pracownik DNS - używany do pobierania wpisu hosta i pingowania hosta, aby sprawdzić, czy działa.

Wersja 1.1

Wersja 1.1 ponownie zachowała tę samą strukturę klas, co jej poprzedniczka, ale dodała następujące zadanie do listy funkcji:

• Forfg - służy do uzyskania ścieżki do zmiennej temp, ustaw katalog DLL i zapisz go w pliku .dat:

Wersja 1.1.0.2

W wersji 1.1.0.2 pojawiła się aktualizacja, w wyniku której FORFG funkcja została połączona z inną listą funkcji. Wszystkie inne zajęcia i zajęcia pozostały takie same.

 

 

Wersja 1.1.0.4

Ponownie, podstawowe klasy pozostały takie same jak w poprzedniej wersji, ale z dodatkiem następnej, ważnej klasy

• Klient GzipWeb - służy do dekompresji wszystkich plików Gzip pobranych przez bota:

 

 

 

 

 

Aktualizacje listy funkcji

Gwintownik - Wywołaj funkcję wątku używaną do uruchomienia pliku i uruchom go w pamięci (Uruchom w pamięci).

Klucz bota - PsixBot ma wspólny, twardy kodd klucz we wszystkich wersjach:

Działania sieciowe- PsixBot początkowo używa Google DNS, a następnie komunikuje się z własnym DNS:

Podstawowe moduły na wersję

FeautersList na wersję

Ruch w sieci

PsixBot początkowo łączy się z Google DNS, a następnie łączy się z własnym serwerem DNS pod adresem greentowns.pl:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

IOC

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

 

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

 

Post WERSJE PSIXBOT pojawiła się najpierw na Wiadomości Comodo i informacje o bezpieczeństwie w Internecie.

• Coinsmart. Najlepsza w Europie giełda bitcoinów i kryptowalut.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. DARMOWY DOSTĘP.
• CryptoJastrząb. Radar Altcoin. Bezpłatna wersja próbna.
• Źródło: https://blog.comodo.com/comodo-news/versions-of-psixbot/