Tempo de leitura: 4 minutos
Introdução do PSIXBOT:
PsiXBot é um trojan de roubo de dados capaz de coletar dados confidenciais e senhas do computador da vítima. Ele pode roubar cookies, extrair logins/senhas de aplicativos como Firefox e Microsoft Outlook, registrar as teclas digitadas pela vítima, permitir que criminosos visualizem/interajam remotamente com a área de trabalho da vítima e pode até adicionar o computador da vítima a um botnet. É mais frequentemente espalhado por meio de anexos de e-mail infectados, por meio de anúncios on-line que contêm o bot e por outros métodos de engenharia social.
O malware PsixBot original surgiu em novembro de 2017, mas passou por um desenvolvimento significativo antes de chegar ao formato beta em 2019. Desde então, foi desenvolvido e atualmente está na versão 1.1.0.4 em fevereiro de 2020:
O PsixBot foi gerado no framework .NET. Este blog leva você pelas várias iterações do PsixBot para ilustrar como os criminosos online atualizam constantemente seus malwares para melhorar seu desempenho e recursos.
Comportamento do PsixBot
O PsixBot altera as configurações do certificado do sistema, o que lhe dá direitos de acesso de usuário praticamente ilimitados na máquina host:
Chaves adicionadas:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valores adicionados:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Arquivos adicionados:
C: Documentos e configuraçõesAdministradorDados de aplicativos
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 beta
A primeira versão do PsixBot abordada neste blog é a Beta 1.0.0 com a classe principal 11. Cada classe tem sua tarefa individual. As seguintes classes básicas são usadas em todas as versões do PsixBot:
- Conversa de servidor – usado para inicializar a variável global, criar a conexão com o servidor da nave-mãe e enviar resultados para frente e para trás.
- Executar na memória – usado para realmente executar o arquivo.
- Sysinfo – usado para obter informações sobre o sistema do usuário, incluindo nome do antivírus, CPU, versão do Windows, tipo de usuário e permissões do usuário.
- CatchEndSession – usado para criar autoruns ocultos.
- Excluir atributo – usado para matar o sistema software antivírus, Windows Explorer e quaisquer alertas de erro do sistema.
- ÉAdmin – usado para assumir a participação no grupo de administradores.
- ÉVm – detecta a presença de qualquer máquina virtual.
- ResolverBit – usado para resolver solicitações de DNS do usuário.
- RC4 – o algoritmo usado para criptografar e descriptografar dados.
- Instale – instala o arquivo bot e configura os módulos de segurança e atualização do arquivo.
versão 1.0.2
Beta 1.0.2 manteve a funcionalidade de classe básica da primeira versão, mas renomeou algumas das classes da seguinte forma:
- ServerTalk - renomeado como CpWorker
- RunInMemory – renomeado como MemoryModulesWorker
- SysInfo - renomeado como SysHelperName
… e adicionei a seguinte classe:
- DNSWorker – usado para obter a entrada do host e pingar o host para verificar se ele está ativo ou não.
versão 1.1
A versão 1.1 novamente manteve a mesma estrutura de classe de seu predecessor, mas adicionou a seguinte tarefa à lista de recursos:
- Forfg- usado para obter o caminho para a variável temp, defina o diretório DLL e grave-o em um arquivo .dat:
versão 1.1.0.2
A versão 1.1.0.2 viu uma atualização em que o FORFG recurso foi combinado com a outra lista de recursos. Todas as outras aulas e atividades permaneceram as mesmas.
versão 1.1.0.4
Novamente, as classes básicas permaneceram as mesmas da versão anterior, mas com a adição das seguintes classes importantes
- GzipWebClientName – usado para descompactar qualquer arquivo Gzip baixado pelo bot:
Atualizações da lista de recursos
Enfiador - Invoque a função de thread usada para executar o arquivo e execute-o na memória (Executar na memória).
Chave Bot - O PsixBot tem um código comumd chave em todas as versões:
Atividades em Rede– O PsixBot inicialmente usa o DNS do Google e depois se comunica com seu próprio DNS:
Módulos principais por versão
FeautersList por versão
Tráfego de rede
O PsixBot se conecta inicialmente ao DNS do Google e depois se conecta ao seu próprio servidor DNS em cidades verdes.hk:
193.32.188.136 (cidades verdes.hk)
185.98.87.59 (cidades verdes.hk)
COI
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(cidadesverdes.hk)
185.98.87.59(cidadesverdes.hk)
O posto VERSÕES DO PSIXBOT apareceu pela primeira vez em Notícias da Comodo e informações de segurança da Internet.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Sobre
- Acesso
- atividades
- adicionado
- Adição
- admin
- algoritmo
- Todos os Produtos
- análise
- antivirus
- qualquer lugar
- aplicações
- antes
- beta
- Preto
- Bloquear
- Blog
- Bot
- Botnet
- capaz
- certificado
- classe
- aulas
- combinado
- comum
- computador
- da conexão
- constantemente
- bolinhos
- núcleo
- crio
- Os criminosos
- Atualmente
- dados,
- área de trabalho
- desenvolvido
- Desenvolvimento
- Ecrã
- dns
- INSTITUCIONAIS
- cada
- Engenharia
- Característica
- Funcionalidades
- Fevereiro de 2020
- Firefox
- Primeiro nome
- seguinte
- segue
- formato
- Quadro
- Gratuito
- da
- função
- funcionalidade
- mais distante
- gerado
- Global
- Grupo
- Colheita
- Como funciona o dobrador de carta de canal
- HTTPS
- imagem
- importante
- melhorar
- Incluindo
- Individual
- INFORMAÇÕES
- Internet
- Internet Security
- IT
- Chave
- Lista
- máquina
- máquinas
- malwares
- Filiação
- Memória
- métodos
- Microsoft
- a maioria
- líquido
- rede
- notícias
- online
- Outros
- Outlook
- próprio
- senhas
- atuação
- sibilo
- presença
- anterior
- registro
- permaneceu
- pedidos
- Resultados
- Execute
- mesmo
- segurança
- conjunto
- periodo
- desde
- Redes Sociais
- Engenharia social
- alguns
- propagação
- padrão
- fica
- .
- A
- Através da
- tempo
- tráfego
- troiano
- ilimitado
- Atualizar
- vário
- versão
- Virtual
- se
- Windows