Timp de citit: 4 minute
Introducere PSIXBOT:
PsiXBot este un troian de furt de date capabil să colecteze date și parole confidențiale de pe computerul unei victime. Poate fura cookie-uri, extrage date de conectare/parole din aplicații precum Firefox și Microsoft Outlook, poate înregistra apăsările de taste ale victimei, permite criminalilor să vizualizeze/interacționeze de la distanță cu desktopul victimei și poate chiar adăuga computerul victimei la o rețea botnet. Cel mai adesea este răspândit prin atașamentele de e-mail infectate, prin reclame online care conțin botul și prin alte metode de inginerie socială.
Malware-ul original PsixBot a apărut în noiembrie 2017, dar a suferit o dezvoltare semnificativă înainte de a ajunge în format beta în 2019. De atunci a fost dezvoltat în continuare și se află în prezent la versiunea 1.1.0.4 în februarie 2020:
PsixBot was generated in .NET framework. This blog takes you through the various iterations of PsixBot to illustrate how online criminals constantly update their malware to improve its performance and features.
Comportamentul lui PsixBot
PsixBot modifică setările certificatului de sistem, ceea ce îi oferă drepturi de acces practic nelimitate de utilizator pe mașina gazdă:
Chei adăugate:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valori adaugate:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Fișiere adăugate:
C:Documente și setări Administrator Date aplicații
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
Prima versiune de PsixBot abordată în acest blog este Beta 1.0.0 cu clasa de bază 11. Fiecare clasă are sarcina sa individuală. Următoarele clase de bază sunt utilizate în toate versiunile de PsixBot:
- Servertalk – folosit pentru a inițializa variabila globală, pentru a crea conexiunea cu serverul nava-mamă și pentru a trimite rezultate înainte și înapoi.
- RunInMemory – folosit pentru a executa efectiv fișierul.
- sysinfo – folosit pentru a obține informații despre sistemul utilizatorului, inclusiv numele antivirus, CPU, versiunea Windows, tipul de utilizator și permisiunile utilizatorului.
- CatchEndSession – folosit pentru a crea autorunări ascunse.
- DeleteAttrib – used to kill the system’s program antivirus, Windows Explorer, and any system error alerts.
- IsAdmin – folosit pentru a-și asuma calitatea de membru al grupului de administrare.
- IsVm – detectează prezența oricăror mașini virtuale.
- ResolveBit – folosit pentru a rezolva cererile DNS de la utilizator.
- RC4 – algoritmul utilizat pentru criptarea și decriptarea datelor.
- Instala – instalează fișierul bot și setează modulele de securitate și actualizare ale fișierului.
versiune 1.0.2
Beta 1.0.2 a păstrat funcționalitatea de bază a clasei din prima versiune, dar a redenumit unele dintre clase după cum urmează:
- ServerTalk – redenumit ca CpWorker
- RunInMemory – redenumit ca MemoryModulesWorker
- SysInfo - redenumit ca SysHelper
… și a adăugat următoarea clasă:
- DNSWorker – folosit pentru a obține intrarea gazdă și pentru a da ping gazdei pentru a verifica dacă este sau nu activată.
versiune 1.1
Versiunea 1.1 a păstrat din nou aceeași structură de clasă ca și predecesorul său, dar a adăugat următoarea sarcină la lista de caracteristici:
- Forfg – folosit pentru a obține calea către variabila temp, setați directorul DLL și scrieți-l într-un fișier .dat:
versiune 1.1.0.2
Versiunea 1.1.0.2 a văzut o actualizare prin care FORFG caracteristica a fost combinată cu cealaltă listă de caracteristici. Toate celelalte clase și activități au rămas aceleași.
versiune 1.1.0.4
Din nou, clasele de bază au rămas aceleași ca versiunea anterioară, dar cu adăugarea următoarei clase importante
- GzipWebClient – folosit pentru a decomprima orice fișier Gzip descărcat de bot:
Actualizări ale listei de funcții
Threader – Invocați funcția thread folosită pentru a rula fișierul și rulați-l în memorie (RunInMemory).
Cheia Bot - PsixBot are un cod comun, hard-codetasta d în toate versiunile:
Activități de rețea– PsixBot folosește inițial DNS Google, apoi comunică ulterior cu propriul DNS:
Module de bază pentru fiecare versiune
FeautersList per versiune
Trafic de rețea
PsixBot se conectează inițial la Google DNS, apoi se conectează la propriul server DNS la greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Mesaj VERSIUNI DE PSIXBOT a apărut în primul rând pe Știri Comodo și informații de securitate pe Internet.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Despre Noi
- acces
- activităţi de
- adăugat
- plus
- admin
- Algoritmul
- TOATE
- analiză
- antivirus
- oriunde
- aplicatii
- înainte
- beta
- Negru
- Bloca
- Blog
- Bot
- botnet
- capabil
- certificat
- clasă
- clase
- combinate
- Comun
- calculator
- conexiune
- mereu
- fursecuri
- Nucleu
- crea
- criminali
- În prezent
- de date
- desktop
- dezvoltat
- Dezvoltare
- Afişa
- dns
- documente
- fiecare
- Inginerie
- Caracteristică
- DESCRIERE
- februarie 2020
- Firefox
- First
- următor
- urmează
- format
- Cadru
- Gratuit
- din
- funcţie
- funcționalitate
- mai mult
- generată
- Caritate
- grup
- recoltat
- Cum
- HTTPS
- imagine
- important
- îmbunătăţi
- Inclusiv
- individ
- informații
- Internet
- Internet Security
- IT
- Cheie
- Listă
- maşină
- Masini
- malware
- apartenență
- Memorie
- Metode
- Microsoft
- cele mai multe
- net
- reţea
- ştiri
- on-line
- Altele
- Perspectivă
- propriu
- Parolele
- performanță
- ping
- prezenţă
- precedent
- record
- a ramas
- cereri de
- REZULTATE
- Alerga
- acelaşi
- securitate
- set
- semnificativ
- întrucât
- Social
- Inginerie sociala
- unele
- răspândire
- standard
- Standuri
- sistem
- Prin
- timp
- trafic
- troian
- nelimitat
- Actualizează
- diverse
- versiune
- Virtual
- dacă
- ferestre
