Время чтения: 4 минут
Введение в PSIXBOT:
PsiXBot - это троян для кражи данных, способный собирать конфиденциальные данные и пароли с компьютера жертвы. Он может похищать файлы cookie, извлекать логины / пароли из таких приложений, как Firefox и Microsoft Outlook, записывать нажатия клавиш жертвы, позволять преступникам удаленно просматривать / взаимодействовать с рабочим столом жертвы и даже может добавлять компьютер жертвы в ботнет. Чаще всего он распространяется через зараженные вложения электронной почты, через интернет-рекламу, в которой содержится бот, и с помощью других методов социальной инженерии.
Исходное вредоносное ПО PsixBot появилось в ноябре 2017 года, но претерпело значительные изменения, прежде чем появиться в бета-формате в 2019 году. С тех пор оно было усовершенствовано и в настоящее время находится в версии 1.1.0.4 в феврале 2020 года:
PsixBot был сгенерирован в среде .NET. В этом блоге вы познакомитесь с различными версиями PsixBot, чтобы проиллюстрировать, как онлайн-преступники постоянно обновляют свои вредоносных программ для улучшения его производительности и возможностей.
Поведение PsixBot
PsixBot изменяет настройки сертификата системы, что дает ему практически неограниченные права доступа пользователя на хост-компьютере:
Ключи добавлены:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Добавленные значения:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Добавленные файлы:
C: Документы и настройки администратора приложения Данные приложения
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Бета 1.0.0
Первая версия PsixBot, описанная в этом блоге, - бета-версия 1.0.0 с базовым классом 11. Каждый класс имеет свою индивидуальную задачу. Следующие базовые классы используются во всех версиях PsixBot:
- Разговор о сервере - используется для инициализации глобальной переменной, создания соединения с сервером Mothership и отправки результатов туда и обратно.
- RunInMemory - используется для фактического выполнения файла.
- системная информация - используется для получения информации о системе пользователя, включая имя антивируса, процессор, версию Windows, тип пользователя и права пользователя.
- CatchEndSession - используется для создания скрытых автозапусков.
- Удалить атрибут - используется для уничтожения системы антивирусное программное обеспечение, Проводник Windows и любые предупреждения о системных ошибках.
- ИсАдмин - используется для вступления в группу администраторов.
- IsVm - обнаруживает присутствие любых виртуальных машин.
- Разрешить бит - используется для разрешения DNS-запросов от пользователя.
- RC4 - алгоритм, используемый для шифрования и дешифрования данных.
- Установите - устанавливает файл бота и устанавливает модули безопасности и обновления файла.
Версия 1.0.2
Бета-версия 1.0.2 сохранила базовую функциональность классов первой версии, но переименовала некоторые классы следующим образом:
- ServerTalk - переименован в CpWorker
- RunInMemory - переименован в ПамятьМодулиРабочий
- СисИнфо - переименован в СисХелпер
… И добавил следующий класс:
- DNSWorker - используется для получения записи хоста и проверки связи с хостом, чтобы проверить, работает ли он.
Версия 1.1
Версия 1.1 снова сохранила ту же структуру классов, что и ее предшественник, но добавила следующую задачу в список возможностей:
- Forfg - используется для получения пути к переменной temp, установки каталога DLL и записи его в файл .dat:
Версия 1.1.0.2
Версия 1.1.0.2 увидела обновление, в соответствии с которым ФОРФГ Функция была объединена с другим списком функций. Все остальные занятия и занятия остались прежними.
Версия 1.1.0.4
Опять же, основные классы остались такими же, как и в предыдущей версии, но с добавлением следующего важного класса
- GzipWebClient - используется для распаковки любых файлов Gzip, загруженных ботом:
Обновления списка функций
Threader - Вызвать функцию потока, использованную для запуска файла, и запустить его в памяти (RunInMemory).
Ключ бота – PsixBot имеет общий жесткий кодключ d во всех версиях:
Сетевая деятельность- PsixBot изначально использует Google DNS, а затем связывается с собственным DNS:
Основные модули в версии
FeautersList для каждой версии
Сетевой трафик
PsixBot сначала подключается к Google DNS, затем подключается к собственному DNS-серверу по адресу Greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
МОК
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
сообщение ВЕРСИИ PSIXBOT Появившийся сначала на Новости Comodo и информация об интернет-безопасности.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- О нас
- доступ
- активно
- добавленный
- дополнение
- Администратор
- алгоритм
- Все
- анализ
- антивирус
- откуда угодно
- Приложения
- до
- beta
- Черный
- Заблокировать
- Блог
- Бот
- Ботнет
- способный
- сертификат
- класс
- классов
- сочетании
- Общий
- компьютер
- связи
- постоянно
- печенье
- Основные
- Создайте
- Преступники
- В настоящее время
- данным
- компьютера
- развитый
- Разработка
- Дисплей
- DNS
- Документация
- каждый
- Проект и
- Особенность
- Особенности
- Февраль 2020
- Firefox
- First
- после
- следующим образом
- формат
- Рамки
- Бесплатно
- от
- функция
- функциональность
- далее
- генерируется
- Глобальный
- группы
- Сбор урожая
- Как
- HTTPS
- изображение
- важную
- улучшать
- В том числе
- individual
- информация
- Интернет
- Internet Security
- IT
- Основные
- Список
- машина
- Продукция
- вредоносных программ
- членство
- Память
- методы
- Microsoft
- самых
- сеть
- сеть
- Новости
- онлайн
- Другие контрактные услуги
- Outlook
- собственный
- пароли
- производительность
- пинг
- присутствие
- предыдущий
- запись
- остались
- Запросы
- Итоги
- Run
- то же
- безопасность
- набор
- значительный
- с
- Соцсети
- Социальная инженерия
- некоторые
- распространение
- стандарт
- стоит
- система
- Ассоциация
- Через
- время
- трафик
- троянец
- Неограниченный
- Обновление ПО
- различный
- версия
- Виртуальный
- будь то
- окна