Čas branja: 4 min
Predstavitev PSIXBOT:
PsiXBot je trojanec za krajo podatkov, ki lahko pridobi zaupne podatke in gesla iz računalnika žrtve. Lahko ukrade piškotke, pridobi prijavo/gesla iz aplikacij, kot sta Firefox in Microsoft Outlook, snema žrtvine pritiske na tipke, kriminalcem omogoči oddaljeni ogled/interakcijo z žrtvinim namizjem in lahko celo doda žrtvin računalnik v botnet. Najpogosteje se širi prek okuženih e-poštnih priponk, spletnih oglasov, ki vsebujejo bota, in drugih metod socialnega inženiringa.
Prvotna zlonamerna programska oprema PsixBot se je pojavila novembra 2017, vendar je bila podvržena pomembnemu razvoju, preden je leta 2019 prispela v obliki beta. Od takrat je bila dodatno razvita in trenutno velja za različico 1.1.0.4 februarja 2020:
PsixBot je bil ustvarjen v ogrodju .NET. Ta blog vas popelje skozi različne ponovitve PsixBot, da ponazorite, kako spletni kriminalci nenehno posodabljajo svoje zlonamerna programska oprema za izboljšanje delovanja in lastnosti.
Obnašanje PsixBot
PsixBot spremeni nastavitve sistemskega potrdila, kar mu daje praktično neomejene uporabniške pravice dostopa do gostiteljskega računalnika:
Dodani ključi:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Dodane vrednosti:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Dodane datoteke:
C: Dokumenti in nastavitve Administrator Podatki aplikacije
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Prva različica PsixBot, obravnavana v tem blogu, je Beta 1.0.0 z osnovnim razredom 11. Vsak razred ima svojo nalogo. V vseh različicah PsixBot se uporabljajo naslednji osnovni razredi:
- Servertalk – uporablja se za inicializacijo globalne spremenljivke, ustvarjanje povezave z matičnim strežnikom in pošiljanje rezultatov naprej in nazaj.
- RunInMemory – uporablja se za dejansko izvedbo datoteke.
- sysinfo – uporablja se za pridobivanje informacij o uporabnikovem sistemu, vključno z imenom protivirusnega programa, procesorjem, različico sistema Windows, vrsto uporabnika in uporabniškimi dovoljenji.
- CatchEndSession – uporablja se za ustvarjanje skritega samodejnega zagona.
- DeleteAttrib – uporablja se za ubijanje sistema protivirusne programske opreme, Windows Explorer in vsa opozorila o sistemskih napakah.
- IsAdmin – uporablja se za prevzem članstva v skrbniški skupini.
- IsVm – zazna prisotnost kakršnih koli virtualnih strojev.
- ResolveBit – uporablja se za reševanje zahtev DNS od uporabnika.
- RC4 – algoritem, ki se uporablja za šifriranje in dešifriranje podatkov.
- namestitev – namesti datoteko bot in nastavi varnostne in posodobitvene module datoteke.
Verzija 1.0.2
Beta 1.0.2 je ohranila osnovno funkcionalnost razreda prve različice, vendar je nekatere razrede preimenovala na naslednji način:
- ServerTalk – preimenovan v CpWorker
- RunInMemory – preimenovan v MemoryModulesWorker
- SysInfo – preimenovan v SysHelper
… in dodal naslednji razred:
- DNSWorker – uporablja se za pridobitev vnosa gostitelja in pinganje gostitelja, da preveri, ali deluje ali ne.
Verzija 1.1
Različica 1.1 je ponovno ohranila isto strukturo razreda kot njena predhodnica, vendar je na seznam funkcij dodala naslednjo nalogo:
- Forfg – ki se uporablja za pridobitev poti do začasne spremenljivke, nastavite imenik DLL in ga zapišite v datoteko .dat:
Verzija 1.1.0.2
Različica 1.1.0.2 je doživela posodobitev, s katero je FORFG funkcija je bila združena z drugim seznamom funkcij. Vsi ostali razredi in dejavnosti so ostali enaki.
Verzija 1.1.0.4
Spet so osnovni razredi ostali enaki prejšnji različici, vendar z dodatkom naslednjega, pomembnega razreda
- GzipWebClient – uporablja se za dekompresijo vseh datotek Gzip, ki jih prenese bot:
Posodobitve seznama funkcij
Vdevalec niti – Prikličite funkcijo niti, ki se uporablja za zagon datoteke, in jo zaženite v pomnilniku (RunInMemory).
Bot ključ - PsixBot ima skupno, trdo kodod ključ v vseh različicah:
Omrežne dejavnosti– PsixBot na začetku uporablja Google DNS, nato pa kasneje komunicira s svojim DNS:
Osnovni moduli na različico
FeautersList na različico
Omrežni promet
PsixBot se najprej poveže z Google DNS, nato pa se poveže s svojim strežnikom DNS na greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
MOK
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Pošta VERZIJE PSIXBOTA pojavil prvi na Novice Comodo in informacije o varnosti interneta.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- O meni
- dostop
- dejavnosti
- dodano
- Poleg tega
- admin
- algoritem
- vsi
- Analiza
- antivirus
- kjerkoli
- aplikacije
- pred
- beta
- črna
- Block
- Blog
- Bot
- botnet
- lahko
- potrdilo
- razred
- razredi
- kombinirani
- Skupno
- računalnik
- povezava
- nenehno
- piškotki
- Core
- ustvarjajo
- Kriminalci
- Trenutno
- datum
- desktop
- razvili
- Razvoj
- zaslon
- dns
- Dokumenti
- vsak
- E-naslov
- Inženiring
- Feature
- Lastnosti
- februar 2020
- Firefox
- prva
- po
- sledi
- format
- Okvirni
- brezplačno
- iz
- funkcija
- funkcionalnost
- nadalje
- ustvarila
- Globalno
- skupina
- Obiranje
- Kako
- HTTPS
- slika
- Pomembno
- izboljšanje
- Vključno
- individualna
- Podatki
- Internet
- Internet Security
- IT
- Ključne
- Seznam
- stroj
- Stroji
- zlonamerna programska oprema
- članstvo
- Spomin
- Metode
- Microsoft
- Najbolj
- net
- mreža
- novice
- na spletu
- Ostalo
- Outlook
- lastne
- gesla
- performance
- ping
- Prisotnost
- prejšnja
- zapis
- ostalo
- zahteva
- Rezultati
- Run
- Enako
- varnost
- nastavite
- pomemben
- saj
- socialna
- Socialni inženiring
- nekaj
- namaz
- standardna
- stojala
- sistem
- O
- skozi
- čas
- Prometa
- Trojan
- neomejeno
- Nadgradnja
- različnih
- različica
- Virtual
- ali
- okna
