Läsningstid: 4 minuter
Introduktion av PSIXBOT:
PsiXBot är datastjällande trojan som kan skörda konfidentiella data och lösenord från offrets dator. Det kan stjäla kakor, extrahera inloggningar / lösenord från applikationer som Firefox och Microsoft Outlook, spela offrets tangenttryckningar, tillåta brottslingar att fjärrvisa / interagera med offrets skrivbord och kan till och med lägga till offrets dator till ett botnet. Det sprids oftast via infekterade e-postbilagor, via onlineannonser som innehåller botten och via andra socialtekniska metoder.
Den ursprungliga PsixBot-skadlig programvaran dök upp i november 2017 men genomgick en betydande utveckling innan den anlände i beta-format 2019. Den har sedan vidareutvecklats och står för närvarande till version 1.1.0.4 i februari 2020:
PsixBot genererades i .NET framework. Den här bloggen tar dig igenom de olika iterationerna av PsixBot för att illustrera hur onlinebrottslingar ständigt uppdaterar sina malware för att förbättra dess prestanda och funktioner.
Uppförande av PsixBot
PsixBot ändrar inställningarna för systemcertifikat, vilket ger det praktiskt taget obegränsade användarrättigheter på värdmaskinen:
Nycklar tillagda:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Tillagda värden:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Filer tillagda:
C: Dokument och inställningar Administratörsansökningsdata
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
Den första versionen av PsixBot som behandlas i denna blogg är Beta 1.0.0 med kärnklass 11. Varje klass har sin individuella uppgift. Följande grundklasser används i alla versioner av PsixBot:
- Servertalk - används för att initiera den globala variabeln, skapa anslutningen till moderskeppsservern och skicka resultat fram och tillbaka.
- RunInMemory - används för att faktiskt köra filen.
- sysinfo - används för att få information om användarens system, inklusive antivirusnamn, CPU, Windows-version, användartyp och användarrättigheter.
- CatchEndSession - används för att skapa dolda autoruns.
- Ta bortAttrib – används för att döda systemets antivirusprogram, Windows Utforskaren och alla systemfelvarningar.
- IsAdmin - används för att anta medlemskap i administratörsgruppen.
- IsVm - upptäcker närvaron av virtuella maskiner.
- ResolveBit - används för att lösa DNS-förfrågningar från användaren.
- RC4 - algoritmen som används för att kryptera och dekryptera data.
- installera - installerar botfilen och ställer in filens säkerhets- och uppdateringsmoduler.
version 1.0.2
Beta 1.0.2 behöll den grundläggande klassfunktionaliteten i den första versionen, men döpte om några av klasserna enligt följande:
- ServerTalk - bytt namn till CpWorker
- RunInMemory - bytt namn till MemoryModulesWorker
- SysInfo - bytt namn till SysHelper
... och lade till följande klass:
- DNSWorker - används för att få värdposten och pinga värden för att kontrollera om den är uppe eller inte.
version 1.1
Version 1.1 behöll återigen samma klassstruktur som sin föregångare men lägger till följande uppgift i funktionslistan:
- Forfg - används för att få sökvägen till temp-variabeln, ställa in DLL-katalogen och skriva den till en .dat-fil:
version 1.1.0.2
Version 1.1.0.2 såg en uppdatering där FORFG funktionen kombinerades med den andra funktionslistan. Alla andra klasser och aktiviteter förblev desamma.
version 1.1.0.4
Återigen förblev grundklasserna desamma som den tidigare versionen men med tillägg av följande, viktiga klass
- GzipWebClient - används för att dekomprimera alla Gzip-filer nedladdade av bot:
Uppdateringar av funktionslista
Trådare - Anropa trådfunktionen som används för att köra filen och köra den i minnet (RunInMemory).
Bot-nyckel - PsixBot har en gemensam hårdkodd-nyckel i alla versioner:
Nätverksaktiviteter- PsixBot använder ursprungligen Google DNS och kommunicerar senare med sin egen DNS:
Kärnmoduler per version
FeautersList per version
Nätverkstrafik
PsixBot ansluter initialt till Google DNS ansluter sedan till sin egen DNS-server kl greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
Posten VERSIONER AV PSIXBOT visades först på Comodo Nyheter och Internetsäkerhetsinformation.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Om oss
- tillgång
- aktiviteter
- lagt till
- Dessutom
- administration
- algoritm
- Alla
- analys
- antivirus
- var som helst
- tillämpningar
- innan
- beta
- Svart
- Blockera
- Blogg
- Bot
- botnät
- kapabel
- certifikat
- klass
- klasser
- kombinerad
- Gemensam
- dator
- anslutning
- ständigt
- Cookiepolicy
- Kärna
- skapa
- brottslingar
- För närvarande
- datum
- desktop
- utvecklade
- Utveckling
- Visa
- dns
- dokument
- varje
- Teknik
- Leverans
- Funktioner
- februari 2020
- firefox
- Förnamn
- efter
- följer
- format
- Ramverk
- Fri
- från
- fungera
- funktionalitet
- ytterligare
- genereras
- Välgörenhet
- Grupp
- skörd
- Hur ser din drömresa ut
- HTTPS
- bild
- med Esport
- förbättra
- Inklusive
- individuellt
- informationen
- Internet
- Internet Security
- IT
- Nyckel
- Lista
- Maskinen
- Maskiner
- malware
- medlemskap
- Minne
- metoder
- Microsoft
- mest
- netto
- nät
- nyheter
- nätet
- Övriga
- utsikterna
- egen
- lösenord
- prestanda
- ping
- Närvaron
- föregående
- post
- förblev
- förfrågningar
- Resultat
- Körning
- Samma
- säkerhet
- in
- signifikant
- eftersom
- Social hållbarhet
- Samhällsteknik
- några
- spridning
- standard
- står
- system
- Smakämnen
- Genom
- tid
- trafik
- Trojan
- obegränsat
- Uppdatering
- olika
- version
- Virtuell
- om
- fönster