เวลาอ่านหนังสือ: 4 นาที
บทนำของ PSIXBOT:
PsiXBot เป็นโทรจันที่ขโมยข้อมูลซึ่งสามารถรวบรวมข้อมูลที่เป็นความลับและรหัสผ่านจากคอมพิวเตอร์ของเหยื่อได้ มันสามารถขโมยคุกกี้ ดึงข้อมูลการเข้าสู่ระบบ/รหัสผ่านจากแอปพลิเคชันเช่น Firefox และ Microsoft Outlook บันทึกการกดแป้นพิมพ์ของเหยื่อ อนุญาตให้อาชญากรดู/โต้ตอบกับเดสก์ท็อปของเหยื่อจากระยะไกล และสามารถเพิ่มคอมพิวเตอร์ของเหยื่อไปยังบ็อตเน็ตได้ ส่วนใหญ่มักจะแพร่กระจายผ่านไฟล์แนบอีเมลที่ติดไวรัส ผ่านโฆษณาออนไลน์ที่มีบอท และผ่านวิธีการทางวิศวกรรมทางสังคมอื่นๆ
มัลแวร์ PsixBot ดั้งเดิมปรากฏขึ้นในเดือนพฤศจิกายน 2017 แต่ได้รับการพัฒนาที่สำคัญก่อนที่จะมาถึงรูปแบบเบต้าในปี 2019 นับตั้งแต่นั้นมาได้รับการพัฒนาเพิ่มเติมและปัจจุบันอยู่ที่เวอร์ชัน 1.1.0.4 ในเดือนกุมภาพันธ์ 2020:
PsixBot ถูกสร้างขึ้นใน .NET framework บล็อกนี้จะนำคุณผ่านการทำซ้ำต่างๆ ของ PsixBot เพื่อแสดงให้เห็นว่าอาชญากรออนไลน์อัปเดตพวกเขาอย่างต่อเนื่องอย่างไร มัลแวร์ เพื่อปรับปรุงประสิทธิภาพและคุณสมบัติของมัน
พฤติกรรมของ PsixBot
PsixBot เปลี่ยนการตั้งค่าใบรับรองระบบ ซึ่งทำให้สิทธิ์การเข้าถึงของผู้ใช้บนเครื่องโฮสต์แทบไม่จำกัด:
คีย์เพิ่ม:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
มูลค่าเพิ่ม:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
ไฟล์ที่เพิ่ม:
C: เอกสารและการตั้งค่าผู้ดูแลระบบข้อมูลแอปพลิเคชัน
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 เบต้า
PsixBot รุ่นแรกที่กล่าวถึงในบล็อกนี้คือ Beta 1.0.0 พร้อมคลาสหลัก 11 แต่ละคลาสมีภารกิจเฉพาะของตัวเอง คลาสพื้นฐานต่อไปนี้ใช้ใน PsixBot ทุกเวอร์ชัน:
- เซิฟเวอร์ทอล์ค – ใช้เพื่อเริ่มต้นตัวแปรส่วนกลาง สร้างการเชื่อมต่อกับเซิร์ฟเวอร์แม่ และส่งผลกลับไปกลับมา
- เรียกใช้ในหน่วยความจำ – ใช้ในการรันไฟล์จริง
- ซิสอินโฟ – ใช้เพื่อรับข้อมูลเกี่ยวกับระบบของผู้ใช้ รวมทั้งชื่อโปรแกรมป้องกันไวรัส, CPU, เวอร์ชันของ Windows, ประเภทผู้ใช้ และการอนุญาตของผู้ใช้
- CatchEndSession – ใช้ในการสร้างการทำงานอัตโนมัติที่ซ่อนอยู่
- ลบ Attrib – ใช้เพื่อฆ่าระบบของ ซอฟต์แวร์ป้องกันไวรัส, Windows Explorer และการแจ้งเตือนข้อผิดพลาดของระบบ
- เป็นแอดมิน – ใช้เพื่อสมมติสมาชิกของกลุ่มผู้ดูแลระบบ
- IsVm – ตรวจจับการมีอยู่ของเครื่องเสมือนใดๆ
- แก้ไขบิต – ใช้เพื่อแก้ไขคำขอ DNS จากผู้ใช้
- RC4 – อัลกอริธึมที่ใช้ในการเข้ารหัสและถอดรหัสข้อมูล
- การติดตั้ง – ติดตั้งไฟล์บอทและตั้งค่าความปลอดภัยของไฟล์และอัปเดตโมดูล
1.0.2 เวอร์ชัน
เบต้า 1.0.2 ยังคงใช้ฟังก์ชันคลาสพื้นฐานของเวอร์ชันแรก แต่เปลี่ยนชื่อคลาสบางคลาสดังนี้:
- เซิฟเวอร์ทอล์ค – เปลี่ยนชื่อเป็น ซีพีเวิร์คเกอร์
- รันอินเมมโมรี่ – เปลี่ยนชื่อเป็น หน่วยความจำโมดูลผู้ปฏิบัติงาน
- ซิสอินโฟ – เปลี่ยนชื่อเป็น Sys ตัวช่วย
… และเพิ่มคลาสต่อไปนี้:
- DNSWorker – ใช้เพื่อรับรายการโฮสต์และ ping โฮสต์เพื่อตรวจสอบว่าเปิดอยู่หรือไม่
1.1 เวอร์ชัน
เวอร์ชัน 1.1 ยังคงโครงสร้างคลาสเดียวกันกับรุ่นก่อน แต่เพิ่มงานต่อไปนี้ในรายการคุณสมบัติ:
- ฟอร์ฟก – ใช้เพื่อรับเส้นทางไปยังตัวแปร temp ตั้งค่าไดเร็กทอรี DLL และเขียนลงในไฟล์ .dat:
1.1.0.2 เวอร์ชัน
เวอร์ชัน 1.1.0.2 เห็นการอัปเดตโดยที่ ฟอร์เอฟจี คุณลักษณะถูกรวมเข้ากับรายการคุณลักษณะอื่น ๆ ชั้นเรียนและกิจกรรมอื่นๆ ทั้งหมดยังคงเหมือนเดิม
1.1.0.4 เวอร์ชัน
อีกครั้ง คลาสพื้นฐานยังคงเหมือนกับเวอร์ชันก่อนหน้า แต่มีการเพิ่มต่อไปนี้ สำคัญ class
- GzipWebClient – ใช้ในการขยายขนาดไฟล์ Gzip ใด ๆ ที่ดาวน์โหลดโดยบอท:
อัปเดตรายการคุณสมบัติ
ที่สนเข็ม – เรียกใช้ฟังก์ชันเธรดที่ใช้ในการเรียกใช้ไฟล์และเรียกใช้หน่วยความจำ (เรียกใช้ในหน่วยความจำ).
คีย์บอท - PsixBot มีฮาร์ดโค้ดทั่วไปd คีย์ในทุกเวอร์ชัน:
กิจกรรมเครือข่าย– PsixBot เริ่มใช้ Google DNS จากนั้นจึงสื่อสารกับ DNS ของตัวเองในภายหลัง:
โมดูลหลักต่อเวอร์ชัน
FeautersList ต่อเวอร์ชัน
เครือข่ายการจราจร
PsixBot เริ่มเชื่อมต่อกับ Google DNS จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์ DNS ของตัวเองที่ greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
โพสต์ รุ่นของ PSIXBOT ปรากฏตัวครั้งแรกเมื่อ ข่าวโคโมโดและข้อมูลความปลอดภัยทางอินเทอร์เน็ต.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- เกี่ยวกับเรา
- เข้า
- กิจกรรม
- ที่เพิ่ม
- นอกจากนี้
- ผู้ดูแลระบบ
- ขั้นตอนวิธี
- ทั้งหมด
- การวิเคราะห์
- โปรแกรมป้องกันไวรัส
- ทุกแห่ง
- การใช้งาน
- ก่อน
- เบต้า
- Black
- ปิดกั้น
- บล็อก
- ธ ปท
- บ็อตเน็ต
- สามารถ
- ใบรับรอง
- ชั้น
- ชั้นเรียน
- รวม
- ร่วมกัน
- คอมพิวเตอร์
- การเชื่อมต่อ
- ไม่หยุดหย่อน
- คุ้กกี้
- แกน
- สร้าง
- อาชญากร
- ขณะนี้
- ข้อมูล
- เดสก์ท็อป
- พัฒนา
- พัฒนาการ
- แสดง
- DNS
- เอกสาร
- แต่ละ
- อีเมล
- ชั้นเยี่ยม
- ลักษณะ
- คุณสมบัติ
- กุมภาพันธ์ 2020
- Firefox
- ชื่อจริง
- ดังต่อไปนี้
- ดังต่อไปนี้
- รูป
- กรอบ
- ฟรี
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ฟังก์ชั่น
- ต่อไป
- สร้าง
- เหตุการณ์ที่
- บัญชีกลุ่ม
- การเก็บเกี่ยว
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ภาพ
- สำคัญ
- ปรับปรุง
- รวมทั้ง
- เป็นรายบุคคล
- ข้อมูล
- อินเทอร์เน็ต
- รักษาความปลอดภัยอินเทอร์เน็ต
- IT
- คีย์
- รายการ
- เครื่อง
- เครื่อง
- มัลแวร์
- การเป็นสมาชิก
- หน่วยความจำ
- วิธีการ
- ไมโครซอฟท์
- มากที่สุด
- สุทธิ
- เครือข่าย
- ข่าว
- ออนไลน์
- อื่นๆ
- Outlook
- ของตนเอง
- รหัสผ่าน
- การปฏิบัติ
- ปิง
- การมี
- ก่อน
- ระเบียน
- ยังคงอยู่
- การร้องขอ
- ผลสอบ
- วิ่ง
- เดียวกัน
- ความปลอดภัย
- ชุด
- สำคัญ
- ตั้งแต่
- สังคม
- วิศวกรรมทางสังคม
- บาง
- กระจาย
- มาตรฐาน
- ยืน
- ระบบ
- พื้นที่
- ตลอด
- เวลา
- การจราจร
- โทรจัน
- ไม่ จำกัด
- บันทึก
- ต่างๆ
- รุ่น
- เสมือน
- ว่า
- หน้าต่าง