Час читання: 4 протокол
Представлення PSIXBOT:
PsiXBot — це троян, що викрадає дані, здатний збирати конфіденційні дані та паролі з комп’ютера жертви. Він може красти файли cookie, отримувати логіни/паролі з таких програм, як Firefox і Microsoft Outlook, записувати натискання клавіш жертви, дозволяти злочинцям дистанційно переглядати/взаємодіяти з робочим столом жертви і навіть може додати комп’ютер жертви до ботнету. Найчастіше він поширюється через заражені вкладення електронної пошти, через онлайн-рекламу, яка містить бота, та через інші методи соціальної інженерії.
Оригінальне зловмисне програмне забезпечення PsixBot з’явилося в листопаді 2017 року, але зазнало значного розвитку, перш ніж з’явитися у форматі бета-версії в 2019 році. Відтоді воно було вдосконалено й наразі має версію 1.1.0.4 у лютому 2020 року:
PsixBot був створений у .NET framework. Цей блог проведе вас через різні ітерації PsixBot, щоб проілюструвати, як онлайн-злочинці постійно оновлюють свої шкідливих програм щоб покращити його продуктивність і функції.
Поведінка PsixBot
PsixBot змінює параметри системного сертифіката, що дає йому практично необмежені права доступу користувачів на головній машині:
Додані ключі:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Додані значення:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Додані файли:
C:Документи та налаштуванняАдміністраторДані програми
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
бета-1.0.0
Перша версія PsixBot, про яку йдеться в цьому блозі, — це Beta 1.0.0 з базовим класом 11. Кожен клас має окреме завдання. Наступні базові класи використовуються у всіх версіях PsixBot:
- Servertalk – використовується для ініціалізації глобальної змінної, створення з’єднання з материнським сервером і надсилання результатів вперед і назад.
- RunInMemory – використовується для фактичного виконання файлу.
- sysinfo – використовується для отримання інформації про систему користувача, включаючи назву антивіруса, ЦП, версію Windows, тип користувача та дозволи користувача.
- CatchEndSession – використовується для створення прихованих автозапусків.
- DeleteAttrib – використовується для знищення системи антивірусне програмне забезпечення, Windows Explorer і будь-які сповіщення про системні помилки.
- IsAdmin – використовується для припущення членства в групі адміністратора.
- IsVm – виявляє наявність будь-яких віртуальних машин.
- ResolveBit – використовується для вирішення запитів DNS від користувача.
- RC4 – алгоритм шифрування та дешифрування даних.
- Встановлювати – встановлює файл бота та налаштовує модулі безпеки та оновлення файлу.
версія 1.0.2
Бета-версія 1.0.2 зберегла основні функції класів першої версії, але перейменувала деякі класи наступним чином:
- ServerTalk – перейменовано як CpWorker
- RunInMemory – перейменовано як MemoryModulesWorker
- SysInfo – перейменовано як SysHelper
… і додав наступний клас:
- DNSWorker – використовується для отримання запису хоста та перевірки хосту, чи він працює.
версія 1.1
Версія 1.1 знову зберегла ту саму структуру класів, що й її попередниця, але додала наступне завдання до списку функцій:
- Forfg – використовується для отримання шляху до тимчасової змінної, встановіть каталог DLL і запишіть його у файл .dat:
версія 1.1.0.2
У версії 1.1.0.2 було оновлено FORFG функцію було об’єднано з іншим списком функцій. Усі інші заняття та види діяльності залишилися без змін.
версія 1.1.0.4
Знову ж таки, основні класи залишилися такими ж, як і в попередній версії, але з додаванням наступного важливого класу
- GzipWebClient – використовується для розпакування будь-яких файлів Gzip, завантажених ботом:
Оновлення списку функцій
ниткоріз – Викликати функцію потоку, яка використовується для запуску файлу, і запустити його в пам’яті (RunInMemory).
Ключ бота - PsixBot має звичайний жорсткий кодd ключ у всіх версіях:
Мережеві дії– PsixBot спочатку використовує Google DNS, а потім зв’язується зі своїм власним DNS:
Основні модулі на версію
FeautersList для версії
Мережевий трафік
PsixBot спочатку підключається до Google DNS, а потім підключається до власного DNS-сервера за адресою greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
МОК
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Повідомлення ВЕРСІЇ PSIXBOT вперше з'явився на Новини Comodo та інформація про безпеку в Інтернеті.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- МЕНЮ
- доступ
- діяльності
- доданий
- доповнення
- адмін
- алгоритм
- ВСІ
- аналіз
- антивірус
- де-небудь
- застосування
- перед тим
- бета
- Black
- Блокувати
- Блог
- Бот
- ботнет
- здатний
- сертифікат
- клас
- класів
- комбінований
- загальний
- комп'ютер
- зв'язку
- постійно
- печиво
- Core
- створювати
- злочинці
- В даний час
- дані
- робочий стіл
- розвиненою
- розробка
- дисплей
- DNS
- документація
- кожен
- Машинобудування
- особливість
- риси
- лютого 2020
- Firefox
- Перший
- після
- слідує
- формат
- Рамки
- Безкоштовна
- від
- функція
- функціональність
- далі
- генерується
- Глобальний
- Group
- збирання врожаю
- Як
- HTTPS
- зображення
- важливо
- удосконалювати
- У тому числі
- індивідуальний
- інформація
- інтернет
- Internet Security
- IT
- ключ
- список
- машина
- Машинки для перманенту
- шкідливих програм
- членство
- пам'ять
- методика
- Microsoft
- найбільш
- мережу
- мережу
- новини
- онлайн
- Інше
- прогноз
- власний
- Паролі
- продуктивність
- пінг
- наявність
- попередній
- запис
- залишився
- запитів
- результати
- прогін
- то ж
- безпеку
- комплект
- значний
- з
- соціальна
- Соціальна інженерія
- деякі
- поширення
- standard
- стенди
- система
- Команда
- через
- час
- трафік
- троянець
- необмежений
- Оновити
- різний
- версія
- Віртуальний
- Чи
- windows