Час читання: 4 протокол
Представлення PSIXBOT:
PsiXBot — це троян, що викрадає дані, здатний збирати конфіденційні дані та паролі з комп’ютера жертви. Він може красти файли cookie, отримувати логіни/паролі з таких програм, як Firefox і Microsoft Outlook, записувати натискання клавіш жертви, дозволяти злочинцям дистанційно переглядати/взаємодіяти з робочим столом жертви і навіть може додати комп’ютер жертви до ботнету. Найчастіше він поширюється через заражені вкладення електронної пошти, через онлайн-рекламу, яка містить бота, та через інші методи соціальної інженерії.
Оригінальне зловмисне програмне забезпечення PsixBot з’явилося в листопаді 2017 року, але зазнало значного розвитку, перш ніж з’явитися у форматі бета-версії в 2019 році. Відтоді воно було вдосконалено й наразі має версію 1.1.0.4 у лютому 2020 року:
PsixBot був створений у .NET framework. Цей блог проведе вас через різні ітерації PsixBot, щоб проілюструвати, як онлайн-злочинці постійно оновлюють свої шкідливих програм щоб покращити його продуктивність і функції.
Поведінка PsixBot
PsixBot змінює параметри системного сертифіката, що дає йому практично необмежені права доступу користувачів на головній машині:
Додані ключі:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Додані значення:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Додані файли:
C:Документи та налаштуванняАдміністраторДані програми
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
бета-1.0.0
Перша версія PsixBot, про яку йдеться в цьому блозі, — це Beta 1.0.0 з базовим класом 11. Кожен клас має окреме завдання. Наступні базові класи використовуються у всіх версіях PsixBot:
- Servertalk – використовується для ініціалізації глобальної змінної, створення з’єднання з материнським сервером і надсилання результатів вперед і назад.
- RunInMemory – використовується для фактичного виконання файлу.
- sysinfo – використовується для отримання інформації про систему користувача, включаючи назву антивіруса, ЦП, версію Windows, тип користувача та дозволи користувача.
- CatchEndSession – використовується для створення прихованих автозапусків.
- DeleteAttrib – використовується для знищення системи антивірусне програмне забезпечення, Windows Explorer і будь-які сповіщення про системні помилки.
- IsAdmin – використовується для припущення членства в групі адміністратора.
- IsVm – виявляє наявність будь-яких віртуальних машин.
- ResolveBit – використовується для вирішення запитів DNS від користувача.
- RC4 – алгоритм шифрування та дешифрування даних.
- Встановлювати – встановлює файл бота та налаштовує модулі безпеки та оновлення файлу.
версія 1.0.2
Бета-версія 1.0.2 зберегла основні функції класів першої версії, але перейменувала деякі класи наступним чином:
- ServerTalk – перейменовано як CpWorker
- RunInMemory – перейменовано як MemoryModulesWorker
- SysInfo – перейменовано як SysHelper
… і додав наступний клас:
- DNSWorker – використовується для отримання запису хоста та перевірки хосту, чи він працює.
версія 1.1
Версія 1.1 знову зберегла ту саму структуру класів, що й її попередниця, але додала наступне завдання до списку функцій:
- Forfg – використовується для отримання шляху до тимчасової змінної, встановіть каталог DLL і запишіть його у файл .dat:
версія 1.1.0.2
У версії 1.1.0.2 було оновлено FORFG функцію було об’єднано з іншим списком функцій. Усі інші заняття та види діяльності залишилися без змін.
версія 1.1.0.4
Знову ж таки, основні класи залишилися такими ж, як і в попередній версії, але з додаванням наступного важливого класу
- GzipWebClient – використовується для розпакування будь-яких файлів Gzip, завантажених ботом:
Оновлення списку функцій
ниткоріз – Викликати функцію потоку, яка використовується для запуску файлу, і запустити його в пам’яті (RunInMemory).
Ключ бота - PsixBot має звичайний жорсткий кодd ключ у всіх версіях:
Мережеві дії– PsixBot спочатку використовує Google DNS, а потім зв’язується зі своїм власним DNS:
Основні модулі на версію
FeautersList для версії
Мережевий трафік
PsixBot спочатку підключається до Google DNS, а потім підключається до власного DNS-сервера за адресою greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
МОК
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- : має
- :є
- : ні
- $UP
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- МЕНЮ
- доступ
- діяльності
- насправді
- додавати
- доданий
- доповнення
- адмін
- знову
- Alerts
- алгоритм
- ВСІ
- дозволяти
- an
- аналіз
- та
- антивірус
- будь-який
- застосування
- ЕСТЬ
- прибувають
- AS
- припустити
- At
- назад
- основний
- було
- перед тим
- поведінку
- бета
- Блог
- Бот
- ботнет
- але
- by
- CAN
- здатний
- сертифікат
- Зміни
- перевірка
- клас
- класів
- клацання
- комбінований
- загальний
- комп'ютер
- конфіденційний
- зв'язку
- з'єднує
- постійно
- містити
- печиво
- Core
- покритий
- створювати
- злочинці
- В даний час
- дані
- Розшифрувати
- робочий стіл
- розвиненою
- розробка
- каталог
- DNS
- документація
- Завантажений
- кожен
- шифрувати
- Машинобудування
- запис
- помилка
- Навіть
- Event
- виконувати
- дослідник
- витяг
- особливість
- риси
- лютого
- лютого 2020
- філе
- Файли
- Firefox
- Перший
- після
- слідує
- для
- формат
- вперед
- Рамки
- Безкоштовна
- від
- функція
- функціональність
- далі
- генерується
- отримати
- дає
- Глобальний
- Group
- збирання врожаю
- прихований
- господар
- Як
- HTTPS
- ілюструвати
- зображення
- важливо
- удосконалювати
- in
- У тому числі
- індивідуальний
- заражений
- інформація
- спочатку
- мить
- IT
- ітерації
- ЙОГО
- JPG
- ключ
- вбити
- пізніше
- як
- список
- машина
- Машинки для перманенту
- шкідливих програм
- макс-ширина
- членство
- пам'ять
- методика
- Microsoft
- Модулі
- найбільш
- ім'я
- мережу
- мережу
- Листопад
- nt
- отримувати
- of
- часто
- on
- онлайн
- or
- оригінал
- Інше
- прогноз
- власний
- Паролі
- шлях
- для
- продуктивність
- Дозволи
- PHP
- пінг
- plato
- Інформація про дані Платона
- PlatoData
- попередник
- наявність
- попередній
- запис
- залишився
- віддалено
- запитів
- рішення
- результати
- праві
- прогін
- то ж
- бачив
- показник
- безпеку
- послати
- сервер
- комплект
- набори
- налаштування
- значний
- з
- соціальна
- Соціальна інженерія
- деякі
- поширення
- standard
- стенди
- структура
- система
- приймає
- Завдання
- Команда
- їх
- потім
- це
- загроза
- через
- час
- до
- трафік
- троянець
- тип
- Типи
- пережив
- необмежений
- Оновити
- використовуваний
- користувач
- використовує
- змінна
- різний
- версія
- версії
- через
- Віртуальний
- фактично
- було
- Чи
- який
- windows
- з
- запис
- Ти
- вашу
- зефірнет