Erkennungsinhalt: Verhalten der PsiXBot-Malware

Da Google und Mozilla die weitverbreitete Nutzung des DNS-over-HTTPS-Protokolls fördern, nutzen auch immer mehr Malware-Autoren diese ideale Gelegenheit, um schädlichen Datenverkehr zu verbergen. Die kürzlich entdeckten Versionen von PsiXBot missbrauchen den DoH-Dienst von Google, um die IPs für die Command-and-Control-Infrastruktur abzurufen. Die Malware erschien 2017 als einfacher Infostealer, der in der Lage ist, Cookies und Anmeldeinformationen zu sammeln sowie zusätzliche Tools herunterzuladen und auszuführen, aber im Laufe der Zeit hat sie zusätzliche Module erworben. Eine der Hauptmerkmale von PsiXBot ist die Verwendung von .bit-Domains als C&C-Server. Um auf sie zuzugreifen, erreichte die Malware zuvor einen spezifischen DNS-Server, aber jetzt sind die C&C-Domains in die Malware hartkodiert, und sie verbirgt die DNS-Abfrage zur C&C-Infrastruktur hinter HTTPS, indem sie Adressen in GET-Anfragen an den Google-Dienst als Variable einfügt. Als Antwort erhält sie ein JSON-Blob mit weiteren Anweisungen und Änderungen an ihren Modulen, die fast sicher von der Verkehrsanalysetechnologielösungen nicht erkannt werden.

PsiXBot wird über Spam-E-Mails oder durch Exploit-Kits verbreitet (eine der Malware-Versionen wurde über das Spelevo-Exploit-Kit verbreitet). Angreifer modifizieren aktiv ihre ‘Nachkommen’ und fügen neue Module hinzu: PsiXBot kann auch Kryptowährungsadressen im Clipboard ersetzen, Spam-E-Mails über Outlook senden und verfolgen, wenn ein Opfer ‚Erwachsenen‘-Webseiten besucht, um Video- und Audioaufzeichnungen zu starten, die für weitere Erpressungen verwendet werden können. Die Bedrohungsjagdregel der Community von Ariel Millahuel hilft, das Verhalten neu entdeckter Muster von PsiXBot-Malware zu ermitteln: https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initialer Zugriff

Techniken:  Root-Zertifikat installieren (T1130)