Contenu de Détection : Comportement du Malware PsiXBot

[post-views]
juin 30, 2020 · 2 min de lecture
Contenu de Détection : Comportement du Malware PsiXBot

Alors que Google et Mozilla généralisent l’utilisation du protocole DNS sur HTTPS, de plus en plus d’auteurs de malwares saisissent cette parfaite opportunité pour masquer le trafic malveillant. Les versions récemment découvertes de PsiXBot exploitent le service DoH de Google pour récupérer les IPs de l’infrastructure de commande et de contrôle. Le malware est apparu en 2017 comme un simple voleur d’informations capable de collecter des cookies et des identifiants, ainsi que de télécharger et d’exécuter des outils supplémentaires, mais au fil du temps, il a acquis des modules supplémentaires. L’une des caractéristiques clés de PsiXBot est l’utilisation de domaines .bit comme serveurs de commande et de contrôle. Pour y accéder, le malware atteignait auparavant un serveur DNS spécifique, mais maintenant les domaines de commande et de contrôle sont codés en dur dedans et le malware cache la requête DNS à l’infrastructure de commande et de contrôle derrière HTTPS en plaçant des adresses dans des requêtes GET vers le service de Google comme variable. En réponse, il reçoit un blob JSON avec des instructions et des modifications supplémentaires à ses modules, ce qui évitera presque certainement la détection par les solutions d’analyse de trafic.

PsiXBot est distribué via des emails de spam ou par des kits d’exploitation (une des versions du malware a été distribuée via le kit d’exploitation Spelevo). Les attaquants modifient activement leur ‘progéniture’ et ajoutent de nouveaux modules : PsiXBot peut également remplacer les adresses de cryptomonnaie ​​dans le presse-papiers, envoyer des emails de spam via Outlook et suivre quand une victime visite des sites ‘adultes’ pour commencer à enregistrer vidéo et audio, ce qui peut être utilisé pour un chantage ultérieur. La règle de chasse aux menaces communautaires par Ariel Millahuel aide à découvrir le comportement de nouveaux échantillons de malware PsiXBot : https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Accès initial

Techniques :  Installer un certificat racine (T1130)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko