Google와 Mozilla가 HTTPS 프로토콜을 이용한 DNS의 광범위한 사용을 도입하면서, 더 많은 악성코드 제작자들도 악성 트래픽을 숨기기 위한 이 완벽한 기회를 채택하고 있습니다. 최근 발견된 PsiXBot의 버전은 Google의 DoH 서비스를 악용해 C&C 인프라의 IP를 가져옵니다. 이 악성코드는 2017년에 쿠키와 자격 증명을 수집할 수 있는 간단한 정보 절도 프로그램으로 등장했으며, 추가 도구를 다운로드 및 실행할 수 있지만, 시간이 지남에 따라 추가 모듈을 갖추게 되었습니다. PsiXBot의 주요 기능 중 하나는 .bit 도메인을 C&C 서버로 사용하는 것입니다. 이를 액세스하기 위해, 악성코드는 이전에는 특정 DNS 서버에 접근했으나, 이제는 C&C 도메인이 하드코딩되어 있으며 악성코드는 DNS 쿼리를 C&C 인프라에 숨기기 위해 Google의 서비스에 변수로 주소를 GET 요청에 넣으며, 응답으로 모듈에 대한 더 많은 명령과 수정을 포함한 JSON 블롭을 받습니다. 이는 거의 확실하게 트래픽 분석 솔루션에 의한 감지를 피하게 될 것입니다.
PsixBot은 스팸 이메일 또는 Exploit kit을 통해 배포됩니다(한 버전은 Spelevo exploit kit을 통해 배포되었습니다). 공격자들은 그들의 ‘후손’을 활발히 수정하고 새로운 모듈을 추가합니다: PsiXBot은 또한 클립보드의 암호화폐 주소를 대체하거나, Outlook을 통해 스팸 이메일을 보내고, 피해자가 ‘성인’ 웹사이트를 방문할 때 비디오 및 오디오를 녹음하기 시작해 이를 추가적인 협박에 사용할 수 있습니다. Ariel Millahuel 커뮤니티 위협 사냥 규칙은 PsiXBot 악성코드의 새롭게 발견된 샘플의 행동을 발견하는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1
이 규칙은 다음 플랫폼을 위한 번역을 제공합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 초기 접근
기법: 루트 인증서 설치 (T1130)
