Botnet Socks5Systemz

Aastaks Mezo aastal Botnets

Tõlgi:

Socks5Systemzi nime all tuntud puhverserveri robotvõrk on pahavaralaadijate PrivateLoader ja Amadey kaudu vaikselt arvutitesse tunginud kogu maailmas. Praegu on see edukalt ohustanud 10 000 seadet. See ähvardav tarkvara haarab kontrolli nakatunud arvutite üle, muutes need tahtmatuteks kanaliteks erinevat tüüpi hoolimatute, ebaseaduslike või anonüümsete Interneti-liikluste jaoks. Botivõrk pakub seda teenust tellijatele, kes saavad seda kasutada krüptovaluutas makstava tasu eest, mis jääb vahemikku 1–140 dollarit päevas.

Küberturvalisuse eksperdid on avastanud, et Socks5Systemz puhverserveri botnet on töötanud vähemalt 2016. aastast, kuid see on suutnud varjus tegutsedes märkimisväärsest tähelepanust kõrvale hiilida.

Botivõrk Socks5Systemz tagab püsivuse nakatunud süsteemides

Botivõrku Socks5Systemz levitatakse PrivateLoaderi ja Amadey pahavara kaudu, mida levitatakse tavaliselt erinevate vahenditega, nagu andmepüügi, ärakasutamiskomplektide, pahatahtliku reklaamimise ja peer-to-peer võrkudest alla laaditud troojastatud käivitatavad failid.

Uurijad tuvastasid robotivõrgu näidised, millel on silt "previewer.exe", mis on mõeldud hosti mällu imbumiseks ja püsivuse tagamiseks Windowsi teenuse "ContentDWSvc" kaudu. Puhverboti kasulik koormus on 300 KB 32-bitise DLL-i kujul. See kasutab oma Command-and-Control (C2) serveriga ühenduse loomiseks ja nakatunud masina profiiliteabe edastamiseks domeeni genereerimisalgoritmi (DGA) süsteemi.

Vastuseks saab C2 server käivitamiseks väljastada ühe järgmistest käskudest:

- 'tühikäik': meetmeid ei võeta.

- 'ühenda': looge ühendus tagasiühenduse serveriga.

- "Katkesta ühendus": katkestage ühendus tagasiühenduse serveriga.

- 'updips': värskendage liikluse saatmiseks volitatud IP-aadresside loendit.

- 'upduris': seda käsku pole veel rakendatud.

Käsk "connect" on eriti oluline, kuna see suunab robotit looma ühenduse tagasiühenduse serveriga pordi 1074/TCP kaudu.

Kui ohustatud seade on ühendatud ohus osalejate kontrollitava infrastruktuuriga, muudetakse see puhverserveriks, mida saab turustada teistele ohus osalejatele. Tagasiühenduse serveriga linkimisel kasutab see IP-aadressi, puhverserveri parooli ja piiratud portide loendi kindlakstegemiseks konkreetseid väljaparameetreid. Need parameetrid tagavad, et ainult vastavate sisselogimismandaatidega lubatud loendis olevad robotid saavad juhtimisserveritega suhelda, takistades tõhusalt volitamata katseid.

Botnetti Socks5Systemz müüakse mitmel hinnatasemel

Just 2023. aasta oktoobris on analüütikud dokumenteerinud kokku 10 000 ainulaadset sidekatset pordi 1074/TCP kaudu tuvastatud tagasiühenduse serveritega. Need katsed vastavad võrdsele arvule ohvritele. Nende ohvrite jaotus on laialt levinud ja mõnevõrra juhuslik, hõlmates kogu maakera. Kuid sellistes riikides nagu India, Ameerika Ühendriigid, Brasiilia, Colombia, Lõuna-Aafrika, Argentina ja Nigeeria on registreeritud nakatumise määr kõrgeim.

Juurdepääs Socks5Systemzi puhverserveri teenustele on saadaval kahe tellimustaseme kaudu, mida tuntakse kui "Standard" ja "VIP". Kliendid teevad makseid anonüümse maksevärava Cryptomuse kaudu.

Abonendid peavad määrama IP-aadressi, millelt puhverserveri liiklus pärineb, et nad saaksid lisada roboti lubade loendisse. Tavalised tellijad on piiratud ühe lõime ja ühe puhverserveri tüübiga, samas kui VIP-kasutajad saavad kasutada 100–5000 lõime paindlikkust ja valida SOCKS4, SOCKS5 või HTTP puhverserveri tüüpide vahel.

Eluruumide puhverserveri botnetid on tulus äri, millel on oluline mõju Interneti-turvalisusele ja ribalaiuse lubamatule tarbimisele. Neid teenuseid kasutatakse tavaliselt sellistel eesmärkidel nagu osturobotite käitamine ja geograafilistest piirangutest möödahiilimine, muutes need erakordselt populaarseks.