بات نت Socks5Systemz

یک بات نت پروکسی معروف به "Socks5Systemz" بی سر و صدا در حال نفوذ به کامپیوترهای سراسر جهان از طریق بارگذارهای بدافزار " PrivateLoader " و " Amadey " است. در حال حاضر، 10000 دستگاه را با موفقیت در معرض خطر قرار داده است. این نرم افزار تهدیدآمیز کنترل رایانه های آلوده را به دست می گیرد و آنها را به مجاری ناخواسته برای انواع مختلف ترافیک اینترنتی غیرقانونی، غیرقانونی یا ناشناس تبدیل می کند. این بات نت این سرویس را به مشترکین ارائه می دهد که می توانند با هزینه ای از 1 تا 140 دلار در روز به آن دسترسی داشته باشند که به صورت ارز دیجیتال پرداخت می شود.

کارشناسان امنیت سایبری کشف کرده‌اند که بات‌نت پروکسی Socks5Systemz حداقل از سال 2016 در حال کار بوده است، با این حال توانسته است از توجه چشمگیر فرار کند و در سایه کار کند.

بات نت Socks5Systemz پایداری را در سیستم های آلوده ایجاد می کند

بات نت Socks5Systemz از طریق PrivateLoader و بدافزار Amadey منتشر می شود که معمولاً از طریق ابزارهای مختلفی مانند فیشینگ، کیت های بهره برداری، تبلیغات مخرب و فایل های اجرایی تروجانیزه شده دانلود شده از شبکه های همتا به همتا منتشر می شود.

محققان نمونه‌های بات‌نت با عنوان «previewer.exe» را شناسایی کردند که برای نفوذ به حافظه میزبان و ایجاد پایداری از طریق یک سرویس ویندوز به نام «ContentDWSvc» طراحی شده‌اند. بارگذاری ربات پروکسی به شکل یک DLL 300 کیلوبایتی 32 بیتی است. این سیستم از یک سیستم الگوریتم تولید دامنه (DGA) برای اتصال به سرور Command-and-Control (C2) و انتقال اطلاعات پروفایل در مورد ماشین آلوده استفاده می کند.

در پاسخ، سرور C2 می تواند یکی از دستورات زیر را برای اجرا صادر کند:

• "بیکار": هیچ اقدامی انجام نمی شود.
• 'connect': یک اتصال به یک سرور بککانکت ایجاد کنید.
• 'disconnect': اتصال را به سرور backconnect قطع کنید.
• 'updips': لیست آدرس های IP مجاز برای ارسال ترافیک را به روز کنید.
• 'upduris': این دستور هنوز اجرا نشده است.

دستور 'connect' بسیار مهم است، زیرا ربات را هدایت می کند تا از طریق پورت 1074/TCP یک اتصال به یک سرور اتصال پشتیبان ایجاد کند.

پس از اتصال به زیرساختی که توسط عوامل تهدید کنترل می شود، دستگاه در معرض خطر به یک سرور پراکسی تبدیل می شود که می تواند برای سایر عوامل تهدید به بازار عرضه شود. هنگام پیوند دادن به سرور بک‌کانکت، از پارامترهای فیلد خاصی برای تعیین آدرس IP، رمز عبور پروکسی و لیستی از پورت‌های محدود استفاده می‌کند. این پارامترها تضمین می‌کنند که فقط ربات‌های موجود در لیست مجاز با اعتبار ورود مناسب می‌توانند با سرورهای کنترل تعامل داشته باشند و به طور موثر تلاش‌های غیرمجاز را خنثی کنند.

بات نت Socks5Systemz در چندین سطح قیمت فروخته می شود

تنها در اکتبر 2023، تحلیلگران در مجموع 10000 تلاش ارتباطی منحصر به فرد را از طریق پورت 1074/TCP با سرورهای بککانکت شناسایی شده ثبت کردند. این تلاش ها با تعداد مساوی قربانیان مطابقت دارد. توزیع این قربانیان گسترده و تا حدودی تصادفی است و در سراسر جهان گسترده شده است. با این حال، کشورهایی مانند هند، ایالات متحده، برزیل، کلمبیا، آفریقای جنوبی، آرژانتین و نیجریه بالاترین نرخ ابتلا را دارند.

دسترسی به خدمات پراکسی Socks5Systemz از طریق دو سطح اشتراک، معروف به "Standard" و "VIP" در دسترس است. مشتریان از طریق درگاه پرداخت ناشناس "Cryptomus" پرداخت ها را انجام می دهند.

مشترکین باید آدرس IP را که ترافیک پروکسی از آن سرچشمه می گیرد را مشخص کنند تا در لیست مجاز ربات قرار گیرند. مشترکین استاندارد به یک رشته و یک نوع پروکسی محدود می شوند، در حالی که کاربران VIP از انعطاف پذیری استفاده از 100 تا 5000 رشته لذت می برند و می توانند از بین انواع پروکسی SOCKS4، SOCKS5 یا HTTP انتخاب کنند.

بات‌نت‌های پراکسی مسکونی نشان‌دهنده یک کسب‌وکار پرسود است که تأثیر قابل‌توجهی بر امنیت اینترنت و مصرف غیرمجاز پهنای باند دارد. این سرویس‌ها معمولاً برای اهدافی مانند اجرای ربات‌های خرید و دور زدن محدودیت‌های جغرافیایی مورد استفاده قرار می‌گیرند که باعث محبوبیت استثنایی آنها می‌شود.