بات نت Socks5Systemz
یک بات نت پروکسی معروف به "Socks5Systemz" بی سر و صدا در حال نفوذ به کامپیوترهای سراسر جهان از طریق بارگذارهای بدافزار " PrivateLoader " و " Amadey " است. در حال حاضر، 10000 دستگاه را با موفقیت در معرض خطر قرار داده است. این نرم افزار تهدیدآمیز کنترل رایانه های آلوده را به دست می گیرد و آنها را به مجاری ناخواسته برای انواع مختلف ترافیک اینترنتی غیرقانونی، غیرقانونی یا ناشناس تبدیل می کند. این بات نت این سرویس را به مشترکین ارائه می دهد که می توانند با هزینه ای از 1 تا 140 دلار در روز به آن دسترسی داشته باشند که به صورت ارز دیجیتال پرداخت می شود.
کارشناسان امنیت سایبری کشف کردهاند که باتنت پروکسی Socks5Systemz حداقل از سال 2016 در حال کار بوده است، با این حال توانسته است از توجه چشمگیر فرار کند و در سایه کار کند.
بات نت Socks5Systemz پایداری را در سیستم های آلوده ایجاد می کند
بات نت Socks5Systemz از طریق PrivateLoader و بدافزار Amadey منتشر می شود که معمولاً از طریق ابزارهای مختلفی مانند فیشینگ، کیت های بهره برداری، تبلیغات مخرب و فایل های اجرایی تروجانیزه شده دانلود شده از شبکه های همتا به همتا منتشر می شود.
محققان نمونههای باتنت با عنوان «previewer.exe» را شناسایی کردند که برای نفوذ به حافظه میزبان و ایجاد پایداری از طریق یک سرویس ویندوز به نام «ContentDWSvc» طراحی شدهاند. بارگذاری ربات پروکسی به شکل یک DLL 300 کیلوبایتی 32 بیتی است. این سیستم از یک سیستم الگوریتم تولید دامنه (DGA) برای اتصال به سرور Command-and-Control (C2) و انتقال اطلاعات پروفایل در مورد ماشین آلوده استفاده می کند.
در پاسخ، سرور C2 می تواند یکی از دستورات زیر را برای اجرا صادر کند:
- "بیکار": هیچ اقدامی انجام نمی شود.
- 'connect': یک اتصال به یک سرور بککانکت ایجاد کنید.
- 'disconnect': اتصال را به سرور backconnect قطع کنید.
- 'updips': لیست آدرس های IP مجاز برای ارسال ترافیک را به روز کنید.
- 'upduris': این دستور هنوز اجرا نشده است.
دستور 'connect' بسیار مهم است، زیرا ربات را هدایت می کند تا از طریق پورت 1074/TCP یک اتصال به یک سرور اتصال پشتیبان ایجاد کند.
پس از اتصال به زیرساختی که توسط عوامل تهدید کنترل می شود، دستگاه در معرض خطر به یک سرور پراکسی تبدیل می شود که می تواند برای سایر عوامل تهدید به بازار عرضه شود. هنگام پیوند دادن به سرور بککانکت، از پارامترهای فیلد خاصی برای تعیین آدرس IP، رمز عبور پروکسی و لیستی از پورتهای محدود استفاده میکند. این پارامترها تضمین میکنند که فقط رباتهای موجود در لیست مجاز با اعتبار ورود مناسب میتوانند با سرورهای کنترل تعامل داشته باشند و به طور موثر تلاشهای غیرمجاز را خنثی کنند.
بات نت Socks5Systemz در چندین سطح قیمت فروخته می شود
تنها در اکتبر 2023، تحلیلگران در مجموع 10000 تلاش ارتباطی منحصر به فرد را از طریق پورت 1074/TCP با سرورهای بککانکت شناسایی شده ثبت کردند. این تلاش ها با تعداد مساوی قربانیان مطابقت دارد. توزیع این قربانیان گسترده و تا حدودی تصادفی است و در سراسر جهان گسترده شده است. با این حال، کشورهایی مانند هند، ایالات متحده، برزیل، کلمبیا، آفریقای جنوبی، آرژانتین و نیجریه بالاترین نرخ ابتلا را دارند.
دسترسی به خدمات پراکسی Socks5Systemz از طریق دو سطح اشتراک، معروف به "Standard" و "VIP" در دسترس است. مشتریان از طریق درگاه پرداخت ناشناس "Cryptomus" پرداخت ها را انجام می دهند.
مشترکین باید آدرس IP را که ترافیک پروکسی از آن سرچشمه می گیرد را مشخص کنند تا در لیست مجاز ربات قرار گیرند. مشترکین استاندارد به یک رشته و یک نوع پروکسی محدود می شوند، در حالی که کاربران VIP از انعطاف پذیری استفاده از 100 تا 5000 رشته لذت می برند و می توانند از بین انواع پروکسی SOCKS4، SOCKS5 یا HTTP انتخاب کنند.
باتنتهای پراکسی مسکونی نشاندهنده یک کسبوکار پرسود است که تأثیر قابلتوجهی بر امنیت اینترنت و مصرف غیرمجاز پهنای باند دارد. این سرویسها معمولاً برای اهدافی مانند اجرای رباتهای خرید و دور زدن محدودیتهای جغرافیایی مورد استفاده قرار میگیرند که باعث محبوبیت استثنایی آنها میشود.