Socks5Systemz Botnet
'सॉक्स5सिस्टमज़' के नाम से जाना जाने वाला एक प्रॉक्सी बॉटनेट ' Private Loader ' और ' Amadey ' मैलवेयर लोडर के माध्यम से दुनिया भर के कंप्यूटरों में चुपचाप घुसपैठ कर रहा है। वर्तमान में, इसने 10,000 उपकरणों से सफलतापूर्वक समझौता किया है। यह धमकी भरा सॉफ़्टवेयर संक्रमित कंप्यूटरों का नियंत्रण छीन लेता है, और उन्हें विभिन्न प्रकार के बेईमान, अवैध या गुमनाम इंटरनेट ट्रैफ़िक के लिए अनजाने माध्यम में बदल देता है। बॉटनेट ग्राहकों को यह सेवा प्रदान करता है, जो क्रिप्टोकरेंसी में भुगतान किए गए $1 से $140 प्रति दिन के शुल्क पर इसका उपयोग कर सकते हैं।
साइबर सुरक्षा विशेषज्ञों ने पता लगाया है कि Socks5Systemz प्रॉक्सी बॉटनेट कम से कम 2016 से परिचालन में है, फिर भी यह छाया में काम करते हुए महत्वपूर्ण ध्यान से बचने में कामयाब रहा है।
Socks5Systemz बॉटनेट संक्रमित सिस्टम पर दृढ़ता स्थापित करता है
Socks5Systemz बॉटनेट को PrivateLoader और Amadey मैलवेयर के माध्यम से प्रसारित किया जाता है, जो आमतौर पर फ़िशिंग, शोषण किट, मालवेयर और पीयर-टू-पीयर नेटवर्क से डाउनलोड किए गए ट्रोजनाइज्ड निष्पादन योग्य जैसे विभिन्न माध्यमों से प्रचारित होता है।
शोधकर्ताओं ने 'previewer.exe' लेबल वाले बॉटनेट नमूनों की पहचान की, जिन्हें होस्ट की मेमोरी में घुसपैठ करने और 'ContentDWSvc' नामक विंडोज सेवा के माध्यम से दृढ़ता स्थापित करने के लिए डिज़ाइन किया गया है। प्रॉक्सी बॉट पेलोड 300 KB 32-बिट DLL का रूप लेता है। यह अपने कमांड-एंड-कंट्रोल (C2) सर्वर से जुड़ने और संक्रमित मशीन के बारे में प्रोफाइलिंग जानकारी प्रसारित करने के लिए एक डोमेन जेनरेशन एल्गोरिदम (DGA) सिस्टम का उपयोग करता है।
प्रतिक्रिया में, C2 सर्वर निष्पादन के लिए निम्नलिखित आदेशों में से एक जारी कर सकता है:
-
- 'निष्क्रिय': कोई कार्रवाई नहीं की गई।
-
- 'कनेक्ट': बैककनेक्ट सर्वर से कनेक्शन स्थापित करें।
-
- 'डिस्कनेक्ट': बैककनेक्ट सर्वर से कनेक्शन तोड़ दें।
-
- 'अपडिप्स': ट्रैफ़िक भेजने के लिए अधिकृत आईपी पतों की सूची अपडेट करें।
-
- 'upduris': यह आदेश अभी तक लागू नहीं हुआ है।
'कनेक्ट' कमांड विशेष रूप से महत्वपूर्ण है, क्योंकि यह बॉट को पोर्ट 1074/टीसीपी पर बैककनेक्ट सर्वर से कनेक्शन बनाने का निर्देश देता है।
एक बार खतरे वाले अभिनेताओं द्वारा नियंत्रित बुनियादी ढांचे से कनेक्ट होने के बाद, समझौता किया गया डिवाइस एक प्रॉक्सी सर्वर में तब्दील हो जाता है जिसे अन्य खतरे वाले अभिनेताओं के लिए विपणन किया जा सकता है। बैककनेक्ट सर्वर से लिंक करते समय, यह आईपी पते, प्रॉक्सी पासवर्ड और प्रतिबंधित पोर्ट की सूची का पता लगाने के लिए विशिष्ट फ़ील्ड पैरामीटर का उपयोग करता है। ये पैरामीटर सुनिश्चित करते हैं कि केवल उपयुक्त लॉगिन क्रेडेंशियल वाले अनुमत सूची के बॉट ही नियंत्रण सर्वर के साथ बातचीत कर सकते हैं, जो अनधिकृत प्रयासों को प्रभावी ढंग से विफल कर सकते हैं।
Socks5Systemz बॉटनेट कई मूल्य स्तरों पर बेचा जाता है
अक्टूबर 2023 में, विश्लेषकों ने पहचाने गए बैककनेक्ट सर्वर के साथ पोर्ट 1074/टीसीपी के माध्यम से कुल 10,000 अद्वितीय संचार प्रयासों का दस्तावेजीकरण किया है। ये प्रयास समान संख्या में पीड़ितों के अनुरूप हैं। इन पीड़ितों का वितरण व्यापक और कुछ हद तक यादृच्छिक है, जो पूरी दुनिया में फैला हुआ है। हालाँकि, भारत, संयुक्त राज्य अमेरिका, ब्राज़ील, कोलंबिया, दक्षिण अफ्रीका, अर्जेंटीना और नाइजीरिया जैसे देशों में संक्रमण दर सबसे अधिक दर्ज की गई है।
Socks5Systemz प्रॉक्सी सेवाओं तक पहुंच दो सदस्यता स्तरों के माध्यम से उपलब्ध है, जिन्हें 'मानक' और 'वीआईपी' के नाम से जाना जाता है। ग्राहक गुमनाम भुगतान गेटवे 'क्रिप्टोमस' के माध्यम से भुगतान करते हैं।
बॉट की अनुमति सूची में शामिल होने के लिए सब्सक्राइबर्स को वह आईपी पता निर्दिष्ट करना आवश्यक है जहां से प्रॉक्सी ट्रैफ़िक उत्पन्न होता है। मानक ग्राहक एक थ्रेड और एक प्रॉक्सी प्रकार तक सीमित होते हैं, जबकि वीआईपी उपयोगकर्ता 100 से 5000 थ्रेड का उपयोग करने की लचीलेपन का आनंद लेते हैं और SOCKS4, SOCKS5, या HTTP प्रॉक्सी प्रकारों में से चयन कर सकते हैं।
आवासीय प्रॉक्सी बॉटनेट एक आकर्षक व्यवसाय का प्रतिनिधित्व करते हैं जिसका इंटरनेट सुरक्षा और बैंडविड्थ की अनधिकृत खपत पर पर्याप्त प्रभाव पड़ता है। इन सेवाओं का उपयोग आमतौर पर शॉपिंग बॉट चलाने और भू-प्रतिबंधों को दरकिनार करने जैसे उद्देश्यों के लिए किया जाता है, जिससे वे असाधारण रूप से लोकप्रिय हो जाते हैं।
