Socks5Systemz Botnet

A „Socks5Systemz” néven ismert proxy botnet csendesen beszivárgott a számítógépekbe világszerte a „ PrivateLoader ” és „ Amadey ” rosszindulatú programok betöltőin keresztül. Jelenleg 10 000 eszközt sikerült feltörni. Ez a fenyegető szoftver átveszi az irányítást a fertőzött számítógépek felett, és a gátlástalan, illegális vagy névtelen internetes forgalom akaratlan csatornáivá alakítja azokat. A botnet ezt a szolgáltatást az előfizetőknek kínálja, akik napi 1 és 140 dollár közötti, kriptovalutában fizetett díj ellenében érhetik el.

Kiberbiztonsági szakértők felfedezték, hogy a Socks5Systemz proxy botnet legalább 2016 óta működik, ennek ellenére sikerült kikerülnie a jelentős figyelmet, és az árnyékban működött.

A Socks5Systemz botnet tartósságot biztosít a fertőzött rendszereken

A Socks5Systemz botnetet a PrivateLoader és az Amadey rosszindulatú szoftverek terjesztik, általában különféle módokon, például adathalászattal, exploit kitekkel, rosszindulatú hirdetésekkel és a peer-to-peer hálózatokból letöltött trójai futtatható fájlokkal.

A kutatók „previewer.exe” címkével ellátott botnet-mintákat azonosítottak, amelyek célja, hogy behatoljanak a gazdagép memóriájába, és a „ContentDWSvc” nevű Windows-szolgáltatáson keresztül biztosítsák az állandóságot. A proxybot hasznos terhelése egy 300 KB-os 32 bites DLL formáját ölti. Tartománygeneráló algoritmus (DGA) rendszert alkalmaz a Command-and-Control (C2) szerveréhez való kapcsolódáshoz, és a fertőzött gépről szóló profilinformációk továbbításához.

Válaszul a C2 szerver a következő parancsok egyikét adhatja ki a végrehajtáshoz:

• • 'tétlen': Nem történik művelet.

• • 'connect': Kapcsolat létrehozása egy backconnect szerverrel.

• • 'disconnect': megszakítja a kapcsolatot a backconnect szerverrel.

• • 'updips': Frissítse a forgalom küldésére engedélyezett IP-címek listáját.

• • 'upduris': Ez a parancs még nincs végrehajtva.

A 'connect' parancs különösen fontos, mivel arra utasítja a botot, hogy kapcsolatot hozzon létre a backconnect szerverrel a 1074/TCP porton keresztül.

Miután csatlakozik a fenyegetés szereplői által irányított infrastruktúrához, a feltört eszköz proxyszerverré alakul, amelyet más fenyegetés szereplői számára értékesíthet. A backconnect szerverhez való kapcsolódáskor meghatározott mezőparamétereket használ az IP-cím, a proxyjelszó és a korlátozott portok listájának megállapítására. Ezek a paraméterek biztosítják, hogy csak az engedélyezett listán szereplő, megfelelő bejelentkezési hitelesítő adatokkal rendelkező robotok léphessenek kapcsolatba a vezérlőkiszolgálókkal, hatékonyan akadályozva meg a jogosulatlan próbálkozásokat.

A Socks5Systemz botnetet többféle áron értékesítik

Épp 2023 októberében az elemzők összesen 10 000 egyedi kommunikációs kísérletet dokumentáltak a 1074/TCP porton keresztül az azonosított backconnect szerverekkel. Ezek a kísérletek azonos számú áldozatnak felelnek meg. Ezen áldozatok megoszlása széles körben elterjedt és némileg véletlenszerű, az egész földkerekségre kiterjed. Azonban olyan országokban, mint India, az Egyesült Államok, Brazília, Kolumbia, Dél-Afrika, Argentína és Nigéria a legmagasabb a regisztrált fertőzési arány.

A Socks5Systemz proxyszolgáltatásokhoz két előfizetési szint, a „Standard” és a „VIP” keresztül érhető el. Az ügyfelek a „Cryptomus” névtelen fizetési átjárón keresztül fizetnek.

Az előfizetőknek meg kell adniuk azt az IP-címet, amelyről a proxy forgalom származik, hogy felkerüljenek a bot engedélyezési listájára. A szabványos előfizetők egyetlen szálra és egy proxytípusra korlátozódnak, míg a VIP-felhasználók 100-5000 szál használatának rugalmasságát élvezhetik, és választhatnak a SOCKS4, SOCKS5 vagy HTTP proxytípusok közül.

A lakossági proxy botnetek jövedelmező üzletet képviselnek, amely jelentős hatással van az internet biztonságára és a sávszélesség jogosulatlan felhasználására. Ezeket a szolgáltatásokat általában olyan célokra használják, mint például bevásárlórobotok futtatása és a földrajzi korlátozások megkerülése, ami rendkívül népszerűvé teszi őket.