Socks5Systemz Botnet

ប្រូកស៊ី botnet ដែលគេស្គាល់ថា 'Socks5Systemz' បាននិងកំពុងជ្រៀតចូលកុំព្យូទ័រយ៉ាងស្ងៀមស្ងាត់ទូទាំងពិភពលោក តាមរយៈកម្មវិធីផ្ទុកមេរោគ ' PrivateLoader ' និង ' Amadey ' ។ បច្ចុប្បន្ននេះ វាបានសម្របសម្រួលឧបករណ៍ចំនួន 10,000 ដោយជោគជ័យ។ កម្មវិធីគម្រាមកំហែងនេះចាប់យកការគ្រប់គ្រងកុំព្យូទ័រដែលមានមេរោគ បំប្លែងពួកវាទៅជាឧបករណ៍ដែលមិនចង់បានសម្រាប់ប្រភេទផ្សេងៗនៃចរាចរអ៊ិនធឺណិតដែលមិនសមរម្យ ខុសច្បាប់ ឬអនាមិក។ botnet ផ្តល់សេវាកម្មនេះដល់អតិថិជនដែលអាចចូលប្រើវាបានក្នុងតម្លៃចាប់ពី $1 ដល់ $140 ក្នុងមួយថ្ងៃ ដោយបង់ជារូបិយប័ណ្ណគ្រីបតូ។

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថាប្រូកស៊ី botnet របស់ Socks5Systemz បានដំណើរការតាំងពីឆ្នាំ 2016 មកម្ល៉េះ ប៉ុន្តែវាបានគេចចេញពីការយកចិត្តទុកដាក់យ៉ាងខ្លាំង ដោយដំណើរការនៅក្នុងស្រមោល។

Socks5Systemz Botnet បង្កើតភាពស្ថិតស្ថេរលើប្រព័ន្ធដែលមានមេរោគ

Socks5Systemz botnet ត្រូវបានផ្សព្វផ្សាយតាមរយៈ PrivateLoader និងមេរោគ Amadey ដែលជាទូទៅត្រូវបានផ្សព្វផ្សាយតាមមធ្យោបាយផ្សេងៗដូចជា phishing, exploit kits, malvertising, និង trojanized executables ដែលបានទាញយកពីបណ្តាញ peer-to-peer ។

អ្នកស្រាវជ្រាវបានកំណត់សំណាក botnet ដែលមានស្លាកថា 'previewer.exe' ដែលត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលអង្គចងចាំរបស់ម៉ាស៊ីន និងបង្កើតភាពជាប់លាប់តាមរយៈសេវាកម្ម Windows ដែលមានឈ្មោះថា 'ContentDWSvc'។ ប្រូកស៊ី bot payload យកទម្រង់ DLL 300 KB 32-bit ។ វាប្រើប្រាស់ប្រព័ន្ធ domain generation algorithm (DGA) ដើម្បីភ្ជាប់ជាមួយ Command-and-Control (C2) server របស់វា និងបញ្ជូនពត៌មាន profileing អំពីម៉ាស៊ីនដែលមានមេរោគ។

ជាការឆ្លើយតប ម៉ាស៊ីនមេ C2 អាចចេញពាក្យបញ្ជាមួយក្នុងចំណោមពាក្យបញ្ជាខាងក្រោមសម្រាប់ការប្រតិបត្តិ៖

• 'ទំនេរ'៖ គ្មាន​សកម្មភាព​ត្រូវ​បាន​គេ​យក​ទេ។
• 'តភ្ជាប់'៖ បង្កើតការតភ្ជាប់ទៅម៉ាស៊ីនមេ backconnect ។
• 'ផ្ដាច់'៖ ផ្តាច់ការតភ្ជាប់ទៅម៉ាស៊ីនមេ backconnect ។
• 'updips'៖ ធ្វើបច្ចុប្បន្នភាពបញ្ជីអាសយដ្ឋាន IP ដែលមានការអនុញ្ញាតសម្រាប់ការផ្ញើចរាចរណ៍។
• 'upduris'៖ ពាក្យបញ្ជានេះមិនទាន់ត្រូវបានអនុវត្តនៅឡើយទេ។

ពាក្យបញ្ជា 'តភ្ជាប់' គឺមានសារៈសំខាន់ជាពិសេស ព្រោះវាដឹកនាំ bot ដើម្បីបង្កើតការតភ្ជាប់ទៅម៉ាស៊ីនមេ backconnect តាមរយៈច្រក 1074/TCP ។

នៅពេលដែលបានភ្ជាប់ទៅហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលត្រូវបានបំប្លែងទៅជាម៉ាស៊ីនមេប្រូកស៊ី ដែលអាចត្រូវបានទីផ្សារទៅកាន់អ្នកគំរាមកំហែងផ្សេងទៀត។ នៅពេលភ្ជាប់ទៅម៉ាស៊ីនមេ backconnect វាប្រើប្រាស់ប៉ារ៉ាម៉ែត្រវាលជាក់លាក់ដើម្បីបញ្ជាក់អាសយដ្ឋាន IP ពាក្យសម្ងាត់ប្រូកស៊ី និងបញ្ជីច្រកដាក់កម្រិត។ ប៉ារ៉ាម៉ែត្រទាំងនេះធានាថាមានតែរូបយន្តនៅក្នុងបញ្ជីដែលបានអនុញ្ញាតដែលមានលិខិតសម្គាល់ការចូលដែលសមស្របប៉ុណ្ណោះដែលអាចធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេគ្រប់គ្រងដោយមានប្រសិទ្ធភាពរារាំងការប៉ុនប៉ងដែលគ្មានការអនុញ្ញាត។

Socks5Systemz Botnet ត្រូវបានលក់ក្នុងកម្រិតតម្លៃជាច្រើន។

គ្រាន់តែនៅក្នុងខែតុលា ឆ្នាំ 2023 អ្នកវិភាគបានចងក្រងឯកសារសរុបនៃការព្យាយាមទំនាក់ទំនងតែមួយគត់ចំនួន 10,000 តាមរយៈច្រក 1074/TCP ជាមួយនឹងម៉ាស៊ីនមេ backconnect ដែលបានកំណត់។ ការប៉ុនប៉ងទាំងនេះត្រូវគ្នាទៅនឹងចំនួនជនរងគ្រោះស្មើគ្នា។ ការចែកចាយជនរងគ្រោះទាំងនេះគឺរីករាលដាល និងចៃដន្យខ្លះ ដែលលាតសន្ធឹងពាសពេញពិភពលោក។ ទោះបីជាយ៉ាងណាក៏ដោយ ប្រទេសមួយចំនួនដូចជា ឥណ្ឌា សហរដ្ឋអាមេរិក ប្រេស៊ីល កូឡុំប៊ី អាហ្វ្រិកខាងត្បូង អាហ្សង់ទីន និងនីហ្សេរីយ៉ា មានអត្រាឆ្លងខ្ពស់បំផុត។

ការចូលប្រើសេវាកម្មប្រូកស៊ី Socks5Systemz មានតាមរយៈកម្រិតនៃការជាវចំនួនពីរ ដែលត្រូវបានគេស្គាល់ថា 'ស្តង់ដារ' និង 'VIP'។ អតិថិជនធ្វើការទូទាត់តាមរយៈច្រកទូទាត់អនាមិក 'Cryptomus'។

អតិថិជនតម្រូវឱ្យបញ្ជាក់អាសយដ្ឋាន IP ដែលចរាចរប្រូកស៊ីមានប្រភពដើម ដើម្បីបញ្ចូលក្នុងបញ្ជីអនុញ្ញាតរបស់ bot ។ អតិថិជនស្តង់ដារត្រូវបានកំណត់ចំពោះប្រភេទប្រូកស៊ីតែមួយ និងប្រភេទប្រូកស៊ីមួយ ខណៈពេលដែលអ្នកប្រើប្រាស់ VIP រីករាយនឹងភាពបត់បែននៃការប្រើប្រាស់ខ្សែស្រលាយពី 100 ទៅ 5000 ហើយអាចជ្រើសរើសពីប្រភេទប្រូកស៊ី SOCKS4, SOCKS5 ឬ HTTP។

ប្រូកស៊ី botnets លំនៅដ្ឋានតំណាងឱ្យអាជីវកម្មរកប្រាក់កម្រៃ ជាមួយនឹងផលប៉ះពាល់យ៉ាងខ្លាំងទៅលើសុវត្ថិភាពអ៊ីនធឺណិត និងការប្រើប្រាស់កម្រិតបញ្ជូនដោយមិនមានការអនុញ្ញាត។ សេវាទាំងនេះត្រូវបានប្រើប្រាស់ជាទូទៅសម្រាប់គោលបំណងដូចជាដំណើរការ bots ទិញទំនិញ និងជៀសវាងការរឹតបន្តឹងតាមភូមិសាស្ត្រ ដែលធ្វើឱ្យពួកគេមានប្រជាប្រិយភាពជាពិសេស។