Socks5Systemz 봇넷

'Socks5Systemz'로 알려진 프록시 봇넷은 ' PrivateLoader ' 및 ' Amadey ' 악성 코드 로더를 통해 전 세계 컴퓨터에 조용히 침투해 왔습니다. 현재 10,000개의 장치를 성공적으로 손상시켰습니다. 이 위협적인 소프트웨어는 감염된 컴퓨터를 제어하여 자신도 모르게 다양한 유형의 부도덕하거나 불법적이거나 익명의 인터넷 트래픽을 전달하는 통로로 변모시킵니다. 봇넷은 이 서비스를 가입자에게 제공하며, 가입자는 하루에 1~140달러의 수수료를 암호화폐로 지불하고 액세스할 수 있습니다.

사이버 보안 전문가들은 Socks5Systemz 프록시 봇넷이 최소 2016년부터 운영되어 왔지만 상당한 관심을 피해 은밀하게 활동하고 있음을 발견했습니다.

Socks5Systemz 봇넷은 감염된 시스템에 대한 지속성을 확립합니다

Socks5Systemz 봇넷은 PrivateLoader 및 Amadey 악성 코드를 통해 유포되며 일반적으로 피싱, 익스플로잇 키트, 악성 광고, P2P 네트워크에서 다운로드한 트로이 목마 실행 파일 등 다양한 수단을 통해 전파됩니다.

연구원들은 'ContentDWSvc'라는 Windows 서비스를 통해 호스트 메모리에 침투하고 지속성을 확립하도록 설계된 'previewer.exe'라는 라벨이 붙은 봇넷 샘플을 식별했습니다. 프록시 봇 페이로드는 300KB 32비트 DLL 형식을 취합니다. 이는 DGA(도메인 생성 알고리즘) 시스템을 사용하여 명령 및 제어(C2) 서버에 연결하고 감염된 시스템에 대한 프로파일링 정보를 전송합니다.

이에 대한 응답으로 C2 서버는 다음 명령 중 하나를 실행하여 실행할 수 있습니다.

• • 'idle': 아무런 조치도 취하지 않습니다.

• • 'connect': backconnect 서버에 대한 연결을 설정합니다.

• • 'disconnect': backconnect 서버에 대한 연결을 끊습니다.

• • 'updips': 트래픽 전송을 위해 승인된 IP 주소 목록을 업데이트합니다.

• • 'upduris': 이 명령은 아직 구현되지 않았습니다.

'connect' 명령은 봇이 포트 1074/TCP를 통해 백커넥트 서버에 대한 연결을 생성하도록 지시하므로 특히 중요합니다.

위협 행위자가 제어하는 인프라에 연결되면 손상된 장치는 다른 위협 행위자에게 판매될 수 있는 프록시 서버로 변환됩니다. backconnect 서버에 연결할 때 특정 필드 매개변수를 활용하여 IP 주소, 프록시 비밀번호 및 제한된 포트 목록을 확인합니다. 이러한 매개변수는 적절한 로그인 자격 증명이 있는 허용 목록의 봇만 제어 서버와 상호 작용할 수 있도록 보장하여 무단 시도를 효과적으로 차단합니다.

Socks5Systemz 봇넷은 다양한 가격대로 판매됩니다

2023년 10월에 분석가들은 식별된 백커넥트 서버를 사용하여 포트 1074/TCP를 통한 총 10,000건의 고유한 통신 시도를 문서화했습니다. 이러한 시도는 동일한 수의 피해자에 해당합니다. 이러한 피해자의 분포는 전 세계에 걸쳐 광범위하고 다소 무작위적입니다. 그러나 인도, 미국, 브라질, 콜롬비아, 남아프리카, 아르헨티나, 나이지리아와 같은 국가에서는 감염률이 가장 높습니다.

Socks5Systemz 프록시 서비스에 대한 액세스는 '표준'과 'VIP'라는 두 가지 구독 계층을 통해 가능합니다. 고객은 익명의 결제 게이트웨이 'Cryptomus'를 통해 결제를 진행합니다.

구독자는 봇의 허용 목록에 포함되기 위해 프록시 트래픽이 발생하는 IP 주소를 지정해야 합니다. 표준 가입자는 단일 스레드와 하나의 프록시 유형으로 제한되는 반면, VIP 사용자는 100~5000개의 스레드를 사용할 수 있는 유연성을 누리며 SOCKS4, SOCKS5 또는 HTTP 프록시 유형 중에서 선택할 수 있습니다.

주거용 프록시 봇넷은 인터넷 보안과 대역폭의 무단 소비에 상당한 영향을 미쳐 수익성이 좋은 사업입니다. 이러한 서비스는 일반적으로 쇼핑 봇 실행, 지역 제한 우회 등의 목적으로 활용되어 매우 인기가 높습니다.