Socks5Systemz robottīkls
Starpniekservera robottīkls, kas pazīstams kā “Socks5Systemz”, ir klusi iefiltrējies datoros visā pasaulē, izmantojot “ PrivateLoader ” un “ Amadey ” ļaunprātīgas programmatūras ielādes. Pašlaik tas ir veiksmīgi apdraudējis 10 000 ierīču. Šī draudīgā programmatūra pārņem kontroli pār inficētiem datoriem, pārvēršot tos par nevēlamiem kanāliem dažāda veida negodīgai, nelikumīgai vai anonīmai interneta trafikam. Bottīkls piedāvā šo pakalpojumu abonentiem, kuri tam var piekļūt par maksu no USD 1 līdz USD 140 dienā, ko maksā kriptovalūtā.
Kiberdrošības eksperti atklājuši, ka Socks5Systemz starpniekservera robottīkls darbojas vismaz kopš 2016. gada, tomēr tam izdevies izvairīties no ievērojamas uzmanības, darbojoties ēnā.
Bottīkls Socks5Systemz nodrošina noturību inficētajās sistēmās
Bottīkls Socks5Systemz tiek izplatīts, izmantojot PrivateLoader un Amadey ļaunprogrammatūru, ko parasti izplata, izmantojot dažādus līdzekļus, piemēram, pikšķerēšanu, izmantošanas komplektus, ļaunprātīgu izmantošanu un trojānizētus izpildāmos failus, kas lejupielādēti no vienādranga tīkliem.
Pētnieki identificēja robottīklu paraugus, kas apzīmēti kā "previewer.exe", kas paredzēti, lai iefiltrētos resursdatora atmiņā un nodrošinātu noturību, izmantojot Windows pakalpojumu ar nosaukumu "ContentDWSvc". Starpniekservera robota lietderīgā slodze ir 300 KB 32 bitu DLL formātā. Tajā tiek izmantota domēna ģenerēšanas algoritma (DGA) sistēma, lai izveidotu savienojumu ar savu Command-and-Control (C2) serveri un pārsūtītu profilēšanas informāciju par inficēto mašīnu.
Atbildot uz to, C2 serveris izpildei var izdot vienu no šīm komandām:
-
- 'dīkstāve': netiek veiktas nekādas darbības.
-
- "savienot": izveidojiet savienojumu ar atpakaļsavienojuma serveri.
-
- "atvienot": pārtrauciet savienojumu ar atpakaļsavienojuma serveri.
-
- 'updips': atjauniniet trafika sūtīšanai atļauto IP adrešu sarakstu.
-
- 'upduris': šī komanda vēl nav ieviesta.
Komanda “connect” ir īpaši nozīmīga, jo tā liek robotam izveidot savienojumu ar atpakaļsavienojuma serveri, izmantojot portu 1074/TCP.
Kad ir izveidots savienojums ar infrastruktūru, ko kontrolē apdraudējuma dalībnieki, apdraudētā ierīce tiek pārveidota par starpniekserveri, ko var pārdot citiem apdraudējuma dalībniekiem. Izveidojot saiti ar atpakaļsavienojuma serveri, tas izmanto īpašus lauka parametrus, lai noskaidrotu IP adresi, starpniekservera paroli un ierobežoto portu sarakstu. Šie parametri nodrošina, ka tikai atļautajā sarakstā iekļautie roboti ar atbilstošiem pieteikšanās akreditācijas datiem var mijiedarboties ar vadības serveriem, efektīvi novēršot nesankcionētus mēģinājumus.
Bottīkls Socks5Systemz tiek pārdots par vairākiem cenu līmeņiem
Tikai 2023. gada oktobrī analītiķi ir dokumentējuši kopumā 10 000 unikālu saziņas mēģinājumu, izmantojot portu 1074/TCP ar identificētajiem atpakaļsavienojuma serveriem. Šie mēģinājumi atbilst vienādam upuru skaitam. Šo upuru izplatība ir plaši izplatīta un zināmā mērā nejauša, aptverot visu pasauli. Tomēr tādās valstīs kā Indija, Amerikas Savienotās Valstis, Brazīlija, Kolumbija, Dienvidāfrika, Argentīna un Nigērija ir visaugstākais reģistrētais inficēšanās līmenis.
Piekļuve Socks5Systemz starpniekservera pakalpojumiem ir pieejama, izmantojot divus abonēšanas līmeņus, kas pazīstami kā “Standarta” un “VIP”. Klienti veic maksājumus, izmantojot anonīmo maksājumu vārteju Cryptomus.
Abonentiem ir jānorāda IP adrese, no kuras nāk starpniekservera trafika, lai tie tiktu iekļauti robotprogrammatūras atļauju sarakstā. Standarta abonentiem ir tikai viens pavediens un viens starpniekservera veids, savukārt VIP lietotāji var izmantot 100 līdz 5000 pavedienu elastību un var izvēlēties kādu no SOCKS4, SOCKS5 vai HTTP starpniekservera veidiem.
Dzīvojamo starpniekserveru robottīkli ir ienesīgs bizness, kas būtiski ietekmē interneta drošību un nesankcionētu joslas platuma patēriņu. Šie pakalpojumi parasti tiek izmantoti tādiem nolūkiem kā iepirkšanās robotprogrammatūras darbināšana un ģeogrāfisko ierobežojumu apiešana, padarot tos īpaši populārus.
