Socks5Systemz Botnet

Botnet proksi yang dikenali sebagai 'Socks5Systemz' telah menyusup masuk ke dalam komputer di seluruh dunia secara senyap melalui pemuat perisian hasad ' PrivateLoader ' dan ' Amadey '. Pada masa ini, ia telah berjaya menjejaskan 10,000 peranti. Perisian yang mengancam ini merampas kawalan komputer yang dijangkiti, mengubahnya menjadi saluran tanpa disedari untuk pelbagai jenis trafik Internet yang tidak bertanggungjawab, haram atau tanpa nama. Botnet menawarkan perkhidmatan ini kepada pelanggan, yang boleh mengaksesnya dengan bayaran antara $1 hingga $140 sehari, dibayar dalam mata wang kripto.

Pakar keselamatan siber telah mendapati bahawa botnet proksi Socks5Systemz telah beroperasi sejak sekurang-kurangnya 2016, namun ia telah berjaya mengelak perhatian yang ketara, beroperasi dalam bayang-bayang.

Botnet Socks5Systemz Mewujudkan Kegigihan pada Sistem yang Dijangkiti

Botnet Socks5Systemz disebarkan melalui PrivateLoader dan perisian hasad Amadey, yang lazimnya disebarkan melalui pelbagai cara seperti pancingan data, kit eksploitasi, malvertising dan boleh laku trojan yang dimuat turun daripada rangkaian peer-to-peer.

Para penyelidik mengenal pasti sampel botnet yang dilabelkan sebagai 'previewer.exe,' yang direka untuk menyusup memori hos dan mewujudkan kegigihan melalui perkhidmatan Windows bernama 'ContentDWSvc.' Muatan bot proksi mengambil bentuk DLL 32-bit 300 KB. Ia menggunakan sistem algoritma penjanaan domain (DGA) untuk menyambung dengan pelayan Command-and-Control (C2) dan menghantar maklumat pemprofilan tentang mesin yang dijangkiti.

Sebagai tindak balas, pelayan C2 boleh mengeluarkan salah satu daripada arahan berikut untuk pelaksanaan:

• 'terbiar': Tiada tindakan diambil.
• 'sambung': Wujudkan sambungan ke pelayan sambungan belakang.
• 'putuskan sambungan': Putuskan sambungan ke pelayan sambungan belakang.
• 'updips': Kemas kini senarai alamat IP yang dibenarkan untuk menghantar trafik.
• 'upduris': Perintah ini belum dilaksanakan.

Perintah 'sambung' amat penting, kerana ia mengarahkan bot untuk membuat sambungan ke pelayan sambungan belakang melalui port 1074/TCP.

Setelah disambungkan kepada infrastruktur yang dikawal oleh pelaku ancaman, peranti yang terjejas diubah menjadi pelayan proksi yang boleh dipasarkan kepada pelaku ancaman lain. Apabila memaut ke pelayan sambungan belakang, ia menggunakan parameter medan khusus untuk memastikan alamat IP, kata laluan proksi dan senarai port terhad. Parameter ini memastikan bahawa hanya bot pada senarai yang dibenarkan dengan kelayakan log masuk yang sesuai boleh berinteraksi dengan pelayan kawalan, dengan berkesan menghalang percubaan yang tidak dibenarkan.

Botnet Socks5Systemz Dijual pada Beberapa Peringkat Harga

Hanya pada Oktober 2023, penganalisis telah mendokumenkan sejumlah 10,000 percubaan komunikasi unik melalui port 1074/TCP dengan pelayan sambungan belakang yang dikenal pasti. Percubaan ini sepadan dengan jumlah mangsa yang sama. Pengedaran mangsa ini adalah meluas dan agak rawak, merentangi seluruh dunia. Bagaimanapun, negara seperti India, Amerika Syarikat, Brazil, Colombia, Afrika Selatan, Argentina dan Nigeria mempunyai kadar jangkitan tertinggi yang direkodkan.

Akses kepada perkhidmatan proksi Socks5Systemz tersedia melalui dua peringkat langganan, yang dikenali sebagai 'Standard' dan 'VIP.' Pelanggan membuat pembayaran melalui gerbang pembayaran tanpa nama 'Cryptomus.'

Pelanggan dikehendaki menyatakan alamat IP dari mana trafik yang diproksikan berasal untuk dimasukkan ke dalam senarai dibenarkan bot. Pelanggan standard dihadkan kepada satu rangkaian dan satu jenis proksi, manakala pengguna VIP menikmati fleksibiliti menggunakan 100 hingga 5000 utas dan boleh memilih daripada jenis proksi SOCKS4, SOCKS5 atau HTTP.

Botnet proksi kediaman mewakili perniagaan yang menguntungkan dengan kesan yang besar terhadap keselamatan Internet dan penggunaan lebar jalur yang tidak dibenarkan. Perkhidmatan ini biasanya digunakan untuk tujuan seperti menjalankan bot beli-belah dan memintas geo-sekatan, menjadikannya sangat popular.