Socks5Systemz Botnet

'Socks5Systemz' भनेर चिनिने प्रोक्सी बोटनेटले ' PrivateLoader ' र ' Amadey ' मालवेयर लोडरहरू मार्फत विश्वभरका कम्प्युटरहरूमा चुपचाप घुसपैठ गरिरहेको छ। हाल, यसले 10,000 उपकरणहरू सफलतापूर्वक सम्झौता गरेको छ। यो धम्की दिने सफ्टवेयरले संक्रमित कम्प्युटरहरूको नियन्त्रण कब्जा गर्छ, तिनीहरूलाई विभिन्न प्रकारका बेइमान, अवैध, वा बेनामी इन्टरनेट ट्राफिकको लागि अनजान कन्ड्युटहरूमा रूपान्तरण गर्दछ। बोटनेटले यो सेवा ग्राहकहरूलाई प्रदान गर्दछ, जसले यसलाई $ 1 देखि $ 140 प्रति दिन, क्रिप्टोकरन्सीमा भुक्तान गरिएको शुल्कमा पहुँच गर्न सक्छन्।

साइबरसेक्युरिटी विशेषज्ञहरूले पत्ता लगाएका छन् कि Socks5Systemz प्रोक्सी बोटनेट कम्तिमा 2016 देखि सञ्चालनमा रहेको छ, तर पनि यसले महत्त्वपूर्ण ध्यान बेवास्ता गर्न सफल भएको छ, छायामा काम गरिरहेको छ।

Socks5Systemz Botnet ले संक्रमित प्रणालीहरूमा दृढता स्थापित गर्दछ

Socks5Systemz botnet लाई PrivateLoader र Amadey मालवेयर मार्फत प्रसारित गरिएको छ, सामान्यतया विभिन्न माध्यमहरू जस्तै फिसिङ, शोषण किटहरू, मालभरटाइजिङ, र पियर-टू-पियर नेटवर्कहरूबाट डाउनलोड गरिएका ट्रोजनाइज्ड एक्जीक्यूटेबलहरू मार्फत प्रचार गरिन्छ।

शोधकर्ताहरूले 'previewer.exe' को रूपमा लेबल गरिएको बोटनेट नमूनाहरू पहिचान गरे, होस्टको मेमोरीमा घुसपैठ गर्न र 'ContentDWSvc' नामको विन्डोज सेवा मार्फत दृढता स्थापित गर्न डिजाइन गरिएको। प्रोक्सी बोट पेलोडले 300 KB 32-bit DLL को रूप लिन्छ। यसले डोमेन जेनरेशन एल्गोरिथ्म (DGA) प्रणालीलाई यसको कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग जडान गर्न र संक्रमित मेसिनको बारेमा प्रोफाइलिङ जानकारी प्रसारण गर्न प्रयोग गर्दछ।

प्रतिक्रियामा, C2 सर्भरले कार्यान्वयनको लागि निम्न आदेशहरू मध्ये एउटा जारी गर्न सक्छ:

• • 'idle': कुनै कारबाही गरिएको छैन।

• • 'जडान': ब्याककनेक्ट सर्भरमा जडान स्थापना गर्नुहोस्।

• • 'डिसकनेक्ट': ब्याककनेक्ट सर्भरमा जडान विच्छेद गर्नुहोस्।

• • 'updips': ट्राफिक पठाउनको लागि आधिकारिक IP ठेगानाहरूको सूची अद्यावधिक गर्नुहोस्।

• • 'upduris': यो आदेश अझै लागू भएको छैन।

'जडान' आदेश विशेष रूपमा महत्त्वपूर्ण छ, किनकि यसले पोर्ट 1074/TCP मा ब्याककनेक्ट सर्भरमा जडान सिर्जना गर्न बोटलाई निर्देशन दिन्छ।

एक पटक खतरा अभिनेताहरू द्वारा नियन्त्रित पूर्वाधारमा जडान भएपछि, सम्झौता गरिएको उपकरण प्रोक्सी सर्भरमा रूपान्तरण हुन्छ जुन अन्य खतरा अभिनेताहरूलाई मार्केट गर्न सकिन्छ। ब्याककनेक्ट सर्भरमा लिङ्क गर्दा, यसले IP ठेगाना, प्रोक्सी पासवर्ड, र प्रतिबन्धित पोर्टहरूको सूची निश्चित गर्न विशेष फिल्ड प्यारामिटरहरू प्रयोग गर्दछ। यी प्यारामिटरहरूले यो सुनिश्चित गर्दछ कि अनुमति दिइएको सूचीमा उपयुक्त लगइन प्रमाणहरू भएका बटहरूले मात्र नियन्त्रण सर्भरहरूसँग अन्तरक्रिया गर्न सक्छन्, प्रभावकारी रूपमा अनाधिकृत प्रयासहरूलाई विफल पार्दै।

Socks5Systemz Botnet धेरै मूल्य टियरहरूमा बेचिन्छ

अक्टोबर 2023 मा मात्र, विश्लेषकहरूले पोर्ट 1074/TCP मार्फत पहिचान गरिएका ब्याककनेक्ट सर्भरहरू मार्फत कुल 10,000 अद्वितीय सञ्चार प्रयासहरूको दस्तावेजीकरण गरेका छन्। यी प्रयासहरू पीडितहरूको समान संख्यासँग मेल खान्छ। यी पीडितहरूको वितरण व्यापक र केही हदसम्म अनियमित छ, सम्पूर्ण विश्वभर फैलिएको छ। तर, भारत, संयुक्त राज्य अमेरिका, ब्राजिल, कोलम्बिया, दक्षिण अफ्रिका, अर्जेन्टिना र नाइजेरिया जस्ता देशहरूमा सबैभन्दा बढी सङ्क्रमणको रेकर्ड रहेको छ।

Socks5Systemz प्रोक्सी सेवाहरूमा पहुँच दुई सदस्यता तहहरू मार्फत उपलब्ध छ, जसलाई 'मानक' र 'VIP' भनिन्छ। ग्राहकहरूले बेनामी भुक्तानी गेटवे 'क्रिप्टोमस' मार्फत भुक्तानी गर्छन्।

बटको अनुमति सूचीमा समावेश गर्नका लागि सदस्यहरूले IP ठेगाना निर्दिष्ट गर्न आवश्यक छ जसबाट प्रोक्सी ट्राफिक उत्पन्न हुन्छ। मानक सदस्यहरू एकल थ्रेड र एक प्रोक्सी प्रकारमा सीमित छन्, जबकि VIP प्रयोगकर्ताहरूले 100 देखि 5000 थ्रेडहरू प्रयोग गर्ने लचिलोपनको आनन्द लिन्छन् र SOCKS4, SOCKS5, वा HTTP प्रोक्सी प्रकारहरूबाट चयन गर्न सक्छन्।

आवासीय प्रोक्सी बोटनेटहरूले इन्टरनेट सुरक्षा र ब्यान्डविथको अनधिकृत उपभोगमा पर्याप्त प्रभाव पार्ने एक आकर्षक व्यवसायलाई प्रतिनिधित्व गर्दछ। यी सेवाहरू सामान्य रूपमा किनमेल बटहरू चलाउने र भौगोलिक प्रतिबन्धहरूलाई बेवास्ता गर्ने, तिनीहरूलाई असाधारण रूपमा लोकप्रिय बनाउने उद्देश्यका लागि प्रयोग गरिन्छ।