Socks5Systemz Botnet

Proxy botnet, znan kot 'Socks5Systemz', se tiho infiltrira v računalnike po vsem svetu prek nalagalcev zlonamerne programske opreme ' PrivateLoader ' in ' Amadey '. Trenutno je uspešno ogrozil 10.000 naprav. Ta nevarna programska oprema prevzame nadzor nad okuženimi računalniki in jih spremeni v nenamerne kanale za različne vrste brezvestnega, nedovoljenega ali anonimnega internetnega prometa. Botnet ponuja to storitev naročnikom, ki lahko do nje dostopajo za plačilo od 1 do 140 dolarjev na dan, plačano v kriptovaluti.

Strokovnjaki za kibernetsko varnost so odkrili, da proxy botnet Socks5Systemz deluje vsaj od leta 2016, vendar se mu je uspelo izogniti večji pozornosti in delovati v senci.

Botnet Socks5Systemz vzpostavlja obstojnost v okuženih sistemih

Botnetno omrežje Socks5Systemz se širi prek zlonamerne programske opreme PrivateLoader in Amadey, ki se običajno širi prek različnih sredstev, kot so lažno predstavljanje, kompleti izkoriščanja, zlonamerno oglaševanje in trojanizirane izvršljive datoteke, prenesene iz omrežij enakovrednih.

Raziskovalci so identificirali vzorce botnetov, označene kot 'previewer.exe', zasnovane za infiltracijo v pomnilnik gostitelja in vzpostavitev obstojnosti prek storitve Windows z imenom 'ContentDWSvc.' Tovor posredniškega bota je v obliki 32-bitne DLL velikosti 300 KB. Uporablja sistem algoritma za generiranje domene (DGA) za povezavo s svojim strežnikom Command-and-Control (C2) in prenos profilnih informacij o okuženem računalniku.

V odgovor lahko strežnik C2 izda enega od naslednjih ukazov za izvedbo:

• 'idle': Nobeno dejanje ni izvedeno.
• 'connect': Vzpostavite povezavo s strežnikom povratne povezave.
• 'disconnect': Prekini povezavo s strežnikom povratne povezave.
• 'updips': Posodobite seznam pooblaščenih naslovov IP za pošiljanje prometa.
• 'upduris': Ta ukaz še ni implementiran.

Ukaz 'connect' je še posebej pomemben, saj usmerja robota, da ustvari povezavo s strežnikom za povratno povezavo prek vrat 1074/TCP.

Ko je ogrožena naprava povezana z infrastrukturo, ki jo nadzirajo akterji groženj, se preoblikuje v strežnik proxy, ki se lahko trži drugim akterjem groženj. Pri povezovanju s strežnikom za povratno povezavo uporablja posebne parametre polja za ugotavljanje naslova IP, gesla posrednika in seznama omejenih vrat. Ti parametri zagotavljajo, da lahko samo boti na seznamu dovoljenih z ustreznimi poverilnicami za prijavo komunicirajo z nadzornimi strežniki, kar učinkovito preprečuje nepooblaščene poskuse.

Botnet Socks5Systemz se prodaja po več cenovnih ravneh

Samo oktobra 2023 so analitiki dokumentirali skupno 10.000 edinstvenih poskusov komunikacije prek vrat 1074/TCP z identificiranimi strežniki za povratno povezavo. Ti poskusi ustrezajo enakemu številu žrtev. Porazdelitev teh žrtev je razširjena in nekoliko naključna ter se razteza po vsem svetu. Vendar imajo države, kot so Indija, ZDA, Brazilija, Kolumbija, Južna Afrika, Argentina in Nigerija, najvišje zabeležene stopnje okužb.

Dostop do proxy storitev Socks5Systemz je na voljo prek dveh naročniških ravni, znanih kot »Standard« in »VIP«. Stranke plačujejo prek prehoda za anonimna plačila 'Cryptomus'.

Naročniki morajo določiti naslov IP, s katerega izvira posredniški promet, da so vključeni na botov seznam dovoljenih. Standardni naročniki so omejeni na eno nit in eno vrsto proxyja, medtem ko uporabniki VIP uživajo v prilagodljivosti uporabe od 100 do 5000 niti in lahko izbirajo med vrstami proxyja SOCKS4, SOCKS5 ali HTTP.

Stanovanjski proxy botneti predstavljajo donosen posel z znatnim vplivom na internetno varnost in nepooblaščeno porabo pasovne širine. Te storitve se običajno uporabljajo za namene, kot je vodenje nakupovalnih botov in izogibanje geografskim omejitvam, zaradi česar so izjemno priljubljene.