Socks5Systemz บอตเน็ต

พร็อกซีบอตเน็ตที่รู้จักกันในชื่อ 'Socks5Systemz' ได้แทรกซึมเข้าสู่คอมพิวเตอร์ทั่วโลกอย่างเงียบ ๆ ผ่านทางตัวโหลดมัลแวร์ ' PrivateLoader ' และ ' Amadey ' ปัจจุบันสามารถแฮ็กอุปกรณ์ได้สำเร็จกว่า 10,000 เครื่อง ซอฟต์แวร์ที่เป็นอันตรายนี้จะยึดการควบคุมคอมพิวเตอร์ที่ติดไวรัส เปลี่ยนให้เป็นช่องทางที่ไม่รู้ตัวสำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตที่ไร้ยางอาย ผิดกฎหมาย หรือไม่ระบุชื่อหลายประเภท บอตเน็ตเสนอบริการนี้ให้กับสมาชิกที่สามารถเข้าถึงได้โดยมีค่าธรรมเนียมตั้งแต่ 1 ถึง 140 ดอลลาร์ต่อวัน โดยจ่ายเป็นสกุลเงินดิจิทัล

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบว่าพร็อกซีบ็อตเน็ตของ Socks5Systemz เปิดใช้งานมาตั้งแต่ปี 2016 เป็นอย่างน้อย แต่ก็สามารถหลบเลี่ยงความสนใจที่สำคัญได้ โดยทำงานอยู่ในเงามืด

บอทเน็ต Socks5Systemz สร้างความคงทนให้กับระบบที่ติดไวรัส

บ็อตเน็ต Socks5Systemz ได้รับการเผยแพร่ผ่าน PrivateLoader และมัลแวร์ Amadey โดยทั่วไปแพร่กระจายผ่านวิธีการต่างๆ เช่น ฟิชชิ่ง ชุดการหาประโยชน์ มัลแวร์โฆษณา และโปรแกรมปฏิบัติการโทรจันที่ดาวน์โหลดจากเครือข่ายเพียร์ทูเพียร์

นักวิจัยระบุตัวอย่างบอตเน็ตที่มีป้ายกำกับว่า 'previewer.exe' ซึ่งออกแบบมาเพื่อแทรกซึมเข้าไปในหน่วยความจำของโฮสต์และสร้างความคงอยู่ผ่านบริการ Windows ที่ชื่อว่า 'ContentDWSvc' เพย์โหลดพร็อกซีบอตอยู่ในรูปแบบของ DLL ขนาด 300 KB 32 บิต ใช้ระบบอัลกอริธึมการสร้างโดเมน (DGA) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) และส่งข้อมูลโปรไฟล์เกี่ยวกับเครื่องที่ติดไวรัส

ในการตอบสนอง เซิร์ฟเวอร์ C2 สามารถใช้คำสั่งใดคำสั่งหนึ่งต่อไปนี้เพื่อดำเนินการได้:

• • 'ไม่ได้ใช้งาน': ไม่มีการดำเนินการใด ๆ

• • 'เชื่อมต่อ': สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ backconnect

• • 'disconnect': ตัดการเชื่อมต่อกับเซิร์ฟเวอร์ backconnect

• • 'updips': อัปเดตรายการที่อยู่ IP ที่ได้รับอนุญาตสำหรับการส่งการรับส่งข้อมูล

• • 'upduris': คำสั่งนี้ยังไม่ได้ใช้งาน

คำสั่ง 'connect' มีความสำคัญอย่างยิ่ง เนื่องจากคำสั่งดังกล่าวจะสั่งให้บอทสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ backconnect ผ่านพอร์ต 1074/TCP

เมื่อเชื่อมต่อกับโครงสร้างพื้นฐานที่ควบคุมโดยผู้คุกคาม อุปกรณ์ที่ถูกบุกรุกจะถูกแปลงเป็นพร็อกซีเซิร์ฟเวอร์ที่สามารถทำการตลาดกับผู้คุกคามรายอื่นได้ เมื่อลิงก์ไปยังเซิร์ฟเวอร์ backconnect จะใช้พารามิเตอร์ฟิลด์เฉพาะเพื่อยืนยันที่อยู่ IP รหัสผ่านพร็อกซี และรายการพอร์ตที่ถูกจำกัด พารามิเตอร์เหล่านี้ช่วยให้แน่ใจว่าเฉพาะบอทในรายการที่อนุญาตซึ่งมีข้อมูลรับรองการเข้าสู่ระบบที่เหมาะสมเท่านั้นที่สามารถโต้ตอบกับเซิร์ฟเวอร์ควบคุมได้ ซึ่งขัดขวางความพยายามที่ไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ

Socks5Systemz Botnet จำหน่ายในราคาหลายระดับ

ในเดือนตุลาคม 2566 นักวิเคราะห์ได้บันทึกความพยายามในการสื่อสารที่ไม่ซ้ำกันทั้งหมด 10,000 ครั้งผ่านพอร์ต 1074/TCP พร้อมด้วยเซิร์ฟเวอร์การเชื่อมต่อด้านหลังที่ระบุ ความพยายามเหล่านี้สอดคล้องกับจำนวนเหยื่อที่เท่ากัน การแพร่กระจายของเหยื่อเหล่านี้แพร่หลายและค่อนข้างสุ่มครอบคลุมทั่วโลก อย่างไรก็ตาม ประเทศต่างๆ เช่น อินเดีย สหรัฐอเมริกา บราซิล โคลอมเบีย แอฟริกาใต้ อาร์เจนตินา และไนจีเรีย มีอัตราการติดเชื้อสูงสุดเป็นประวัติการณ์

การเข้าถึงบริการพร็อกซีของ Socks5Systemz นั้นมีให้ผ่านการสมัครสมาชิกสองระดับ ซึ่งเรียกว่า 'มาตรฐาน' และ 'วีไอพี' ลูกค้าชำระเงินผ่านเกตเวย์การชำระเงินที่ไม่ระบุชื่อ 'Cryptomus'

สมาชิกจะต้องระบุที่อยู่ IP ที่เป็นที่มาของการรับส่งข้อมูลพร็อกซีเพื่อที่จะรวมไว้ในรายการที่อนุญาตของบอท สมาชิกแบบมาตรฐานถูกจำกัดให้ใช้เธรดเดียวและประเภทพร็อกซีหนึ่งรายการ ในขณะที่ผู้ใช้ VIP เพลิดเพลินกับความยืดหยุ่นในการใช้ 100 ถึง 5,000 เธรด และสามารถเลือกประเภทพร็อกซี SOCKS4, SOCKS5 หรือ HTTP ได้

พร็อกซีบอทเน็ตสำหรับที่อยู่อาศัยเป็นตัวแทนของธุรกิจที่ทำกำไรโดยมีผลกระทบอย่างมากต่อความปลอดภัยของอินเทอร์เน็ตและการใช้แบนด์วิธโดยไม่ได้รับอนุญาต บริการเหล่านี้มักใช้เพื่อวัตถุประสงค์ต่างๆ เช่น ใช้งานบอทช้อปปิ้งและการหลีกเลี่ยงข้อจำกัดทางภูมิศาสตร์ ทำให้บริการเหล่านี้ได้รับความนิยมเป็นพิเศษ