Socks5Systemz Botnet'i

'Socks5Systemz' olarak bilinen bir proxy botnet, ' PrivateLoader ' ve ' Amadey ' kötü amaçlı yazılım yükleyicileri aracılığıyla dünya çapındaki bilgisayarlara sessizce sızıyor. Şu anda 10.000 cihazı başarıyla ele geçirdi. Bu tehdit edici yazılım, virüs bulaşmış bilgisayarların kontrolünü ele geçirerek onları çeşitli türden ahlaksız, yasa dışı veya anonim İnternet trafiği için farkında olmadan kanallara dönüştürür. Botnet, bu hizmeti, kripto para birimiyle ödenen, günde 1 ila 140 dolar arasında değişen bir ücret karşılığında bu hizmete erişebilen abonelere sunuyor.

Siber güvenlik uzmanları, Socks5Systemz proxy botnet'in en az 2016'dan beri faaliyette olduğunu ancak gölgede çalışarak önemli dikkatlerden kaçmayı başardığını keşfetti.

Socks5Systemz Botnet, Etkilenen Sistemlerde Kalıcılık Sağlıyor

Socks5Systemz botnet'i, PrivateLoader ve Amadey kötü amaçlı yazılımı aracılığıyla yayılır ve genellikle kimlik avı, yararlanma kitleri, kötü amaçlı reklamcılık ve eşler arası ağlardan indirilen truva atı haline getirilmiş yürütülebilir dosyalar gibi çeşitli yollarla yayılır.

Araştırmacılar, ana bilgisayarın belleğine sızmak ve 'ContentDWSvc' adlı bir Windows hizmeti aracılığıyla kalıcılık oluşturmak için tasarlanmış, 'previewer.exe' olarak etiketlenen botnet örneklerini belirlediler. Proxy bot yükü, 300 KB 32 bit DLL biçimini alır. Komuta ve Kontrol (C2) sunucusuna bağlanmak ve virüslü makine hakkında profil oluşturma bilgilerini iletmek için bir etki alanı oluşturma algoritması (DGA) sistemi kullanır.

Buna yanıt olarak C2 sunucusu, yürütülmek üzere aşağıdaki komutlardan birini verebilir:

• • 'boşta': Hiçbir işlem yapılmaz.

• • 'connect': Bir geri bağlantı sunucusuna bağlantı kurun.

• • 'bağlantıyı kes': Geri bağlantı sunucusuyla bağlantıyı kesin.

• • 'updips': Trafik göndermek için yetkili IP adresleri listesini güncelleyin.

• • 'upduris': Bu komut henüz uygulanmadı.

'Connect' komutu özellikle önemlidir çünkü botu 1074/TCP bağlantı noktası üzerinden bir geri bağlantı sunucusuna bağlantı oluşturmaya yönlendirir.

Tehdit aktörleri tarafından kontrol edilen altyapıya bağlandıktan sonra ele geçirilen cihaz, diğer tehdit aktörlerine pazarlanabilecek bir proxy sunucusuna dönüştürülür. Geri bağlantı sunucusuna bağlanırken IP adresini, proxy parolasını ve kısıtlanmış bağlantı noktalarının listesini belirlemek için belirli alan parametrelerini kullanır. Bu parametreler, yalnızca izin verilenler listesindeki uygun oturum açma kimlik bilgilerine sahip botların kontrol sunucularıyla etkileşime girebilmesini sağlayarak yetkisiz girişimleri etkili bir şekilde engeller.

Socks5Systemz Botnet Çeşitli Fiyat Katmanlarında Satılıyor

Sadece Ekim 2023'te analistler, belirlenen geri bağlantı sunucularıyla 1074/TCP bağlantı noktası üzerinden toplam 10.000 benzersiz iletişim girişimini belgeledi. Bu girişimler eşit sayıda mağdura karşılık geliyor. Bu kurbanların dağılımı yaygın ve bir bakıma rastgele olup tüm dünyaya yayılıyor. Ancak Hindistan, ABD, Brezilya, Kolombiya, Güney Afrika, Arjantin ve Nijerya gibi ülkeler kaydedilen en yüksek enfeksiyon oranlarına sahip.

Socks5Systemz proxy hizmetlerine erişim, 'Standart' ve 'VIP' olarak bilinen iki abonelik katmanı aracılığıyla mümkündür. Müşteriler ödemelerini anonim ödeme ağ geçidi 'Cryptomus' aracılığıyla yaparlar.

Abonelerin, botun izin verilenler listesine dahil edilebilmesi için proxy trafiğinin kaynaklandığı IP adresini belirtmeleri gerekir. Standart aboneler tek bir iş parçacığı ve bir proxy türüyle sınırlıdır; VIP kullanıcılar ise 100 ila 5000 iş parçacığı kullanma esnekliğinden yararlanır ve SOCKS4, SOCKS5 veya HTTP proxy türleri arasından seçim yapabilir.

Yerleşik proxy botnet'leri, İnternet güvenliği ve izinsiz bant genişliği tüketimi üzerinde önemli etkisi olan kazançlı bir işi temsil eder. Bu hizmetler genellikle alışveriş botlarını çalıştırmak ve coğrafi kısıtlamaları aşmak gibi amaçlarla kullanılıyor ve bu da onları son derece popüler hale getiriyor.