Socks5Systemz Botnet
Một mạng botnet proxy có tên 'Socks5Systemz' đã âm thầm xâm nhập vào các máy tính trên toàn thế giới thông qua trình tải phần mềm độc hại ' PrivateLoader ' và ' Amadey '. Hiện tại, nó đã xâm nhập thành công 10.000 thiết bị. Phần mềm đe dọa này chiếm quyền kiểm soát các máy tính bị nhiễm, biến chúng thành các đường dẫn vô tình cho nhiều loại lưu lượng truy cập Internet vô đạo đức, bất hợp pháp hoặc ẩn danh. Botnet cung cấp dịch vụ này cho những người đăng ký, những người có thể truy cập nó với mức phí từ 1 USD đến 140 USD mỗi ngày, được thanh toán bằng tiền điện tử.
Các chuyên gia an ninh mạng đã phát hiện ra rằng mạng botnet proxy Socks5Systemz đã hoạt động ít nhất từ năm 2016, nhưng nó đã cố gắng tránh được sự chú ý đáng kể và hoạt động trong bóng tối.
Botnet Socks5Systemz thiết lập sự tồn tại trên các hệ thống bị lây nhiễm
Mạng botnet Socks5Systemz được phát tán thông qua phần mềm độc hại PrivateLoader và Amadey, thường được lan truyền qua nhiều phương tiện khác nhau như lừa đảo, bộ công cụ khai thác, quảng cáo độc hại và các tệp thực thi bị trojan hóa được tải xuống từ mạng ngang hàng.
Các nhà nghiên cứu đã xác định các mẫu botnet được gắn nhãn là 'previewer.exe', được thiết kế để xâm nhập vào bộ nhớ của máy chủ và thiết lập tính bền bỉ thông qua dịch vụ Windows có tên 'ContentDWSvc.' Tải trọng bot proxy có dạng DLL 32-bit 300 KB. Nó sử dụng hệ thống thuật toán tạo miền (DGA) để kết nối với máy chủ Chỉ huy và Kiểm soát (C2) và truyền thông tin hồ sơ về máy bị nhiễm.
Để đáp lại, máy chủ C2 có thể đưa ra một trong các lệnh sau để thực thi:
-
- 'nhàn rỗi': Không có hành động nào được thực hiện.
-
- 'kết nối': Thiết lập kết nối tới máy chủ kết nối ngược.
-
- 'ngắt kết nối': Cắt kết nối với máy chủ kết nối ngược.
-
- 'updips': Cập nhật danh sách địa chỉ IP được phép gửi lưu lượng truy cập.
-
- 'upduris': Lệnh này chưa được triển khai.
Lệnh 'kết nối' đặc biệt quan trọng vì nó hướng dẫn bot tạo kết nối đến máy chủ kết nối ngược qua cổng 1074/TCP.
Sau khi được kết nối với cơ sở hạ tầng do các tác nhân đe dọa kiểm soát, thiết bị bị xâm nhập sẽ được chuyển thành máy chủ proxy có thể được tiếp thị cho các tác nhân đe dọa khác. Khi liên kết với máy chủ kết nối ngược, nó sử dụng các tham số trường cụ thể để xác định địa chỉ IP, mật khẩu proxy và danh sách các cổng bị hạn chế. Các tham số này đảm bảo rằng chỉ các bot trong danh sách được phép có thông tin xác thực đăng nhập phù hợp mới có thể tương tác với máy chủ điều khiển, ngăn chặn các nỗ lực trái phép một cách hiệu quả.
Botnet Socks5Systemz được bán ở nhiều mức giá
Chỉ trong tháng 10 năm 2023, các nhà phân tích đã ghi lại tổng cộng 10.000 lần thử liên lạc duy nhất qua cổng 1074/TCP với các máy chủ kết nối ngược đã được xác định. Những nỗ lực này tương ứng với số lượng nạn nhân bằng nhau. Sự phân bố của những nạn nhân này rất phổ biến và có phần ngẫu nhiên, trải rộng trên toàn cầu. Tuy nhiên, các quốc gia như Ấn Độ, Mỹ, Brazil, Colombia, Nam Phi, Argentina và Nigeria có tỷ lệ lây nhiễm cao nhất được ghi nhận.
Quyền truy cập vào các dịch vụ proxy của Vớ5Systemz có sẵn thông qua hai tầng đăng ký, được gọi là 'Tiêu chuẩn' và 'VIP'. Khách hàng thực hiện thanh toán thông qua cổng thanh toán ẩn danh 'Cryptomus.'
Người đăng ký phải chỉ định địa chỉ IP nơi bắt nguồn lưu lượng proxy để được đưa vào danh sách cho phép của bot. Người đăng ký tiêu chuẩn được giới hạn ở một luồng duy nhất và một loại proxy, trong khi người dùng VIP có thể linh hoạt sử dụng 100 đến 5000 luồng và có thể chọn từ các loại proxy SOCKS4, SOCKS5 hoặc HTTP.
Các botnet proxy dân cư đại diện cho một hoạt động kinh doanh sinh lợi với tác động đáng kể đến bảo mật Internet và việc tiêu thụ băng thông trái phép. Các dịch vụ này thường được sử dụng cho các mục đích như chạy chương trình mua sắm và vượt qua các giới hạn về địa lý, khiến chúng trở nên đặc biệt phổ biến.
