Socks5Systemz 僵尸网络

名为“Socks5Systemz”的代理僵尸网络已通过“ PrivateLoader ”和“ Amadey ”恶意软件加载程序悄悄渗透到世界各地的计算机中。目前，它已成功入侵 10,000 台设备。这种威胁软件会夺取受感染计算机的控制权，在不知情的情况下将其转变为各种不道德、非法或匿名互联网流量的渠道。僵尸网络向订阅者提供这项服务，订阅者可以每天以加密货币支付 1 至 140 美元不等的费用来访问该服务。

网络安全专家发现，Socks5Systemz 代理僵尸网络至少自 2016 年以来就一直在运行，但它却成功地逃避了人们的高度关注，在暗处运行。

Socks5Systemz 僵尸网络在受感染系统上建立持久性

Socks5Systemz 僵尸网络通过 PrivateLoader 和 Amadey 恶意软件进行传播，通常通过网络钓鱼、漏洞利用工具包、恶意广告和从对等网络下载的木马可执行文件等各种方式进行传播。

研究人员发现了标记为“previewer.exe”的僵尸网络样本，旨在渗透主机内存并通过名为“ContentDWSvc”的 Windows 服务建立持久性。代理机器人负载采用 300 KB 32 位 DLL 的形式。它采用域生成算法（DGA）系统与其命令与控制（C2）服务器连接并传输有关受感染计算机的分析信息。

作为响应，C2 服务器可以发出以下命令之一来执行：

• “空闲”：不采取任何操作。
• 'connect'：建立与反向连接服务器的连接。
• 'disconnect'：切断与反向连接服务器的连接。
• 'updips'：更新用于发送流量的授权 IP 地址列表。
• 'upduris'：该命令尚未实现。

“connect”命令特别重要，因为它指示机器人通过端口 1074/TCP 创建与反向连接服务器的连接。

一旦连接到威胁行为者控制的基础设施，受感染的设备就会转变为可以向其他威胁行为者推销的代理服务器。当链接到反向连接服务器时，它利用特定的字段参数来确定 IP 地址、代理密码和受限端口列表。这些参数确保只有允许列表中具有适当登录凭据的机器人才能与控制服务器交互，从而有效阻止未经授权的尝试。

Socks5Systemz 僵尸网络以多个价格等级出售

就在 2023 年 10 月，分析师记录了通过端口 1074/TCP 与已识别的反向连接服务器进行的总共 10,000 次独特的通信尝试。这些尝试对应的受害者人数相同。这些受害者的分布广泛且有些随机，遍布全球。然而，印度、美国、巴西、哥伦比亚、南非、阿根廷和尼日利亚等国家的感染率最高。

可通过两个订阅级别访问 Socks5Systemz 代理服务，即“标准”和“VIP”。客户通过匿名支付网关“Cryptomus”进行付款。

订阅者需要指定代理流量的来源 IP 地址，以便包含在机器人的白名单中。标准订阅者仅限于单个线程和一种代理类型，而 VIP 用户可以灵活地使用 100 到 5000 个线程，并可以从 SOCKS4、SOCKS5 或 HTTP 代理类型中进行选择。

住宅代理僵尸网络是一项利润丰厚的业务，对互联网安全和未经授权的带宽消耗产生重大影响。这些服务通常用于运行购物机器人和规避地理限制等目的，因此非常受欢迎。