Socks5Systemz 殭屍網絡

名為「Socks5Systemz」的代理殭屍網路已經透過「 PrivateLoader 」和「 Amadey 」惡意軟體載入程式悄悄滲透到世界各地的電腦中。目前，它已成功入侵 10,000 台設備。這種威脅軟體會控制受感染的計算機，在不知情的情況下將其轉變為各種不道德、非法或匿名網路流量的管道。殭屍網路向訂閱者提供這項服務，訂閱者可以每天以加密貨幣支付 1 至 140 美元不等的費用來存取該服務。

網路安全專家發現，Socks5Systemz 代理殭屍網路至少自 2016 年以來一直在運行，但它卻成功地逃避了人們的高度關注，在暗處運行。

Socks5Systemz 殭屍網路在受感染系統上建立持久性

Socks5Systemz 殭屍網路透過 PrivateLoader 和 Amadey 惡意軟體傳播，通常透過網路釣魚、漏洞利用工具包、惡意廣告和從對等網路下載的木馬可執行檔等各種方式進行傳播。

研究人員發現了標記為「previewer.exe」的殭屍網路樣本，旨在滲透主機記憶體並透過名為「ContentDWSvc」的 Windows 服務建立持久性。代理機器人負載採用 300 KB 32 位元 DLL 的形式。它採用域生成演算法（DGA）系統與其命令與控制（C2）伺服器連接並傳輸有關受感染電腦的分析資訊。

作為回應，C2 伺服器可以發出以下命令之一來執行：

• 「空閒」：不採取任何動作。
• 'connect'：建立與反向連線伺服器的連線。
• 'disconnect'：切斷與反向連接伺服器的連接。
• 'updips'：更新用於傳送流量的授權 IP 位址清單。
• 'upduris'：該命令尚未實現。

「connect」指令特別重要，因為它指示機器人透過連接埠 1074/TCP 建立與反向連接伺服器的連線。

一旦連接到威脅行為者控制的基礎設施，受感染的設備就會轉變為可以向其他威脅行為者推銷的代理伺服器。當連結到反向連接伺服器時，它利用特定的欄位參數來確定 IP 位址、代理密碼和受限連接埠清單。這些參數可確保只有允許清單中具有適當登入憑證的機器人才能與控制伺服器交互，從而有效阻止未經授權的嘗試。

Socks5Systemz 殭屍網路以多個價格等級出售

就在 2023 年 10 月，分析師記錄了透過連接埠 1074/TCP 與已識別的反向連接伺服器進行的總共 10,000 次獨特的通訊嘗試。這些嘗試對應的受害者人數相同。這些受害者的分佈廣泛且有些隨機，遍佈全球。然而，印度、美國、巴西、哥倫比亞、南非、阿根廷和奈及利亞等國家的感染率最高。

可透過兩個訂閱等級存取 Socks5Systemz 代理服務，即「標準」和「VIP」。客戶透過匿名支付網關「Cryptomus」進行付款。

訂閱者需要指定代理流量的來源 IP 位址，以便包含在機器人的白名單中。標準訂閱者僅限於單一線程和一種代理類型，而 VIP 用戶則可以靈活地使用 100 到 5000 個線程，並且可以從 SOCKS4、SOCKS5 或 HTTP 代理類型中進行選擇。

住宅代理殭屍網路是一項利潤豐厚的業務，對網路安全和未經授權的頻寬消耗產生重大影響。這些服務通常用於運行購物機器人和規避地理限制等目的，因此非常受歡迎。