Das Socks5Systemz-Botnet infizierte Tausende Geräte

Forscher von BitSight haben ein Proxy-Botnetz namens Socks5Systemz enthüllt, das über die Loader PrivateLoader und Amadey bereitgestellt wurde. Der Name Socks5Systemz leitet sich vom einheitlichen Login-Panel ab, das auf allen C2-Servern zu finden ist. Dieses Proxy-Botnetz ist seit mindestens 2016 aktiv, blieb jedoch weitgehend unbemerkt.

Böswillige Akteure stellen Kunden zu illegalen Zwecken Proxys zur Weiterleitung des Datenverkehrs zur Verfügung und verlangen in Kryptowährung Preise zwischen 1 und 140 US-Dollar pro Tag.

Die Untersuchung der Netzwerktelemetriedaten zeigt, dass dieses Botnetz etwa 10.000 Systeme infiziert hat, wobei in Russland keine infizierten Systeme gefunden wurden.

Alle von Experten untersuchten Beispiele werden von PrivateLoader und Amadey verteilt und führen eine Datei namens „previewer.exe“ aus, die Persistenz herstellt und den Proxy-Bot in den Speicher einfügt. Der Loader sorgt für die Persistenz, indem er einen Windows-Dienst erstellt, dessen Name und Anzeigename auf „ContentDWSvc“ festgelegt sind.

Um einer Erkennung zu entgehen und die Widerstandsfähigkeit des Botnetzes gegen eine Abschaltung zu erhöhen, nutzt der Proxy-Bot einen Domänengenerierungsalgorithmus (DGA).

Socks5Systemz wird mit Kommunikationsbefehlen geliefert

Der kritischste Befehl ist der „connect“-Befehl, der den Bot anweist, eine Sitzung mit einem Backconnect-Server auf Port 1074/TCP aufzubauen. Diese Registrierung bei der Backconnect-Infrastruktur ermöglicht es dem Bot, Teil des verfügbaren Pools von Proxys zu werden, die zur Übertragung von Datenverkehr im Auftrag von Clients verwendet werden.

Nach dem Parsen der „Connect“-Befehlsfelder initiiert die Malware eine Sitzung mit dem Backconnect-Server über Port 1074/TCP und verwendet dabei ein benutzerdefiniertes Binärprotokoll. Sobald die Sitzung eingerichtet ist, kann der Bot als Proxy fungieren.

Beim Einrichten einer Sitzung mit einem Backconnect-Server auf Port 1074/TCP wird dem Bot auf der Serverseite ein eindeutiger TCP-Port (als Server-Port bezeichnet) zugewiesen, der für den Empfang von Datenverkehr von Clients geöffnet ist. Clients müssen die IP-Adresse des Backconnect-Servers und den dem infizierten System zugewiesenen TCP-Port kennen und entweder ihre öffentliche IP-Adresse auf der Whitelist haben oder über die richtigen Anmeldeinformationen verfügen, um den Proxy verwenden zu können. Ohne diese Informationen akzeptiert der Server den Datenverkehr nicht.

Die Forscher haben mindestens 53 von diesem Botnetz verwendete Server identifiziert, die sich alle in Europa befinden und über Frankreich, Bulgarien, die Niederlande und Schweden verteilt sind.

Zu den zehn am stärksten betroffenen Ländern zählen Indien, Brasilien, Kolumbien, Südafrika, Bangladesch, Argentinien, Angola, die Vereinigten Staaten, Suriname und Nigeria.

Die für das Socks5Systemz-Botnetz verantwortlichen Bedrohungsakteure bieten zwei Abonnements an: „Standard“ und „VIP“. Kunden können das Cryptomus Crypto Payment Gateway unter cryptomus.com nutzen.