A Socks5Systemz botnet több ezer eszközt fertőzött meg

A BitSight kutatói bemutatták a Socks5Systemz néven ismert proxy botnetet, amelyet a PrivateLoader és az Amadey loadereken keresztül szállítottak. A Socks5Systemz név az összes C2 szerveren található konzisztens bejelentkezési panelből származik. Ez a proxy botnet legalább 2016 óta aktív, de nagyrészt észrevétlen maradt.

A rosszindulatú szereplők tiltott célokra forgalom-továbbítási proxyt biztosítanak az ügyfeleknek, és napi 1 és 140 dollár közötti árat számítanak fel kriptovalutában.

A hálózati telemetriai adatok vizsgálata azt mutatja, hogy ez a botnet körülbelül 10 000 rendszert fertőzött meg, Oroszországban egyetlen fertőzött rendszert sem találtak.

A szakértők által megvizsgált összes mintát a PrivateLoader és az Amadey terjeszti, és végrehajtja a "previewer.exe" nevű fájlt, amely biztosítja a tartósságot, és beilleszti a proxybotot a memóriába. A betöltő fenntartja az állandóságot azáltal, hogy létrehoz egy Windows-szolgáltatást, amelynek neve és megjelenített neve „ContentDWSvc”.

Az észlelés elkerülése és a botnet eltávolítással szembeni ellenállásának növelése érdekében a proxybot egy tartománygeneráló algoritmust (DGA) használ.

A Socks5Systemz kommunikációs parancsokkal együtt érkezik

A legkritikusabb parancs a "connect" parancs, amely arra utasítja a botot, hogy munkamenetet hozzon létre egy backconnect szerverrel a 1074/TCP porton. Ez a regisztráció a backconnect infrastruktúrával lehetővé teszi, hogy a bot részévé váljon a rendelkezésre álló proxykészletnek, amelyet az ügyfelek nevében a forgalom továbbítására használnak.

A "connect" parancsmezők elemzése után a kártevő munkamenetet kezdeményez a backconnect szerverrel a 1074/TCP porton keresztül, egyéni bináris protokoll használatával. A munkamenet létrehozása után a bot proxyként működhet.

A 1074-es/TCP porton lévő backconnect szerverrel való munkamenet létrehozásakor a bot egy egyedi TCP-portot (a továbbiakban: szerverport) rendel hozzá a szerveroldalon, amely megnyitja az ügyfelektől érkező forgalom fogadását. Az ügyfeleknek ismerniük kell a backconnect szerver IP-címét, a fertőzött rendszerhez rendelt TCP-portot, és vagy nyilvános IP-címüket fel kell venniük az engedélyezési listára, vagy rendelkezniük kell a megfelelő bejelentkezési adatokkal a proxy használatához. Ezen információk nélkül a szerver nem fogadja el a forgalmat.

A kutatók legalább 53 botnet által használt szervert azonosítottak, amelyek mindegyike Európában található, és elterjedt Franciaországban, Bulgáriában, Hollandiában és Svédországban.

A 10 leginkább érintett ország India, Brazília, Kolumbia, Dél-Afrika, Banglades, Argentína, Angola, az Egyesült Államok, Suriname és Nigéria.

A Socks5Systemz botnetért felelős fenyegetés szereplői két előfizetési csomagot kínálnak: „Standard” és „VIP”. Az ügyfelek használhatják a Cryptomus Crypto Payment Gateway-t a cryptomus.com oldalon.