„Socks5Systemz Botnet“ užkrėtė tūkstančius įrenginių

Tyrėjai iš BitSight pristatė tarpinį robotų tinklą, žinomą kaip Socks5Systemz, kuris buvo pristatytas per PrivateLoader ir Amadey krautuvus. Pavadinimas Socks5Systemz yra kilęs iš nuoseklaus prisijungimo skydelio, esančio visuose C2 serveriuose. Šis tarpinio serverio robotų tinklas buvo aktyvus mažiausiai nuo 2016 m., tačiau beveik nepastebėtas.

Piktybiški veikėjai klientams neteisėtais tikslais teikia srauto persiuntimo tarpinius serverius, taikydami kainas nuo 1 USD iki 140 USD per dieną kriptovaliuta.

Tinklo telemetrijos duomenų tyrimas rodo, kad šis botnetas užkrėtė maždaug 10 000 sistemų, Rusijoje užkrėstų sistemų nerasta.

Visus ekspertų patikrintus pavyzdžius platina „PrivateLoader“ ir „Amadey“ ir jie vykdo failą pavadinimu „previewer.exe“, kuris užtikrina patvarumą ir įterpia tarpinio serverio robotą į atmintį. Įkroviklis palaiko atkaklumą sukurdamas „Windows“ paslaugą, kurios pavadinimas ir rodomas pavadinimas yra „ContentDWSvc“.

Kad išvengtų aptikimo ir padidintų robotų tinklo atsparumą panaikinimui, tarpinis serveris naudoja domeno generavimo algoritmą (DGA).

„Socks5Systemz“ pateikiamas kartu su komunikacijos komandomis

Svarbiausia komanda yra komanda „connect“, kuri nurodo robotui užmegzti seansą su backconnect serveriu prie 1074/TCP prievado. Ši registracija atgalinio ryšio infrastruktūroje leidžia robotui tapti galimo tarpinių serverių, naudojamų srautui klientų vardu perduoti, baseino dalimi.

Išnagrinėjus komandų „connect“ laukus, kenkėjiška programa inicijuoja seansą su backconnect serveriu per prievadą 1074/TCP, naudodama pasirinktinį dvejetainį protokolą. Nustačius sesiją, robotas gali veikti kaip tarpinis serveris.

Užmezgus seansą su atgalinio ryšio serveriu prie 1074/TCP prievado, robotui serverio pusėje priskiriamas unikalus TCP prievadas (vadinamas kaip serverio prievadas), atidarytas srautui iš klientų priimti. Klientai turi žinoti atgalinio ryšio serverio IP adresą, užkrėstai sistemai priskirtą TCP prievadą ir turėti savo viešąjį IP baltąjį sąrašą arba turėti teisingus prisijungimo duomenis, kad galėtų naudoti tarpinį serverį. Be šios informacijos serveris nepriims srauto.

Tyrėjai nustatė mažiausiai 53 šio botneto naudojamus serverius, kurie visi yra Europoje ir išplito Prancūzijoje, Bulgarijoje, Nyderlanduose ir Švedijoje.

Tarp 10 labiausiai nukentėjusių šalių yra Indija, Brazilija, Kolumbija, Pietų Afrika, Bangladešas, Argentina, Angola, JAV, Surinamas ir Nigerija.

Už „Socks5Systemz“ robotų tinklą atsakingi grėsmės veikėjai siūlo du prenumeratos planus: „Standartinį“ ir „VIP“. Klientai gali naudotis Cryptomus Crypto Payment Gateway adresu cryptomus.com.