Socks5Systemz 僵尸网络感染了数千台设备
BitSight 的研究人员推出了一个名为 Socks5Systemz 的代理僵尸网络,该网络是通过 PrivateLoader 和 Amadey 加载程序传送的。 Socks5Systemz 这个名称源自所有 C2 服务器上一致的登录面板。该代理僵尸网络至少自 2016 年以来就一直活跃,但基本上没有引起人们的注意。
恶意行为者出于非法目的向客户提供流量转发代理,以加密货币收取每天 1 美元到 140 美元不等的价格。
对网络遥测数据的检查表明,该僵尸网络已感染了大约 10,000 个系统,但在俄罗斯没有发现受感染的系统。
所有经过专家审查的样本均由 PrivateLoader 和 Amadey 分发,并执行名为“previewer.exe”的文件,该文件建立持久性并将代理机器人注入内存。加载程序通过创建名称和显示名称设置为“ContentDWSvc”的 Windows 服务来维护持久性。
为了逃避检测并增强僵尸网络对删除的抵抗力,代理机器人利用域生成算法 (DGA)。
Socks5Systemz 捆绑了通信命令
最关键的命令是“connect”命令,它指示机器人在端口 1074/TCP 上与反向连接服务器建立会话。向反向连接基础设施的注册允许机器人成为用于代表客户端传输流量的可用代理池的一部分。
解析“连接”命令字段后,恶意软件使用自定义二进制协议通过端口 1074/TCP 启动与反向连接服务器的会话。一旦建立会话,机器人就可以充当代理。
在端口 1074/TCP 上与反向连接服务器建立会话后,机器人会在服务器端分配一个唯一的 TCP 端口(称为服务器端口),打开该端口以接收来自客户端的流量。客户端必须知道反向连接服务器的 IP 地址、分配给受感染系统的 TCP 端口,并且将其公共 IP 列入白名单或拥有正确的登录凭据才能使用代理。如果没有此信息,服务器将不会接受流量。
研究人员已识别出该僵尸网络使用的至少 53 个服务器,全部位于欧洲,分布在法国、保加利亚、荷兰和瑞典。
受影响最严重的10个国家包括印度、巴西、哥伦比亚、南非、孟加拉国、阿根廷、安哥拉、美国、苏里南和尼日利亚。
负责 Socks5Systemz 僵尸网络的威胁参与者提供两种订阅计划:“标准”和“VIP”。客户可以在 cryptomus.com 上使用 Cryptomus 加密支付网关。