Socks5Systemz 殭屍網路感染了數千台設備

BitSight 的研究人員推出了一個名為 Socks5Systemz 的代理殭屍網絡，該網絡是透過 PrivateLoader 和 Amadey 載入程式傳送的。 Socks5Systemz 這個名稱源自於所有 C2 伺服器上一致的登入面板。該代理殭屍網路至少自 2016 年以來就一直活躍，但基本上沒有引起人們的注意。

惡意行為者出於非法目的向客戶提供流量轉發代理，以加密貨幣收取每天 1 美元到 140 美元不等的價格。

對網路遙測數據的檢查表明，該殭屍網路已感染了大約 10,000 個系統，但在俄羅斯沒有發現受感染的系統。

所有經過專家審查的樣本均由 PrivateLoader 和 Amadey 分發，並執行名為「previewer.exe」的文件，該文件建立持久性並將代理機器人注入記憶體。載入程式透過建立名稱和顯示名稱設定為「ContentDWSvc」的 Windows 服務來維護持久性。

為了逃避偵測並增強殭屍網路對刪除的抵抗力，代理機器人利用域生成演算法 (DGA)。

Socks5Systemz 捆綁了通訊命令

最關鍵的命令是「connect」命令，它指示機器人在連接埠 1074/TCP 上與反向連接伺服器建立會話。向反向連接基礎設施的註冊允許機器人成為用於代表客戶端傳輸流量的可用代理池的一部分。

解析「連線」命令欄位後，惡意軟體使用自訂二進位協定透過連接埠 1074/TCP 啟動與反向連線伺服器的會話。一旦建立會話，機器人就可以充當代理。

在連接埠 1074/TCP 上與反向連線伺服器建立會話後，機器人會在伺服器端分配一個唯一的 TCP 連接埠（稱為伺服器連接埠），開啟該連接埠以接收來自客戶端的流量。客戶端必須知道反向連接伺服器的 IP 位址、分配給受感染系統的 TCP 端口，並且將其公共 IP 列入白名單或擁有正確的登入憑證才能使用代理。如果沒有此訊息，伺服器將不會接受流量。

研究人員已識別出該殭屍網路使用的至少 53 台伺服器，全部位於歐洲，分佈在法國、保加利亞、荷蘭和瑞典。

受影響最嚴重的10個國家包括印度、巴西、哥倫比亞、南非、孟加拉、阿根廷、安哥拉、美國、蘇利南和奈及利亞。

負責 Socks5Systemz 殭屍網路的威脅參與者提供兩種訂閱方案：「標準」和「VIP」。客戶可以在 cryptomus.com 上使用 Cryptomus 加密支付網關。