باتنتی به نام Socks5Systemz دهها هزار سیستم را آلوده کرده است. این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام میدهد .این بدافزار رایانهها را آلوده میکند و آنها را به پراکسیهای انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل میکند. این سرویس را به مشترکینی میفروشد که برای دسترسی به آن بین 1 تا 140 دلار در روز به صورت رمزنگاری پرداخت میکنند. در گزارش منتشر شده توسط BitSight، باتنت Socks5Systemz دست کم از سال 2016 فعالیت داشته است.
ربات Socks5Systemz توسط بدافزار PrivateLoader و Amadey توزیع میشود که اغلب از طریق فیشینگ، کیتهای بهرهبرداری، آلوده سازی فایلها با بدافزار، فایلهای اجرایی آلوده شده به تروجان دانلود شده و از شبکههای P2P و غیره منتشر میشوند. نمونههایی که توسط BitSight مشاهده میشوند «previewer.exe» نام دارند و وظیفه آنها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است. بارگذاری ربات پروکسی یک DLL 32 بیتی 300 کیلوبایتی است. از یک الگوریتم تولید دامنه (DGA) جهت اتصال به سرور کنترل و فرمان (C2) و ارسال اطلاعات پروفایل روی دستگاه آلوده استفاده میکند. در پاسخ، C2 میتواند یکی از دستورات زیر را برای اجرا ارسال کند:
idle : هیچ عملی انجام ندهید.
Connect: به سرور backconnect متصل شوید.
Disconnect: سرور backconnect قطع ارتباط کنید.
Updips: لیست آدرسهای IP مجاز برای ارسال ترافیک را بهروز کنید.
Upduris: هنوز پیادهسازی نشده است.
دستور اتصال بسیار مهم است و به ربات دستور میدهد تا یک اتصال سرور پشتیبان را از طریق پورت 1074/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون میتواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود.
هنگام اتصال به سرور backconnect، از فیلدیهایی استفاده میکند که آدرس IP، رمز عبور پروکسی، لیست پورتهای مسدود شده و غیره را تعیین میکنند. این پارامترها تضمین میکنند که فقط رباتهای موجود در لیست مجاز و با اعتبار ورود لازم میتوانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.
BitSight یک زیرساخت کنترل گسترده از 53 ربات پراکسی، بککانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شدهاند، ترسیم کرد.
از آغاز ماه اکتبر، تحلیلگران 10000 تلاش ارتباطی متمایز بر روی پورت 1074/TCP با سرورهای بککانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks5Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته میشود، که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت میکنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ میگیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP میتوانند از 100-5000 رشته استفاده کنند و نوع پروکسی را روی SOCKS4، SOCKS5 یا HTTP تنظیم کنند. قیمت هر یک از خدمات ارائه شده در تصویر زیر آورده شده است.
باتنتهای پروکسی یک تجارت پرسود است که تأثیر قابل توجهی بر امنیت اینترنت و ربودن غیرمجاز پهنای باند دارد. این خدمات معمولاً برای دور زدن محدودیتهای جغرافیایی مورد استفاده قرار میگیرند که باعث محبوبیت آنها میشود.
منبع خبر:
https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-w…
- 120