Socks5Systemz 代理服務已感染全球 10,000 個系統

名為“Socks5Systemz”的代理僵尸網絡已通過“PrivateLoader”和“Amadey”惡意軟件加載程序感染全球計算機，目前已統計有 10,000 臺受感染設備。

該惡意軟件會感染計算機，并將其轉變為惡意、非法或匿名流量的流量轉發代理。它將這項服務出售給每天支付 1 至 140 美元加密貨幣的訂閱者。

BitSight的一份報告詳細介紹了 Socks5Systemz，該報告稱代理僵尸網絡至少自2016年以來就已存在，但直到最近才相對低調。

Socks5Systemz

Socks5Systemz 僵尸程序由 PrivateLoader 和 Amadey 惡意軟件分發，這些惡意軟件通常通過網絡釣魚、漏洞利用工具包、惡意廣告、從 P2P 網絡下載的木馬可執行文件等進行傳播。

BitSight 看到的樣本名為“previewer.exe”，其任務是將代理機器人注入到主機內存中，并通過名為“ContentDWSvc”的 Windows 服務為其建立持久性。

代理機器人有效負載是一個 300 KB 32 位 DLL。它使用域生成算法 (DGA) 系統與其命令和控制 (C2) 服務器連接，并發送有關受感染計算機的分析信息。

作為響應，C2 可以發送以下命令之一來執行：

空閑：不執行任何操作

connect：連接到反向連接服務器

connect：斷開與反向連接服務器的連接

updips：更新授權發送流量的 IP 地址列表

upduris：尚未實施

connect 命令至關重要，它指示機器人通過端口 1074/TCP 建立反向連接服務器連接

一旦連接到威脅行為者的基礎設施，受感染的設備現在可以用作代理服務器并出售給其他威脅行為者。

連接到反向連接服務器時，它使用確定 IP 地址、代理密碼、阻止端口列表等的字段。這些字段參數確保只有白名單中的機器人并具有必要的登錄憑據才能與控制服務器交互，從而阻止未經授權的嘗試。

法經營影響

BitSight 映射了主要位于法國和整個歐洲（荷蘭、瑞典、保加利亞）的 53 個代理機器人、反向連接、DNS 和地址獲取服務器的廣泛控制基礎設施。

自 10 月初以來，分析師通過端口 1074/TCP 記錄了 10,000 次與已識別的反向連接服務器的不同通信嘗試，表明受害者數量相同。

地理分布稀疏且隨機，覆蓋全球，但印度、美國、巴西、哥倫比亞、南非、阿根廷和尼日利亞感染人數最多。

Socks5Systemz 代理服務的訪問權限分為兩個訂閱級別，即“標準”和“VIP”，客戶通過匿名（無 KYC）支付網關“Cryptomus”進行支付。

訂閱者必須聲明代理流量的來源 IP 地址，才能將其添加到機器人的白名單中。

標準訂閱者僅限于單個線程和代理類型，而 VIP 用戶可以使用 100-5000 個線程并將代理類型設置為 SOCKS4、SOCKS5 或 HTTP。

下面列出了每項服務的價格：

住宅代理僵尸網絡是一項 利潤豐厚的業務 ，對互聯網安全和未經授權的帶寬劫持具有重大影響。

這些服務通常用于購物機器人并繞過地理限制，因此非常受歡迎。

8 月，AT&T 分析師透露了一個由超過 400,000 個節點組成的廣泛代理網絡，其中不知情的 Windows 和 macOS 用戶充當出口節點，引導其他人的互聯網流量。