Socks5Systemz 代理服务感染全球 10000 个系统

名为“Socks5Systemz”的代理僵尸网络已通过“PrivateLoader”和“Amadey”恶意软件加载程序感染全球计算机，目前已统计有 10,000 台受感染设备。

该恶意软件会感染计算机，并将其转变为恶意、非法或匿名流量的流量转发代理。它将这项服务出售给每天支付 1 至 140 美元加密货币的订阅者。

BitSight 的一份报告详细介绍了 Socks5Systemz   ，该报告澄清代理僵尸网络至少自 2016 年以来就已存在，但直到最近才相对低调。

Socks5Systemz

Socks5Systemz 僵尸程序由 PrivateLoader 和 Amadey 恶意软件分发，这些恶意软件通常通过网络钓鱼、漏洞利用工具包、恶意广告、从 P2P 网络下载的木马可执行文件等进行传播。

BitSight 看到的样本名为“previewer.exe”，其任务是将代理机器人注入到主机内存中，并通过名为“ContentDWSvc”的 Windows 服务为其建立持久性。

代理机器人有效负载是一个 300 KB 32 位 DLL。它使用域生成算法 (DGA) 系统与其命令和控制 (C2) 服务器连接，并发送有关受感染计算机的分析信息。

作为响应，C2 可以发送以下命令之一来执行：

• idle：不执行任何操作。
• connect：连接到反向连接服务器。
• connect：断开与反向连接服务器的连接。
• updips：更新授权发送流量的 IP 地址列表。
• upduris：尚未实施。

connect 命令至关重要，它指示机器人通过端口 1074/TCP 建立反向连接服务器连接。

一旦连接到威胁行为者的基础设施，受感染的设备现在可以用作代理服务器并出售给其他威胁行为者。

连接图 

连接到反向连接服务器时，它使用确定 IP 地址、代理密码、阻止端口列表等的字段。这些字段参数确保只有白名单中的机器人并具有必要的登录凭据才能与控制服务器交互，从而阻止未经授权的尝试。

连接命令参数

非法经营影响

BitSight 映射了主要位于法国和整个欧洲（荷兰、瑞典、保加利亚）的 53 个代理机器人、反向连接、DNS 和地址获取服务器的广泛控制基础设施。

自 10 月初以来，分析师通过端口 1074/TCP 记录了 10,000 次与已识别的反向连接服务器的不同通信尝试，表明受害者数量相同。

地理分布稀疏且随机，覆盖全球，但印度、美国、巴西、哥伦比亚、南非、阿根廷和尼日利亚感染人数最多。

Socks5Systemz 代理服务的访问权限分为两个订阅级别，即“标准”和“VIP”，客户通过匿名（无 KYC）支付网关“Cryptomus”进行支付。

订阅者必须声明代理流量的来源 IP 地址，才能将其添加到机器人的白名单中。

标准订阅者仅限于单个线程和代理类型，而 VIP 用户可以使用 100-5000 个线程并将代理类型设置为 SOCKS4、SOCKS5 或 HTTP。 

下面列出了每项服务的价格。

每个计划的订阅费用

住宅代理僵尸网络是一项 利润丰厚的业务 ，对互联网安全和未经授权的带宽劫持具有重大影响。

这些服务通常用于购物机器人并绕过地理限制，因此非常受欢迎。

8 月，AT&T 分析师透露了一个由超过 400000 个节点组成的广泛代理网络，其中不知情的 Windows 和 macOS 用户充当出口节点，引导其他人的互联网流量。