SystemBC僵尸网络的出现标志着基于代理的犯罪基础设施发生了重大演变。
SystemBC的运营商没有挪用家用设备作为代理,而是转向入侵大型商业虚拟专用服务器(VPS),从而能提供大容量的代理服务,同时对终端用户的干扰降至最低。
近几个月来,Lumen Technologies观察到平均每天有1500个新被攻陷的虚拟专用服务器(VPS)系统,每个系统都被犯罪威胁组织用来转发恶意流量。
这些被攻陷的服务器充当着强大的高带宽代理,其提供的吞吐量达到了传统住宅僵尸网络无法维持的前所未有的水平。
SystemBC的功能最初由Proofpoint于2019年记录在案,如今已不再局限于简单的代理操作。
成功渗透后,加载程序会解密硬编码的配置,并与80多个命令与控制(C2)服务器中的一个建立连接。
该有效载荷结合使用了XOR和RC4加密来保护其通信信道,这使得防御者的检测和分析工作难以进行。
Lumen分析师在对一个Linux变体样本进行动态分析时发现了这个加密管道,揭示了一个包含三个阶段的出站信标和C2响应过程。
这种规避与检测之间持续不断的猫鼠游戏,凸显了SystemBC多年来的顽强生命力。
这种僵尸网络的影响已波及整个网络犯罪生态系统。除了提供可供租用的代理外,SystemBC的网络还被整合到更大型的服务中,例如REM Proxy——这是一种分层商业服务,为多个犯罪集团提供支持。
REM代理的高端“混合速度”层级包含众多感染了SystemBC的服务器,这些服务器因其流量和稳定性而备受青睐。
与此同时,质量较低的代理被用于暴力攻击活动和凭证窃取。这种被入侵的虚拟专用服务器资产的双重用途凸显了威胁行为者如何在单一统一架构下优化不同的感染和利用阶段。
感染机制与解密流程
其感染机制通常始于对互联网暴露服务在443端口的 opportunistic 扫描。一旦识别出存在漏洞的虚拟专用服务器(VPS),恶意软件便会通过80端口的HTTP协议开始下载。
检索到的shell脚本带有俄语注释,可自动并行下载并执行180多个SystemBC样本。
每个样本都共享一个嵌入在其二进制文件中的40字节XOR密钥。执行时,加载器会执行以下伪代码来重构其C2配置:-
# Pseudocode for SystemBC configuration decryption
key = read_bytes(offset=0x100, length=40)
encrypted_config = read_bytes(offset=0x200, length=config_length)
config = xor(rc4(xor(encrypted_config, key), key), key)
解密后,配置会生成一个C2端点列表和操作参数。然后,加载器会制作一个初始信标数据包——由密钥、填充字节和0xFFFF头部组成——在传输前通过相同的流程进行加密。
C2服务器的响应包含一个四字节的头部,用于指示命令:新代理创建、代理数据注入或终止。
Lumen的研究人员指出,这种对称加密方法能有效规避基于签名的检测,同时在受感染服务器上保持较低的计算开销。
凭借其可扩展的感染策略、强大的加密技术以及与商业代理服务的整合,SystemBC堪称现代“恶意软件即服务”模式的典范。
持续监控和快速共享攻击指标对于减轻其广泛威胁仍然至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
