Kötü niyetli PYPI PAKETİ SOCKS5 PROXY ARAÇI OLARAK Windows Platformlarına Saldıran

   Ekim 1, 2025  Posted in GBHackers


Jfrog’un güvenlik araştırma ekibi, Windows sistemlerine gizli bir şekilde bir arka kapıyı implante ederken, meşru bir çorap 5 proxy yardımcı programı olarak maskelenen Soopsocks adlı kötü niyetli bir PYPI paketi belirledi.

Bu paket, örgütsel ağları önemli bir risk altına sokarak gizli bir çıkış kanalı oluşturmak için otomatik kurulum, gelişmiş kalıcılık teknikleri ve gerçek zamanlı ağ keşiflerinden yararlanır.

Tedarik zinciri tehditleri için PYPI depolarını izlerken, JFrog araştırmacıları, alışılmadık derecede geniş ayrıcalıkları ve gömülü bir uyumsuzluk Webhook URL’sinin dahil edilmesi nedeniyle Soopsocks’u (Xray-725599) işaretlediler.

Bir Socks5 proxy’ini döndürmek ve sunucu ayrıntılarını bir webhook’a bildirmek için basit bir araç olarak ilan edilmesine rağmen, daha derin analiz, Soopsocks’un silahlandırılmış bir arka kapı proxy olarak işlev gördüğünü ve saldırganların tehlikeye atılmış ana bilgisayarlar aracılığıyla trafiği huni yapmasını sağladığını ortaya koydu.

Soophocks sürümlerinin evrimi

-V0.1.0-V0.1.2: Temel Python tabanlı SOCKS5 sunucusu tanıtıldı.
– v0.2.0 – v0.2.4: paketlenmiş _autorun.exe ve Go’dan derlenen Windows Service desteği.
– V0.2.5 – V0.2.6: Eski VBScript eklendi (_autorun.vbs) dağıtım mekanizmaları.
– V0.2.7: Saldırı vektörünü düzene sokan tek bir yürütülebilir yükleyiciye birleştirildi.

Soopsocks üç birincil yöntemle yayılır:

VBScript ekran görüntüsü 0.2.5 sürümünün dışındadır.
VBScript ekran görüntüsü 0.2.5 sürümünün dışında.

1. _autorun.exe (Birincil vektör)
Penceresini gizleyen, PowerShell yürütme politikasını atlayan, hataları bastıran ve kendisini “Soopsockssvc” olarak yüklemek için komut dosyalarını düzenleyen GO derlenmiş bir PE32+ yürütülebilir dosyası C:\Program Files\socks5svc\socks5svc.exe. Bu hizmet sistem ayrıcalıklarıyla çalışır ve Windows güvenlik duvarı kuralları aracılığıyla TCP/UDP bağlantı noktası 1080’i açar.

2. _autorun.vbs (Eski vektör)
0.2.5 ve 0.2.6 Sürümleri, taşınabilir bir Python dağıtımını indiren, bir PowerShell Bootstrap komut dosyası oluşturan, UAC aracılığıyla yükselen ve Soophocks’u sessizce içine yerleştiren bir VBScript kullanın. %TEMP% başlatmadan önce.

3. Doğrudan Python Modülü kurulumu
Üzerinden yükleyen kullanıcılar pip install soopsocks pywin32 Dahili kalıcılığı tetikleyin: Servis kurulumu, güvenlik duvarı kuralı yapılandırması ve planlanmış görev geri dönüşü.

Kalıcılık ve ayrıcalık artışı

Soopsocks, hayatta kalmayı ve gizliliği sağlar:

  • Windows Service: Sistem ayrıcalıklarıyla otomatik olarak çalışır.
  • Programlı Görev: “Soopsocksauto”, hizmet yüklemesi başarısız olursa başlangıç ​​ve oturum açmayı tetikler.
  • UAC Bypass: Politika kısıtlamalarını atlamak için otomatik PowerShell Yüksekliği.
  • Güvenlik Duvarı Kuralları: Port 1080’de gelen TCP/UDP kurallarının otomatik olarak oluşturulması.

Kurulduktan sonra, Soopsock sadece keyfi TCP ve UDP trafiğini değil, aynı zamanda ayrıntılı ağ telemetrisini de toplar:

  • Yerel rota denetimi ve HTTP API’leri aracılığıyla LAN ve genel IP keşfi.
  • NAT geçiş parmak izi için sersemletici protokol kullanımı.
  • Internet Explorer güvenlik ayarları ve Windows yükleme tarihi dahil olmak üzere ana bilgisayar profili.
    Her 30 saniyede bir, paket, ana bilgisayar adı, yerel ve genel IP adresleri ve bağlantı türü için alanlar içeren sert kodlanmış Discord Webhook’a gömülü bir JSON gönderir – saldırganlara ağ çıkışına sürekli içgörü sağlar.

Teknik derin dalış

GO Yürütülebilir Python kaynak kodu yapısını yansıtır (mainsocks5/internal/* modüller) ve güveniyor github.com/kardianos/service Windows Hizmet Yönetimi için. Anahtar bileşenler şunları içerir:

  • SERVER.PY / Go Proxy Modülü: Kimlik doğrulaması olmadan RFC-1928 Connect ve UDP ilişkilendirme komutlarını uygular.
  • CLI.PY / Orkestrasyon Komut Dosyaları: Güvenlik duvarı kurallarını, hizmet kurulumunu ve planlanan görevleri yönetir.
  • DISCORD.PY / C2 ​​Modülü: Ağ telemetrisini anlaşmazlığa biçimlendirir ve gönderir.
  • EGRESS.PY / Recon Modülü: IP ve NAT verilerini toplar.
  • FIREWALL.PY: PowerShell veya netsh.

Hafifletme

Kuruluşlar, beklenmedik Webhook URL’leri veya ayrıcalıklı operasyonlar için Python bağımlılıklarını denetlemelidir. Kod depoları üzerinde sıkı beyaz liste uygulayın, hizmet yüklemeleri için en az ayrıcalık uygulayın ve uyumsuzluk ve nadir ana bilgisayar adlarına giden bağlantıları izleyin.

Otomatik Python Modül kurulumlarının VBScript aracılığıyla devre dışı bırakılması ve PowerShell yürütme politikalarının kısıtlanması saldırı yüzeyini daha da azaltabilir.

Soopsocks, açık kaynak paketlerinin pencere ortamlarına karşı nasıl silahlandırılabileceğini, sürekli tedarik zinciri uyanıklığı ve proxy dağıtımlarının çalışma zamanı izlemesine yönelik kritik ihtiyacın altını çizerek örnekler.

Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.



Source link