SystemBC Botnet’in ortaya çıkışı, vekil tabanlı suç altyapısında önemli bir evrimi işaret etmektedir.
SystemBC operatörleri, proxy için konut cihazları yerine, büyük ticari sanal özel sunuculardan (VPS) tehlikeye atarak, son kullanıcılara minimum kesintiye sahip yüksek hacimli proxy hizmetlerini sağlayarak değişti.
Son aylarda, Lümen Technologies günlük ortalama 1.500 yeni tehlikeye atılmış VPS sistemi gözlemledi, her biri ceza tehdit grupları adına kötü niyetli trafiği aktarmaya kaydoldu.
Bu tehlikeye atılan sunucular, geleneksel konut botnetlerinin sürdüremeyeceği eşi görülmemiş bir verim seviyesi sağlayarak sağlam, yüksek bant genişliğinde vekiller olarak işlev görür.
Başlangıçta 2019 yılında Proofpoint tarafından belgelenen SystemBC işlevselliği, basit proxy işlemlerinin ötesine genişlemiştir.
Başarılı bir infiltrasyondan sonra, yükleyici sabit kodlu bir yapılandırmayı şifreledi ve 80’den fazla komut ve kontrol (C2) sunucusundan birine bağlantı kurar.
Yük, iletişim kanalını güvence altına almak için XOR ve RC4 şifrelemesinin bir kombinasyonundan yararlanarak savunucuların algılaması ve analizinin zorlayıcı olmasını sağlar.
Lümen analistleri, bir Linux varyant örneğinin dinamik analizi sırasında bu şifreleme boru hattını belirledi ve hem giden işaretleme hem de C2 yanıtları için üç aşamalı bir işlem ortaya koydu.
Kaçma ve tespit arasındaki bu sürekli kedi ve fare oyunu, SystemBC’nin birkaç yıl boyunca esnekliğinin altını çizdi.
Bu botnet’in etkisi siber suç ekosisteminde hissedilmiştir. Kiralama için vekiller sağlamanın yanı sıra, SystemBC’nin ağı, birden fazla suç işletmesine hitap eden katmanlı bir ticari hizmet olan REM Proxy gibi daha büyük tekliflere entegre edilmiştir.
.webp)
REM Proxy’nin üst düzey “karışım” katmanı, hacimleri ve stabiliteleri için ödüllendirilen çok sayıda SystemBC ile enfekte sunucu içerir.
Bu arada, daha düşük kaliteli vekiller kaba kuvvet kampanyalarına ve kimlik bilgisi hasatına düşüyor. Meydan okulu VPS varlıklarının bu ikili kullanımı, tehdit aktörlerinin tek bir birleşik mimari altında farklı enfeksiyon ve sömürü aşamalarını nasıl optimize ettiğini vurgulamaktadır.
Enfeksiyon mekanizması ve şifre çözme iş akışı
Enfeksiyon mekanizması genellikle 443 numaralı bağlantı noktasında internete bakan hizmetlerin fırsatçı taramasıyla başlar. Korunmasız bir VP tanımlandıktan sonra, kötü amaçlı yazılım indirimi HTTP aracılığıyla 80 bağlantı noktası üzerinden başlatılır.
.webp)
Rus yorumlarıyla açıklanan geri alınan kabuk komut dosyası, 180’den fazla SystemBC örneğinin paralel indirilmesini ve yürütülmesini otomatikleştirir.
Her numune ikili içine gömülü 40 baytlık bir xor anahtarını paylaşır. Yürütme üzerine yükleyici, C2 yapılandırmasını yeniden yapılandırmak için aşağıdaki sahte kodları gerçekleştirir:-
# Pseudocode for SystemBC configuration decryption
key = read_bytes(offset=0x100, length=40)
encrypted_config = read_bytes(offset=0x200, length=config_length)
config = xor(rc4(xor(encrypted_config, key), key), key).webp)
Şifre çözüldükten sonra yapılandırma, C2 uç noktalarının ve operasyonel parametrelerin bir listesini verir. Yükleyici daha sonra, şanzımandan önce aynı boru hattında şifrelenmiş anahtar, dolgu baytları ve 0xffff başlıklarından oluşan bir ilk işaret paketi oluşturur.
.webp)
C2 sunucusundan gelen yanıt, komutları gösteren dört baytlık bir başlık içerir: yeni proxy oluşturma, proxy veri enjeksiyonu veya sonlandırma.
Lümen araştırmacıları, bu simetrik şifreleme yaklaşımının, tehlikeye atılan sunucularda düşük hesaplama yükünü korurken imza tabanlı tespiti etkili bir şekilde kaçındığını belirtti.
Ölçeklenebilir enfeksiyon taktikleri, sağlam şifreleme ve ticari proxy hizmetlerine entegrasyon karışımı sayesinde SystemBC, hizmet olarak modern bir kötü amaçlı yazılım modelini örneklendirir.
Uzlaşma göstergelerinin sürekli izlenmesi ve hızlı bir şekilde paylaşılması, yaygın tehdidini azaltmak için kritik olmaya devam etmektedir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.