بدافزار SystemBC با استفاده از کامپیوترهای شخصی ترافیک مخرب خود را مخفی میکند
پژوهشگران امنیتی به تازگی بدافزار جدیدی را شناسایی کردهاند که به سیستمهای ویندوز نفوذ پیدا کرده است. این بدافزار در خرداد ماه امسال با عنوان SystemBC توسط محققان Proofpoint کشف و مشخص شد که از طریق کیت بهره برداری Fallout، تروجان Danabot و کیت اکسپلویت RIG منتشر میشود. علاوه بر این، اعتقاد بر این است که این ویروس با بدافزار Brushaloader و بدافزارهای مرتبط با آن، شباهتهای متعددی دارد.
محققان Proofpoint در یک وبلاگ، جزئیات قابل توجهی را در مورد خصوصیات مختلف این بدافزار ارایه کردند که نشان میدهد روشهای کاهش اثر بدافزارهایی نظیر SystemBC بسیار چالش برانگیز است.
بدافزار SystemBC با سوءاستفاده از پروکسیهای SOCKS5، ترافیک شبکه سرور C2 خود را از طریق اتصالات HTTPS مخفی میکند. طبق گزارشها، این بدافزار در یک بازار زیرزمینی با نام “سیستم اتصال به عقب socks5″ به فروش میرسد. این بدافزار از رمزنگاری استاندارد RC4 در ارتباطات سرور C2 خود بهره میبرد.
به محض آلوده شدن سیستم توسط SystemBC، پروکسی SOCKS5 راه اندازی خواهد شد که به بدافزار اجازه میدهد قابلیت تشخیص ترافیک مخرب فرمان و کنترل فایروال ویندوز را دور بزند. علاوه بر این، بدافزار میتواند بدون فاش کردن آدرس IP خود، فیلترهای محتوای اینترنتی را دور زده یا اتصال سرور C2 خود را برقرار کند.
بدافزار پروکسی SOCKS5 میتواند چالشهای جدیدی را برای سازمانهای مختلف ایجاد کند، زیرا آنها اغلب به تشخیص شبکه متکی هستند تا از نفوذ تروجانهای بانکی مخرب جلوگیری کنند.