SystemBC - это троянец удаленного доступа (RAT), который может скрывать связь с сервером командования и управления, а также депонировать другие штаммы вредоносного ПО.
Также известен как
- Coroxy
- Socks5 backconnect system
Что такое вредоносная программа SystemBC
SystemBC - это троянец удаленного доступа (RAT), обнаруженный компанией ProofPoint в 2019 году. Как только он попал в поле зрения специалистов по безопасности, они начали замечать его использование в ряде параллельных кампаний ransomware, что характерно для вредоносного ПО, продаваемого на подпольных форумах. И гипотеза быстро подтвердилась: исследователи обнаружили объявление, рекламирующее вредоносную программу под названием "socks5 backconnect system", которая практически полностью соответствовала функциональности SystemBC.
Покупатели получали архив, содержащий исполняемый файл бота, исполняемый файл сервера C2 и базовую панель администратора, написанную на PHP.
Основной функцией этой вредоносной программы в то время было сокрытие связи с командно-контрольным сервером. Как только RAT проникала в систему жертвы, она начинала процесс выполнения, создавая скрытый и зашифрованный канал связи с C2-сервером злоумышленника. Этот канал связи позволял злоумышленнику удаленно управлять зараженной машиной и выполнять различные действия: загружать и скачивать файлы, выполнять команды и отключать защитное программное обеспечение.
Первоначально вредоносная программа устанавливала соединение с помощью прокси-серверов SOCKS5, но в более поздних итерациях это соединение было заменено на сеть Tor. Затем злоумышленники заменили сеть TOR на жестко закодированные адреса по протоколу IPV4 TCP, используя нестандартные порты.
Способность скрывать вредоносный трафик сделала этот RAT чрезвычайно популярным среди банд ransomware. Среди прочего, SystemBC использовался в атаке DarkSide на Американский колониальный трубопровод. Он также использовался в многочисленных атаках Ransomware-as-a-Service (RaaS), включая атаки с Ryuk и Egregor.
За время существования этой вредоносной программы ее создатели выпустили множество версий, постепенно улучшая возможности RAT и расширяя сферы ее применения. И эволюция этой угрозы не проявляет признаков замедления: постоянно появляются новые и модифицированные версии.
Чтобы облегчить жизнь, исследователи в целом делят версии на две категории:
Первый тип объединяет вредоносные программы, которые способны самостоятельно обновляться, но не более того. Это ранние варианты программы, которые в основном датируются 2019 и 2020 годами. Они могут выполнять следующие действия:
- Самообновление
- Проксирование трафика, обычно с использованием прокси-серверов SOCKS5.
Ко второму типу относятся более поздние итерации SystemBC. И их действительно много - некоторые функционально сильно отличаются от других. В дополнение к возможностям первого типа, они также могут:
- Проксировать трафик через сеть TOR и TCP-порты IPV4.
- загружать и выполнять пакетные и VBS-скрипты
- выполнять команды Windows
- устанавливать вредоносное ПО в виде DLL для запуска в памяти.
А в 2022 году исследователи также обнаружили вариант PowerShell SystemBC.
Процесс выполнения SystemBC
Процесс выполнения SystemBC зависит от его версии, но всегда довольно прост. Как правило, после заражения он подключается к C2 для выполнения дальнейших команд. Последние версии могут загружать файлы или создавать прокси с зараженного ПК. Конфигурация вредоносной программы коротка и имеет только один или пару IP-адресов или доменов, к которым она будет пытаться подключиться. Вредоносная программа также шифрует свой трафик.
Распространение SystemBC
Изначально SystemBC распространялся с помощью наборов эксплойтов RIG и Fallout. Но теперь он обычно распространяется с помощью других штаммов вредоносного ПО, которые, в свою очередь, попадают на машины в виде вредоносных вложений в спаме по электронной почте или при загрузке пользователями пиратского программного обеспечения.
Вот несколько семейств вредоносных программ, которые были замечены в распространении этого RAT:
Интересно, что хотя эти вредоносные программы могут сбрасывать SystemBC на зараженные ими машины, иногда это поведение меняется на противоположное. Например, SystemBC иногда заражает скомпрометированные машины с помощью CobaltStrike.
Заключение
SystemBC - необычная вредоносная программа, и случаи ее использования почти так же разнообразны, как и ее разновидности. Он часто встречается в мощных атаках вымогателей, используется для закрепления в сетях в сочетании с CobaltStrike и может сбрасывать ряд инструментов для пост-эксплуатации.
За этим вирусом стоит следить. Если количество версий SystemBC о чем-то и говорит, так это о том, что разработчики будут продолжать совершенствовать его возможности, делая его все более опасным. А возможная связь с бандами, занимающимися вымогательством выкупа, означает, что мы, скорее всего, еще не раз увидим его использование в сложных целевых атаках.