SystemBC僵尸网络劫持了全球1万台设备用于DDoS攻击
SystemBC 恶意软件家族是一种持续性威胁,最早于 2019 年被发现,如今已发展成为一个庞大的僵尸网络基础设施,控制着全球超过 10,000 台被劫持的设备。 该恶意软件主要用作 SOCKS5 代理和后门,使威胁行为者能够掩盖其恶意流量并长期访问受感染的网络。
SystemBC 恶意软件家族是一种持续性威胁,最早于 2019 年被发现,如今已发展成为一个庞大的僵尸网络基础设施,控制着全球超过 10,000 台被劫持的设备。
该恶意软件主要用作 SOCKS5 代理和后门,使威胁行为者能够掩盖其恶意流量并长期访问受感染的网络。
通过将受感染的系统转换为中继,僵尸网络允许攻击者通过受害者的机器路由命令和控制通信,有效地向防御者隐藏其真实位置,并使归因工作变得复杂。
这种“反向连接”架构创建了一个具有弹性的网络,该网络经受住了重大的执法干扰,包括欧洲刑警组织在 2024 年 5 月发起的“终局行动”。
基础设施并没有消失,而是进行了调整,将重点从住宅网络转移到了损害托管服务提供商。
这种战略转变使得感染持续时间比典型的恶意软件活动要长得多,平均系统被感染的时间长达 38 天,有些感染甚至持续超过 100 天。
僵尸网络是勒索软件部署的关键先导,它通过隧道传输流量以窃取数据并进行进一步利用。
Silent Push 的分析师指出,僵尸网络的复苏涉及对全球受感染 IP 地址的复杂追踪。
他们的研究发现,美国是主要目标,拥有超过 4300 台受感染的设备,其次是德国、法国和新加坡。
调查还揭露了敏感政府环境中令人震惊的漏洞,包括越南和布基纳法索境内托管官方网站的高密度服务器。
这些被入侵的资产经常被用来发动其他攻击或支持其他犯罪活动。
未检测到的 Perl 变体分析
此次行动的关键在于发现了一种此前未被记录的、用 Perl 编写的SystemBC变体,该变体专门用于规避传统的安全控制。
与僵尸网络命令基础设施通信的文件中包含这个不寻常的脚本,该脚本最初在主要防病毒引擎中均未被检测到。
这种变种通常由 ELF 二进制文件投放器部署,这些投放器被识别为“SafeObject”和“StringHash”,它们使用 UPX 打包来隐藏其恶意代码,使其无法通过静态分析工具进行分析。
一旦解压,这些投放器就会积极地在主机系统上搜索可写目录,然后执行数百个嵌入式有效载荷。
对投放器代码的调查显示,它异常“嘈杂”,并且充满了俄语字符串,这可能为威胁行为者的来源提供了线索。
由于 SystemBC 基础设施通常会发出入侵链早期阶段的信号,因此建议安全团队优先主动监控这些指标,以防止升级为勒索软件攻击。
关于作者
评论2次
结论
SystemBC僵尸网络通过动态基础设施调整(如转向托管服务商)、隐蔽通信协议(Perl变体)及模块化投放机制(如UPX打包的ELF payload)实现长期驻留与抗干扰。核心威胁在于其利用合法隧道流量进行横向移动,且隐蔽性极强,需从代码特征、网络行为和xi统异常三个维度切入排查。
分析路径(按T00ls方法论)
L1 攻击面识别
/tmp)部署Perl后门。L2 假设与验证
/var/log/auth.log)中异常SSH登录时间,或未授权进程(如perl -e eval)。strings <binary> | grep 'upx'),检查UPX打包痕迹;解包后用grep -r 'eval{'; perl定位动态执行代码。tcpdump port 53 or port 443 -w test.pcap),用Wireshark检查DNS请求中非标准子域名或TLS证书指纹异常。L3 边界/异常场景
last命令查看非业务时段登录)、共享存储目录权限异常(如ls -la /mnt)。crontab -l; ls /etc/cron*),检查是否包含/tmp/路径的定时任务或隐藏的PID(如ps aux | grep perl)。L4 防御反推与修复
iptables -A OUTPUT -p tcp --dport 1080 -j LOG/DROP)。chmod -x /usr/bin/perl),或使用AppArmor/SELinux限制脚本执行范围。perl调用system()或socket()函数,立即隔离主机。验证步骤(最小可执行方案)
日志溯源:
流量检测:
代码分析:
修复建议
rm -rf /tmp/可疑目录,重启服务清除内存驻留进程。init -> bash -> perl的非正常继承)。注:若环境为Linuxxi统,重点检查
/dev/shm、/tmp临时目录及Cron任务;Windows环境则需排查%TEMP%及计划任务中的隐藏服务。僵尸网络的基础设施载体的变化,监控指标值得所有公司重视啊。