A análise do servidor C2 do malware SystemBC expõe truques de entrega de carga útil.
Pesquisadores de segurança cibernética lançaram luz sobre o servidor de comando e controle (C2) de uma conhecida família de malware chamada SystemBC .
“O SystemBC pode ser adquirido em mercados clandestinos e é fornecido em um arquivo contendo o implante, um servidor de comando e controle (C2) e um portal de administração web escrito em PHP”, informou Kroll em análise publicada na semana passada.
O provedor de soluções de risco e consultoria financeira disse ter testemunhado um aumento no uso de malware durante o segundo e terceiro trimestre de 2023.
O SystemBC observado pela primeira vez em 2018, permite que os agentes de ameaças controlem remotamente um host comprometido e entreguem cargas adicionais, incluindo trojans, Cobalt Strike e ransomware. Ele também oferece suporte para lançar módulos auxiliares dinamicamente para expandir sua funcionalidade principal.
Um aspecto de destaque do malware gira em torno do uso de proxies SOCKS5 para mascarar o tráfego de rede para a infraestrutura C2, agindo como um mecanismo de acesso persistente para pós-exploração.
Os clientes que adquirem o SystemBC recebem um pacote de instalação que inclui o executável do implante, binários Windows e Linux para o servidor C2 e um arquivo PHP para renderizar a interface do painel C2 juntamente com instruções em inglês e russo que detalham as etapas e comandos para funcionar.
Os executáveis do servidor C2 – “server.exe” para Windows e “server.out” para Linux são projetados para abrir pelo menos três portas TCP para facilitar o tráfego C2, a comunicação entre processos (IPC) entre ele e o Interface de painel baseada em PHP (normalmente porta 4000) e uma para cada implante ativo (também conhecido como bot).
O componente servidor também utiliza outros três arquivos para registrar informações sobre a interação do implante como proxy e carregador, além de detalhes referentes às vítimas.
O painel baseado em PHP, por outro lado é de natureza minimalista e exibe uma lista de implantes ativos em qualquer momento. Além disso, ele atua como um canal para executar shellcode e arquivos arbitrários na máquina da vítima.
“A funcionalidade do shellcode não se limita apenas a um shell reverso, mas também possui recursos remotos completos que podem ser injetados no implante em tempo de execução, embora seja menos óbvio do que gerar cmd.exe para um shell reverso”, relataram os pesquisadores da Kroll.
O desenvolvimento ocorre no momento em que a empresa também compartilha uma análise de uma versão atualizada do DarkGate (versão 5.2.3), um trojan de acesso remoto (RAT) que permite que invasores comprometam totalmente os sistemas das vítimas, desviem dados confidenciais e distribuam mais malware.
“A versão do DarkGate analisada embaralha o alfabeto Base64 em uso na inicialização do programa”, informou o pesquisador de segurança Sean Straw . “O DarkGate troca o último caractere por um caractere aleatório antes dele, movendo-se de trás para frente no alfabeto.”
A Kroll disse que identificou uma fraqueza neste alfabeto Base64 personalizado que torna trivial a decodificação da configuração no disco e das saídas de keylogging, que são codificadas usando o alfabeto e armazenadas em uma pasta de exfiltração no sistema.
“Esta análise permite que analistas forenses decodifiquem os arquivos de configuração e keylogger sem a necessidade de primeiro determinar a identificação do hardware”, relatou Straw. “Os arquivos de saída do keylogger contêm pressionamentos de teclas roubados pelo DarkGate, que podem incluir senhas digitadas, e-mails compostos e outras informações confidenciais.”
Este artigo é uma tradução de: https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html (Autor: Redação)
