Análise do Servidor C2 do Malware SystemBC Revela Truques de Entrega de Payload
26 de Janeiro de 2024

Pesquisadores de cibersegurança lançaram luz sobre o funcionamento do servidor de comando e controle (C2) de uma conhecida família de malware chamada SystemBC.

"O SystemBC pode ser comprado em mercados clandestinos e é fornecido em um arquivo contendo o implante, um servidor de comando e controle (C2) e um portal de administração web escrito em PHP", disse a Kroll em uma análise publicada na semana passada.

O provedor de soluções de consultoria financeira e de risco disse que testemunhou um aumento no uso de malware ao longo do segundo e terceiro trimestre de 2023.

O SystemBC, observado pela primeira vez na wild em 2018, permite que atores de ameaças controlem remotamente um host comprometido e forneçam payloads, incluindo trojans, Cobalt Strike e ransomware.

Ele também apresenta suporte para lançar módulos auxiliares em tempo real para expandir sua funcionalidade central.

Um aspecto notável do malware gira em torno de seu uso de proxies SOCKS5 para mascarar o tráfego de rede para e da infraestrutura C2, atuando como um mecanismo de acesso persistente para pós-exploração.

Os clientes que acabam comprando o SystemBC recebem um pacote de instalação que inclui o executável do implante, binários do Windows e Linux para o servidor C2 e um arquivo PHP para renderizar a interface do painel C2, junto com instruções em inglês e russo que detalham os passos e comandos a serem executados.

Os executáveis do servidor C2 -- "server.exe" para Windows e "server.out" para Linux -- são projetados para abrir não menos que três portas TCP para facilitar o tráfego C2, comunicação interprocessos (IPC) entre si e a interface do painel baseada em PHP (geralmente na porta 4000), e um para cada implante ativo (também conhecido como bot).

O componente do servidor também faz uso de três outros arquivos para registrar informações sobre a interação do implante como proxy e carregador, bem como detalhes referentes às vítimas.

O painel baseado em PHP, por outro lado, é minimalista por natureza e exibe uma lista de implantes ativos a qualquer momento.

Além disso, ele atua como um conduto para executar shellcode e arquivos arbitrários em uma máquina vítima.

"A funcionalidade do shellcode não se limita a um shell reverso, mas também tem capacidades remotas completas que podem ser injetadas no implante em tempo de execução, sendo menos óbvias do que gerar cmd.exe para um shell reverso", disseram os pesquisadores da Kroll.

O desenvolvimento ocorre como a empresa também compartilhou uma análise de uma versão atualizada do DarkGate (versão 5.2.3), um trojan de acesso remoto (RAT) que permite aos invasores comprometer completamente os sistemas das vítimas, escavar dados sensíveis e distribuir mais malware.

"A versão do DarkGate que foi analisada embaralha o alfabeto Base64 em uso na inicialização do programa", disse o pesquisador de segurança Sean Straw.

"O DarkGate troca o último caractere por um caractere aleatório anterior, movendo-se de trás para frente no alfabeto."

A Kroll disse que identificou uma fraqueza neste alfabeto personalizado Base64 que torna trivial decodificar a configuração em disco e as saídas de keylogging, que são codificadas usando o alfabeto e armazenadas dentro de uma pasta de exfiltração no sistema.

"Esta análise permite que os analistas forenses decodifiquem os arquivos de configuração e keylogger sem precisar primeiro determinar o ID do hardware", disse Straw.

"Os arquivos de saída do keylogger contêm as teclas digitadas por DarkGate, que podem incluir senhas digitadas, emails compostos e outras informações sensíveis."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...