黑客如何伪装网络流量中的恶意活动并瞄准受害者。

Kroll 的安全研究人员对著名的SystemBC恶意软件的C2服务器进行了详细分析。根据 上周发布的一份报告 ，从 2023 年第二季度到第三季度，攻击者对 SystemBC 的使用变得更加活跃。

这种恶意软件于 2018 年首次发现，允许黑暗黑客远程控制受感染的主机并传播其他恶意软件，包括特洛伊木马、Cobalt Strike和勒索软件。

SystemBC的一个特殊功能是使用SOCKS5代理来屏蔽网络流量，这确保了在黑客攻击后对系统的持续隐藏访问。该恶意软件使用付费模式在网络犯罪论坛上分发。

SystemBC 客户端提供了一个安装包，其中包括植入可执行文件、适用于Windows和Linux的 C2 服务器二进制文件以及用于显示 C2 面板界面的 PHP 文件。该套件还包括多种语言的说明，其中详细描述了启动步骤和命令。

使用 SystemBC 的攻击模式

Windows 的 C2 服务器可执行文件“server.exe”和 Linux 的“server.out”旨在打开至少三个TCP端口，以简化 C2 流量。服务器组件还使用其他三个文件来记录有关植入程序的代理和下载器交互的信息，以及受害者特定的详细信息。

C2 面板是用 PHP 编写的，非常简约，并显示活动植入程序的列表。它还用于在受感染的计算机上执行 shellcode 和任意文件。Kroll 研究人员指出，shellcode 功能具有完整的远程功能，不仅限于反向连接。

此外，Kroll 还分析了 DarkGate（5.2.3）的更新版本，这是一种远程访问木马，允许攻击者完全控制受害者的系统、窃取敏感数据并传播更多恶意软件。安全研究人员 Sean Straw 指出了该恶意软件的自定义 Base64 字母表中的一个弱点，该弱点使得解码键盘记录器的配置和输出变得更加容易。

两项调查的结果都强调了持续监控和更新网络安全系统以防范复杂和不断变化的威胁的重要性。