圖片來源: 

Proofpoint

資安業者Proofpoint近日揭露一新的代理惡意程式SystemBC,它能在受害者的Windows系統上建立SOCKS5代理伺服器,以隱藏惡意流量並躲避防火牆的偵測,再用來與C&C伺服器連線並傳遞其它的惡意程式。

以C++撰寫的SystemBC,主要功能是在受害者的電腦上設定SOCKS5代理伺服器,讓代理伺服器與命令暨控制伺服器(C&C)連線,再以HTTPS加密流量與C&C交流,藉此隱藏惡意程式的傳遞,躲避防火牆的偵測。

SystemBC通常會搭配其它的惡意程式,在Proofpoint最近發現的案例中,它曾搭配勒索軟體Maze、金融木馬Danabot、間諜程式AZORult或Amadey Loader等,且已被納入RIG及Fallout等攻擊套件中。

其實去年底就有其它資安業者發現SystemBC的蹤跡,且由於它已出現在多個攻擊案例,使得Proofpoint猜測應該在黑市中就能買到SystemBC。

研究人員警告,SystemBC及主流惡意程式的結合替安全防禦帶來新的挑戰,特別是那些仰賴網路邊緣偵測以攔截或減輕安全威脅的企業,建議企業應該要即時修補作業系統的安全更新,汰換老舊的系統與過時的外掛程式。


Advertisement

更多 iThome相關內容