A SystemBC egy C nyelven írt proxy malware, fertőzött számítógépeket SOCKS5 proxivá alakítja. Bár újabban a SmokeLoader vagy az Emotet segítségével terjesztik, ezt a kártevőt a múltban folyamatosan használták különböző zsarolóvírus támadásokban. A bot TCP-n keresztül, RC4 titkosítást használó, egyedi bináris protokollt használva kommunikál a C2-vel. Amikor egy támadó rosszindulatú szándékkal megpróbál hozzáférni egy bizonyos címhez, a rendszer átjáróként használható, ha a fertőzött rendszer a SystemBC-t használja Proxy Botként. Mivel ez a rendszer letöltőként is működhet további külső rosszindulatú programok telepítéséhez, a támadók további payload-ok telepítésére is használhatják.
A SystemBC-nek számos változata van. A pontos sorrend nincs megerősítve, de a változatok további jellemzőik alapján kategorizálhatók. Az 1-es típus egy korai változat, és csak önmagát képes frissíteni, a 2-es típus képes olyan szkriptek futtatására, mint a Batch, a VBS és a PowerShell, miután letöltötte azokat. A 3. típus, a második továbbfejlesztett változata, rendelkezik néhány új funkcióval, többek között a Tor hálózat használatára, valamint DLL és Shellcode letöltésére és azok a memóriában futtatására.
Mivel a legtöbb bot nem érhető el az internetről, ez a kártevő backconnect architektúrát használ, amely lehetővé teszi, hogy az ügyfelek a backconnect (C2) szerveren keresztül használják a proxykat (fertőzött számítógépeket) anélkül, hogy valaha is közvetlenül kapcsolatba kellene lépniük velük.
A gyakorlatban az történik, hogy a backconnect (C2) szerverhez csatlakozó minden egyes fertőzött számítógép esetében a szerver megnyit egy új TCP portot, amely fogadja az ügyfelek SOCKS5 forgalmát. Ez a forgalom a SystemBC kommunikációs protokolljába csomagolva továbbításra kerül a fertőzött számítógépekre, amelyek kicsomagolják a forgalmat, elküldik azt a célállomásra, majd a választ visszaküldik a backconnect kiszolgálónak, amely végül továbbítja a választ a kommunikációt kezdeményező ügyfélnek.
Források:
