SystemBC 远控木马现瞄准Linux，传播勒索软件和信息窃取程序

分析师比较了SystemBC在Windows和Linux上的流量

SystemBC RAT：从Windows扩展到Linux

SystemBC是一种远程访问木马（RAT），通常用于网络攻击，为攻击者提供对被感染系统的远程控制。

最初它仅针对Windows系统，现在已扩展到Linux，这使其变得更加危险，因为Linux服务器在企业环境中被广泛使用。

Linux版SystemBC RAT的危险性

让我们看看这种恶意软件是如何运行的，以及为什么它对基于Linux的系统构成严重威胁。

与C2服务器的加密通信

Linux版的SystemBC RAT与其Windows版本一样，使用自定义协议与C2服务器保持加密通信。

这使得攻击者能够在统一的Windows和Linux植入基础设施中保持稳定连接，从而更容易地控制被感染的机器而不引起怀疑。

虽然SystemBC RAT旨在保持其C2通信的加密和隐藏，但在ANY.RUN的分析会话中，它会完全暴露。通过在沙箱中运行真实样本，安全团队可以实时查看恶意软件的网络连接、文件修改和进程活动。

查看ANY.RUN分析会话

在ANY.RUN沙箱中分析的SystemBC RAT

在Linux虚拟机窗口下方，所有与此特定攻击相关的网络连接和系统修改都清晰显示。

SystemBC RAT触发的Suricata规则

在“威胁”部分，我们可以看到一条由Suricata规则触发的警报：“检测到恶意软件命令与控制活动 - BOTNET SystemBC.Proxy连接。”这种即时检测使分析师能够跟踪感染过程并了解恶意软件的运行方式。

为您的团队配备实时威胁分析工具，以更快地检测和应对恶意软件。立即开始ANY.RUN的14天免费试用！

用于横向移动的代理植入

该恶意软件作为代理植入运行，意味着它可以在被入侵的网络内促进横向移动，而无需部署额外的、易于检测的工具。这使得它成为攻击者寻求在企业基础设施中持久存在和深入渗透的强大武器。

逃避传统检测

最令人担忧的一个方面是，安全厂商很难检测出该版本属于SystemBC家族。这种隐蔽的方法使RAT能够在较长时间内保持不被发现，使其成为一种持续威胁。

沙箱和虚拟化逃避

除了基于签名的逃避外，SystemBC还会检测虚拟化环境以抵抗动态分析。在上述ANY.RUN分析会话中，MITRE ATT&CK框架标志显示“虚拟化/沙箱逃避 - 系统检查”，表明该恶意软件正在积极执行系统检查以确定是否在安全沙箱或虚拟机中运行。

通过识别这些环境，SystemBC可以改变其行为或终止执行，帮助攻击者绕过自动恶意软件分析工具，同时在真实被感染的系统上保持完全运行。

ANY.RUN沙箱检测到的防御规避技术和战术

与其他恶意软件株的集成

SystemBC很少单独部署，它通常与其他恶意软件协同工作以扩大攻击的影响。在Windows攻击中，它已被观察到传播Ryuk和Conti等勒索软件，以及银行木马和信息窃取程序。

随着其新的Linux变种的出现，类似的威胁可能会随之而来，使企业服务器和云环境面临更大的数据窃取、勒索软件加密和持久后门访问风险。

在威胁爆发前揭露隐藏风险

网络威胁正变得更加智能，企业不能再滞后于攻击者。随着SystemBC RAT现在瞄准Linux，攻击者有了一种隐藏C2流量及在网的方法

原文来自: freebuf.com