近日,网络安全研究机构Infrawatch发布了一份报告,揭露了一种名为GhostSocks的新型恶意软件。该恶意软件基于Golang开发,是一种SOCKS5回连代理恶意软件,自2023年底开始在网络犯罪社区中传播,并于2024年7月扩展至英语国家市场。GhostSocks以“恶意软件即服务”(Malware-as-a-Service,简称MaaS)模式销售,使得网络犯罪分子能够轻松获取并使用。犯罪分子可以独立订阅GhostSocks,费用为150美元的比特币,或者将其与臭名昭著的信息窃取器LummaC2深度集成使用。报告指出,“通过自动配置和对Lumma用户的折扣价格等功能促进的GhostSocks与Lumma的集成,突显了增强感染后能力的刻意努力。”这种合作关系允许网络罪犯通过LummaC2窃取凭据,并通过GhostSocks建立持久的网络访问,从而最大化他们的利益。
执行时,GhostSocks采用包括Garble和Gofuscator在内的重度混淆技术,将其配置存储在一个写入%APPDATA%config的JSON对象中,并通过中介中继结构与命令和控制(C2)服务器通信以保持隐蔽性。
-
使用高强度混淆技术:包括Garble和Gofuscator等工具,以隐藏其恶意行为。 -
配置存储方式:将配置信息存储在%APPDATA%config路径下的JSON对象中。 -
与C2服务器通信:通过中间中继结构与命令与控制(C2)服务器通信,以实现隐蔽性。
GhostSocks使网络犯罪分子能够将受感染的系统用作代理服务器,从而实现以下目的:
-
绕过基于IP的欺诈检测系统:通过代理访问,使攻击行为难以被检测。 -
规避基于地理位置的访问限制:例如绕过金融机构对特定地区的访问限制。 -
隐藏攻击者来源:使得取证追踪变得极为困难。
除了SOCKS5代理功能外,GhostSocks还具备以下功能:
-
远程命令执行:能够在受感染系统上运行任意shell命令。 -
凭证动态修改:动态修改SOCKS5认证凭证。 -
文件下载与执行:从远程位置检索并执行额外的有效载荷。
Infrawatch确认了多个用于GhostSocks操作的C2服务器和一级中继,其中大部分托管于VDSina——一家俄语虚拟专用服务器(VDS)提供商。这些服务器支持住宅代理滥用,进一步增强了恶意软件在绕过反欺诈保护方面的有效性。
总之,从整个技术分析显示,GhostSocks恶意软件通过一系列复杂的机制来实现其攻击目标。首先,它利用受感染的系统资源建立SOCKS5代理,为网络犯罪分子提供匿名和隐蔽的网络访问。其次,GhostSocks通过与其他恶意软件的集成,如LummaC2,实现了凭证窃取和网络持久访问的功能。最后,通过利用VDSina等VDS提供商的服务器资源,GhostSocks能够绕过常规的安全检测和防护措施,使得攻击更加难以被发现和阻止。
原文始发于微信公众号(白泽安全实验室):一种利用SOCKS5回连技术进行逃避的新网络威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论