Manuel Statik Analiz (LLM Okumali) — SystemBC Proxy Backdoor | Tehdit: YUKSEK

ファイル Kimligi

SHA2563af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
サイズ1.667.072 byte (1.6MB)
String Sayisi7.169

Sifrelenmis C2 Konfigurasyonu

!C2Dv%  -- C2 config sekman baslik imzasi (sifrelenmis)
F8C2YKa -- C2 referansi (sifrelenmis)
]HC2&   -- C2 referansi (sifrelenmis)

SystemBC Hakkinda

SystemBC, 2019'da ortaya cikan bir C++ SOCKS5 proxy backdoor'dur. Cobalt Strike beacon ve diger payloadlardan gelen ag trafiklerini mesgru gordurmek icin tasarlanmistir. Ryuk, Conti, BlackMatter, Cl0p ve Egregor ransomware operasyonlarinda "network relay" katmani olarak kullanilmistir. C2 adresi RC4 ile sifrelenmis binary config icindedir.

IOC

SHA2563af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
ProtokolSOCKS5 Proxy
C2RC4 sifrelenmis config

SystemBC — マルウェアプロファイル

SystemBC proxy botnet. Embedded TLS private key BEGIN/END PRIVATE KEY PEM. Tor SOCKS5 proxy tunnel. Used by Ryuk/Conti/DoppelPaymer ransomware for C2 tunneling.

マルウェアの種類
Loader
プログラミング言語
C++
C2プロトコル
HTTPS
標的システム
Windows
別名 (AKA)
Coroxy

技術詳細

Backdoor ailesi: TCP/HTTP C2, gizli uzak erisim, kalicilik mekanizmasi (servis/Registry), shell komutu calistirma, dosya transfer, anti-forensic teknikleri

機能と挙動

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOCリスト (1 件の指標)

IOC — SystemBC
# SHA256 3af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
タイプメモ
sha256 3af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
134.255.218.162 ip 4001 TCP inactive LV

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
systembcsocks5proxybackdoorcobalt-strikeransomware-altyapi