{"id":1117917,"date":"2024-01-25T15:43:27","date_gmt":"2024-01-25T17:43:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lanalyse-du-serveur-c2-de-systembc-malware-expose-des-astuces-de-livraison-de-charge-utile\/"},"modified":"2024-01-25T15:43:32","modified_gmt":"2024-01-25T17:43:32","slug":"lanalyse-du-serveur-c2-de-systembc-malware-expose-des-astuces-de-livraison-de-charge-utile","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lanalyse-du-serveur-c2-de-systembc-malware-expose-des-astuces-de-livraison-de-charge-utile\/","title":{"rendered":"L’analyse du serveur C2 de SystemBC Malware expose des astuces de livraison de charge utile"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Cheval de Troie d’acc\u00e8s \u00e0 distance<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re le serveur de commande et de contr\u00f4le (C2) d’une famille de logiciels malveillants connue appel\u00e9e Syst\u00e8meBC<\/strong>.<\/p>\n

“SystemBC peut \u00eatre achet\u00e9 sur des march\u00e9s clandestins et est fourni dans une archive contenant l’implant, un serveur de commande et de contr\u00f4le (C2) et un portail d’administration Web \u00e9crit en PHP”, Kroll dit<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n

Le fournisseur de solutions de conseil en mati\u00e8re de risque et de conseil financier a d\u00e9clar\u00e9 avoir constat\u00e9 une augmentation de l\u2019utilisation de logiciels malveillants au cours des deuxi\u00e8me et troisi\u00e8me trimestres 2023.<\/p>\n

SystemBC, observ\u00e9 pour la premi\u00e8re fois dans la nature en 2018, permet aux acteurs malveillants de contr\u00f4ler \u00e0 distance un h\u00f4te compromis et de fournir des charges utiles suppl\u00e9mentaires, notamment des chevaux de Troie, Cobalt Strike et des ransomwares. Il prend \u00e9galement en charge le lancement de modules auxiliaires \u00e0 la vol\u00e9e pour \u00e9tendre ses fonctionnalit\u00e9s de base.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un aspect remarquable du malware concerne son utilisation de proxys SOCKS5 pour masquer le trafic r\u00e9seau vers et depuis l’infrastructure C2, agissant comme un m\u00e9canisme d’acc\u00e8s persistant pour la post-exploitation.<\/p>\n

Les clients qui finissent par acheter SystemBC re\u00e7oivent un package d’installation comprenant l’ex\u00e9cutable de l’implant, les binaires Windows et Linux pour le serveur C2 et un fichier PHP pour le rendu de l’interface du panneau C2, ainsi que des instructions en anglais et en russe d\u00e9taillant les \u00e9tapes et les commandes. courir.<\/p>\n

\"\"<\/a><\/div>\n

Les ex\u00e9cutables du serveur C2 – “server.exe” pour Windows et “server.out” pour Linux – sont con\u00e7us pour ouvrir pas moins de trois ports TCP pour faciliter le trafic C2 et la communication inter-processus (IPC) entre lui-m\u00eame et le Interface de panneau bas\u00e9e sur PHP (g\u00e9n\u00e9ralement le port 4000) et une pour chaque implant actif (alias bot).<\/p>\n

Le composant serveur utilise \u00e9galement trois autres fichiers pour enregistrer des informations concernant l’interaction de l’implant en tant que proxy et chargeur, ainsi que des d\u00e9tails relatifs aux victimes.<\/p>\n

Le panneau bas\u00e9 sur PHP, en revanche, est de nature minimaliste et affiche une liste des implants actifs \u00e0 tout moment. De plus, il agit comme un canal pour ex\u00e9cuter du shellcode et des fichiers arbitraires sur une machine victime.<\/p>\n