Manuel Statik Analiz (LLM Okumali) — SystemBC Proxy Backdoor | Tehdit: YUKSEK

Dosya Kimligi

SHA2563af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
Boyut1.667.072 byte (1.6MB)
String Sayisi7.169

Sifrelenmis C2 Konfigurasyonu

!C2Dv%  -- C2 config sekman baslik imzasi (sifrelenmis)
F8C2YKa -- C2 referansi (sifrelenmis)
]HC2&   -- C2 referansi (sifrelenmis)

SystemBC Hakkinda

SystemBC, 2019'da ortaya cikan bir C++ SOCKS5 proxy backdoor'dur. Cobalt Strike beacon ve diger payloadlardan gelen ag trafiklerini mesgru gordurmek icin tasarlanmistir. Ryuk, Conti, BlackMatter, Cl0p ve Egregor ransomware operasyonlarinda "network relay" katmani olarak kullanilmistir. C2 adresi RC4 ile sifrelenmis binary config icindedir.

IOC

SHA2563af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
ProtokolSOCKS5 Proxy
C2RC4 sifrelenmis config

SystemBC — Malware Profili

SystemBC proxy botnet. Embedded TLS private key BEGIN/END PRIVATE KEY PEM. Tor SOCKS5 proxy tunnel. Used by Ryuk/Conti/DoppelPaymer ransomware for C2 tunneling.

Malware Tipi
Loader
Programlama Dili
C++
C2 Protokolü
HTTPS
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Coroxy

Teknik Detaylar

Backdoor ailesi: TCP/HTTP C2, gizli uzak erisim, kalicilik mekanizmasi (servis/Registry), shell komutu calistirma, dosya transfer, anti-forensic teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — SystemBC
# SHA256 3af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41
TürDeğerNot
sha256 3af64c28e0cedf48abc217049af66c23149fd27a1e5a57ae39afb4b98d4d3d41

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
134.255.218.162 ip 4001 TCP inactive LV

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
systembcsocks5proxybackdoorcobalt-strikeransomware-altyapi