SystemBC یک تروجان دسترسی از راه دور post-compromise و ابزار پروکسی می باشد که چندین عامل تهدید از آن برای هدف قرار دادن بخش ها و سازمان مختلف مورد استفاده قرار داده اند. مهاجمان از SystemBC برای ارائه بدافزار اضافی و حفظ persistence در یک محیط compromised استفاده می نمایند. عوامل تهدید متعددی هم چون DEV-0832 ،DEV-0237 و DEV-0882 از SystemBC در حملات خود استفاده می نمایند.
از سال 2021، تحلیلگران به این موضوع پی بردند که اپراتورهای باج افزار به صورت فزاینده ای ابزارهای جدید post-exploitation را مورد استفاده قرار می دهند. SystemBC یکی از این ابزارهای post-exploitation می باشد که مهاجم از آن برای persistence، move laterally و استقرار بدافزار اضافی در محیط compromised استفاده می نماید.
محققان در کمپین های اولیه مشاهده کردند که مهاجمان payload های SystemBC را از طریق کیت های exploit رایج مانند Rig و Fallout، بین اهداف توزیع می کنند. اخیراً، SystemBC توسط بدافزارهای دیگری که از طریق کمپینهای فیشینگ شامل SmokeLoader، Emotet، IcedID، Qakbot و Cobalt Strike به اهداف ارسال شده است، دانلود شده است که بیشترین بخش از فعالیتها ناشی از آلودگی SmokeLoader است.
رفتار و عملکرد SystemBC بر اساس نسخه ابزار مورد استفاده در حمله متفاوت است. به عنوان مثال در سال 2019 در یکی از حملات انجام شده، SystemBC به عنوان یک پروکسی SOCKS5 عمل می کرد و تنها می تواست خود را به روز نماید، اما نسخه های بعدی آن دارای قابلیت های جدیدی بود به ویژه برای دانلود و راه اندازی اسریپت های batch ،VBS و Powershell
ارتباط C2 ابزار نیز بسته به نسخه استفاده شده متفاوت می باشد.به عنوان مثال در همان نسخه سال 2019 پراکسی های SOCKS5 را روی دستگاه های هدف ایجاد کرد که برای تانل کردن ترافیک مخرب مرتبط با سایر بدافزارها استفاده می شد. در نسخه ای که در سال 2020 مشاهده شد، از شبکه TOR برای رمزگذاری و پنهان کردن مقصد ترافیک C2 استفاده کرد.
علیرغم به روزرسانی های Initial access ، execution و فعایت های C2 ابزار، ویژگی مشترک در انواع SystemBC مکانیسم persistence آن ها می باشد.
راه هایی برای کاهش این خطر پذیری
- مسدودسازی اجرای executable files به جز مواردی که قبلا مجاز تشخیص داده شده اند.
- مسدود سازی اجرای اسکریپت های مبهم
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
روش های تشخیص این حمله
در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:
مشاهده فعالیت مرتبط با باج افزار SystemBC
این تهدید از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.
شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.
| Execution | Persistence | Lateral Movement | Command and Control | Exfiltration |
| Command and Scripting Interpreter | Account Manipulation | Exploitation of Remote Services | Application Layer Protocol | Automated Exfiltration |
| Container Administration Command | BITS Jobs | Internal Spearphishing | Communication Through Removable Media | Data Transfer Size Limits |
| Deploy Container | Boot or Logon Autostart Execution | Lateral Tool Transfer | Data Encoding | Exfiltration Over Alternative Protocol |
| Exploitation for Client Execution | Boot or Logon Initialization Scripts | Remote Service Session Hijacking | Data Obfuscation | Exfiltration Over C2 Channel |
| Inter-Process Communication | Browser Extensions | Remote Services | Dynamic Resolution | Exfiltration Over Other Network Medium |
| Native API | Compromise Client Software Binary | Replication Through Removable Media | Encrypted Channel | Exfiltration Over Physical Medium |
| Scheduled Task/Job | Create Account | Software Deployment Tools | Fallback Channels | Exfiltration Over Web Service |
| Serverless Execution | Create or Modify System Process | Taint Shared Content | Ingress Tool Transfer | Scheduled Transfer |
| Shared Modules | Event Triggered Execution | Use Alternate Authentication Material | Multi-Stage Channels | Transfer Data to Cloud Account |
| Software Deployment Tools | External Remote Services | Non-Application Layer Protocol | ||
| System Services | Hijack Execution Flow | Non-Standard Port | ||
| User Execution | Implant Internal Image | Protocol Tunneling | ||
| Windows Management Instrumentation | Modify Authentication Process | Proxy | ||
| Office Application Startup | Remote Access Software | |||
| Pre-OS Boot | Traffic Signaling | |||
| Scheduled Task/Job | Web Service | |||
| Server Software Component | ||||
| Traffic Signaling | ||||
| Valid Accounts |
