駭客新武器:GhostSocks 徹底滲透你的網絡防線!

文章分析了 GhostSocks,這是一種基於 Golang 的 SOCKS5 反向連接代理惡意軟體,與 LummaC2 資訊竊取者密切相關。 GhostSocks 提供做為惡意軟體即服務 (Malware-as-a-Service,簡稱MaaS) ,允許網路犯罪分子透過繞過安全措施和地理限制將從受感染的系統獲利。該分析詳細介紹了 GhostSocks 的技術實現、命令和控制基礎設施以及額外的後門功能,強調了對金融機構的威脅。 Infrawatch 也提供使用 YARA 簽章偵測 GhostSocks C2 的方法,並提供用於識別惡意基礎架構的情報來源。分析最後強調了它與 Lumma 的整合如何使其成為最大化受害者貨幣化的明顯選擇。

駭客新武器:GhostSocks 徹底滲透你的網絡防線!| 資訊安全新聞

GhostSocks是什麼?

GhostSocks 是一種基於 Golang 的 SOCKS5 反向連接代理惡意軟體,於 2023 年 10 月首次發現並在俄語犯罪論壇上宣傳。它支援 Microsoft Windows 和 Linux。 2024 年 7 月,其分發範圍擴大到英語犯罪論壇,名稱為「GhostSocks」。

Lumma 和 GhostSocks

  • GhostSocks 主要與 LummaC2(Lumma)資訊竊取程式一起部署,並提供做為惡意軟體即服務(MaaS)。這為Threat actoer提供了一個易於存取的工具,以進一步將受感染的系統貨幣化。
  • GhostSocks 可能與 Lumma 的開發商保持著密切、直接的關係。 2024 年 2 月 6 日,透過 Telegram 宣布了一項合作夥伴關係,在 Lumma 管理面板中引入了一項新功能,可以自動將 GhostSocks 供應給 Lumma 感染。 2024 年 7 月 22 日,GhostSocks 背後的營運商在一個著名的英語犯罪論壇上宣傳該惡意軟體,並為已經持有Lumma 許可證的客戶提供大幅折扣,進一步加強了其在 Lumma 生態系統中的整合。
  • GhostSocks 與 Lumma 的整合,透過自動配置和為 Lumma 用戶提供折扣價格等功能,凸顯了其有意增強感染後能力的努力,從而增強了認證濫用能力並提高了繞過反詐欺機制的可能性。
  • 任何用戶都可以獨立註冊 GhostSocks,支付 150 美元的比特幣費用,並自行建立惡意軟體,遵循惡意軟體即服務 (MaaS) 模型。

為什麼要使用 SOCKS5 反向連線?

在現有的 Lumma 感染中添加 SOCKS5 反向連接功能對於威脅行為者來說非常有利可圖。透過利用受害者的網路連接,攻擊者可以繞過地理限制和基於 IP 的完整性檢查,特別是金融機構和其他高價值目標強制執行的限制。此功能顯著增加了使用透過資訊竊取程式日誌收集的認證進行未經授權的存取嘗試的成功機率,從而進一步增強了 Lumma 感染的後利用價值。

技術分析

  • 分析重點關注 2025 年 2 月 15 日觀察到的 GhostSocks 樣本,其 SHA-256 Hash值為:
    c92b21bdb91fe4c0590212e650212528a1f608a2ea086ce555ac6d05edc417
    GhostSocks 樣本經過了高度混淆,可能使用了開源 Go 混淆器 Garble,以及 Gofuscator 的功能(例如Inline XOR-based 的字串反混淆)。
  • 初始化時,GhostSocks 會建構一個由Hardcode資料和動態計算值組成的嵌入式設定結構。Hardcode資料可能會根據每次建置而改變,以區分 MaaS 的不同使用者。 JSON 設定格式的範例如下:
    “buildVersion”:“0pTk.PWh2DyJ”,//對目前建置版本的內部引用
    "md5" : "bb857552657a9c31e68797e9bd30ac2", // 磁碟上惡意軟體的 MD5 雜湊值
    proxyUsername”:“uDoSfUGf”,//SOCKS5反向連線使用者名稱
    "proxyPassword" : "uDoSfUGf", //SOCKS5 反向連線密碼
    “userId”:“gpn4wrgAehjlgkUKkN33e4iDkc1OfRHA”,//可能識別關聯企業
  • 然後將設定編碼為 JSON 物件,進行混淆,並寫入 %APPDATA%\config。然後對 C2 IP 和連接埠進行反混淆並儲存以供稍後在 C2 通訊階段使用,例如:46.8.232[.]106:3000

C2 通信

GhostSocks 使用Relay-based的 C2 實現,使用簡單的 HTTP API,其中中間伺服器位於真實 C2 和受害者之間。大多數 Tier 2 relay透過連接埠 3001 進行通訊。 「身份驗證」是一個長度為 8 的偽隨機字母數字字串,不依賴源自惡意軟體設定中的值。如果 X-Api-Key不存在,C2 將使用 HTTP body回應:禁止:無效的 API 金鑰。來自 C2 的正常Beacon回應包括 SOCKS5 反向連線發生的第 1 層節點 IP 和連接埠對(Port pair)。Initial beacon HTTP URI 的範例為:

/api/helper-first-register?buildVersion=0pTk.PWh2DyJ&md5=bb857552657a9c31e68797e9bd30ac2&proxyPassword=uDoSfUGf&proxyUsername=vuj8wvk5&userId=gpn4wrgAehjlgkUKkN33e4iDkc1OfRHA

然後使用傳回的 IP 和連接埠對建立 TCP 連接,並使用設定中的認證設定 SOCKS5 反向連接隧道。

偵測 GhostSocks C2

  • Infrawatch 可以利用 C2 行為指標(例如一致的 X-Api-Key 錯誤回應)來追蹤 GhostSocks C2 基礎架構。大多數 Tier 2 伺服器使用連接埠 30001,並且發出 X-Api-Key HTTP 標頭的請求會導致錯誤訊息。檢查其他 C2 後發現,Response header是固定的,其雜湊值為:
    86362ac6d972b1b55f1f434811d014316196f0e193878d8270dae939efb25908
  • Infrawatch 使用 YARA 特徵檢測功能,在網際網路中的連接埠掃描中追蹤 C2。:
    import "infrawatch"

    rule GhostSocks
    {
    condition:
    infrawatch.http.port == 30001 and
    infrawatch.http.body == "Forbidden: Invalid API Key" and
    infrawatch.http.status_code == 403 and
    infrawatch.http.headers_hash == "86362ac6d972b1b55f1f434811d014316196f0e193878d8270dae939efb25908"
    }

結論

GhostSocks 是一種 SOCKS5 反向連接惡意軟體,以惡意軟體即服務 (MaaS) 的形式提供,並且與 LummaC2 竊取程式密切相關。它允許網路犯罪分子繞過安全措施並存取高價值目標,從而將受損系統貨幣化。該惡意軟體經過混淆並使用?Relay-based的命令和控制 (C2) 結構。 它與 LummaStealer 的整合以及其作為服務的可用性使 GhostSocks 成為Threat actor的有吸引力的選擇。