SystemBC 恶意软件仍在帮助攻击者隐藏命令和控制流量,通过受感染的计算机建立隧道,并在受感染的网络内保持持久访问。
该恶意软件也被追踪为 Coroxy,它将受感染的系统变成代理节点。然后,攻击者可以通过这些机器路由流量、运行命令、传递有效负载并支持勒索软件操作,而无需轻易暴露其主要基础设施。
一个新的峰值分析将 SystemBC 描述为 Windows 恶意软件家族,可用作 SOCKS5 代理、后门、机器人和远程访问工具。报告称,新版本还将一些命令和控制流量转移到 Tor。
SystemBC 是一个商品恶意软件系列,攻击者可以在初次入侵后获得隐蔽的网络访问权限。它很少作为第一感染阶段。相反,攻击者通常会在另一个加载程序或入侵方法授予他们访问权限后部署它。
它的主要工作很简单,但很危险。它通过受感染的主机创建一条隧道,让攻击者中继流量、与其他恶意软件通信并在融入正常网络活动的同时保持连接。
马尔百科将 SystemBC 描述为自 2019 年 8 月以来活跃的多平台代理恶意软件。它使用 SOCKS5 隧道和自定义 RC4 加密协议,可以下载或执行其他恶意软件。
| 系统BC功能 | 它的作用 | 为什么这很重要 |
|---|---|---|
| SOCKS5代理 | 通过受感染的机器路由攻击者流量 | 隐藏真正的命令和控制基础设施 |
| 后门 | 受损后仍保持远程访问 | 让攻击者在第一次入侵后返回 |
| 装载机 | 运行 EXE 文件、DLL、脚本和 shellcode | 支持后续工具和勒索软件部署 |
| 坚持 | 使用计划任务和注册表运行键 | 重新启动和用户登录后仍然存在 |
| Tor 支持 | 在较新的版本中通过 Tor 移动一些流量 | 使网络检测变得更加困难 |
SystemBC 于 2019 年首次公开亮相。证明点将其记录为通过 Fallout 和 RIG 漏洞利用工具包活动分发的先前未知的代理恶意软件。
这些早期活动使用 SystemBC 来掩盖其他恶意软件的网络流量。 Proofpoint 还将该恶意软件与地下市场活动联系起来,这有助于解释为什么它出现在不同的活动中。
自此,SystemBC成为犯罪入侵链中的标准工具。它为攻击者提供了灵活的隧道,并且其占用空间小,可以轻松添加到勒索软件操作、凭证盗窃和利用后活动中。
勒索软件运营商为何使用 SystemBC
勒索软件攻击者在加密之前需要可靠的访问权限。他们还需要一种方法来移动工具、与受感染的系统通信,并避免在最终攻击前的几天或几周内暴露其主要基础设施。
索福斯报道称,SystemBC 已发展成为 Tor 代理和远程控制工具,被高调勒索软件活动背后的运营商所使用。这种转变使得恶意软件对于人为入侵更加有用。
Picus 将 SystemBC 活动与勒索软件家族联系起来,包括 Ryuk、Egregor、Conti、BlackBasta、Play 和 Rhysida。相同SystemBC 恶意软件报告表示该工具可以从攻击者控制的基础设施执行命令、脚本、二进制文件和内存中的有效负载。
- 攻击者可以使用 SystemBC 隐藏 C2 流量。
- 它可以通过受感染的主机中继来自其他恶意软件的流量。
- 它支持从攻击者的服务器执行有效负载。
- 它可以通过使用 Windows 机制重新启动而持续存在。
- 它可以帮助攻击者在部署勒索软件之前准备好环境。
SystemBC 如何隐藏命令和控制流量
SystemBC 使用受害计算机作为流量中继。流量可以通过受感染的主机,而不是每个恶意工具都直接与攻击者基础设施对话,从而使调查和阻止变得更加困难。
该恶意软件的 C2 设计随着时间的推移而发生了变化。旧版本使用原始 TCP 和 SOCKS5 行为,而新版本可以使用类似于 mini-tor 库的客户端通过 Tor 路由流量。
根据SophosLabs 研究,SystemBC 从 SOCKS5 代理发展成为一个更完整的远程访问工具,具有基于 Tor 的通信和有效负载传送功能。
| 通讯方式 | 在 SystemBC 中使用 | 检测挑战 |
|---|---|---|
| 袜子5 | 通过受感染的主机中继恶意流量 | 可以类似于代理或管理流量 |
| RC4加密协议 | 保护恶意软件签入数据和命令 | 限制简单的数据包检查 |
| 托尔 | 在一些较新的版本中隐藏 C2 目的地 | 与加密的匿名网络流量混合 |
| 备用 DNS | 支持某些变体的域解析 | 可以绕过正常的 DNS 可见性 |
SystemBC 可以运行多种有效负载类型
SystemBC 的作用不仅仅是代理流量。它可以充当远程执行引擎,允许攻击者从 C2 服务器推送并运行其他工具。
该恶意软件可以处理 EXE 文件、DLL 模块、shellcode、VBS 文件、BAT 文件、CMD 文件和 PowerShell 脚本。一些有效负载可以直接在内存中运行,这减少了磁盘上留下的证据。
Splunk 安全内容SystemBC 将 SystemBC 描述为一种以代理和后门功能而闻名的隐形恶意软件,通常被网络犯罪分子用来促进勒索软件攻击。
坚持让后门保持活力
执行后,SystemBC 检查它是否已从其持久路径运行。如果没有,它可以将自身复制到 ProgramData 下随机命名的文件夹和文件中。
然后,它通过 Windows 计划任务和注册表运行键创建持久性。这使得恶意软件可以在重新启动或用户登录后重新启动,这有助于攻击者即使在第一个进程退出时也能保持访问权限。
相同SystemBC 恶意软件配置文件表示恶意软件可以将有效负载写入磁盘或将其映射到内存中。这种灵活性使得仅基于文件的检测不太可靠。
| 持久神器 | 观察到的行为 | 后卫动作 |
|---|---|---|
| 程序数据拷贝 | 随机文件夹和可执行文件名称 | 在 ProgramData 中寻找异常的可执行文件创建 |
| 注册表运行键 | 通用值名称包括socks5 | 对可疑的 CurrentVersion Run 条目发出警报 |
| 计划任务 | Windows任务下的随机.job任务 | 查看未知的计划任务和任务操作 |
| 临时有效载荷 | TEMP 路径中的随机文件 | 监视临时文件夹中的脚本和可执行文件启动 |
最近的研究表明 SystemBC 仍然活跃
SystemBC并没有消失。 2026 年 2 月,无声推动表示,其分析师发现了超过 10,000 个与 SystemBC 僵尸网络家族相关的唯一受感染 IP 地址。
该报告称,感染分布在全球范围内,其中美国、德国、法国、新加坡和印度最为集中。它还发现与敏感基础设施和活动相关的感染,这些基础设施和活动似乎与 WordPress 漏洞利用有关。
另外,Black Lotus Labs 在 2025 年报告称,与 SystemBC 连接的僵尸网络拥有 80 多个命令和控制服务器,平均每天约有 1,500 名受害者。这黑莲花实验室研究表示近 80% 的受害者是 VPS 系统受到损害。
SystemBC 也出现在较新的勒索软件案例中
SystemBC 不断出现在人为操作的勒索软件调查中。 2026 年 4 月,检查点研究报道称,The Gentlemen 勒索软件即服务运营机构的一家附属机构在一次事件响应案例中部署了 SystemBC。
报告称,SystemBC 在受害者环境中创建了 SOCKS5 隧道,并使用了自定义 RC4 加密协议。它还表示,该恶意软件可以在磁盘上或直接在内存中下载并执行额外的有效负载。
这些案例说明了为什么防御者不应将 SystemBC 视为简单的代理。它可以表明攻击者已经超越了初始访问范围,现在希望在数据盗窃或勒索软件部署之前进行持久控制。
- SystemBC 通常在初始访问发生后出现。
- 它可以支持勒索软件附属机构的键盘操作活动。
- 它可以隐藏其他恶意软件系列的流量。
- 它可以帮助攻击者在加密之前暂存工具。
- 即使其他恶意软件被删除,它也可以保持访问可用。
防守者应关注的关键指标
安全团队应该关注行为,而不仅仅是静态签名。 SystemBC 跨变体更改文件名和路径,但其操作模式保持更加一致。
查找意外的 SOCKS5 流量、来自通常不使用 Tor 的端点的 Tor 连接、随机计划任务、可疑的 Run 密钥条目以及从 ProgramData 或 TEMP 文件夹启动的可执行文件。
这Splunk SystemBC 故事建议通过与代理、后门活动和勒索软件启用相关的行为来检测恶意软件,而不是仅依赖已知的哈希值。
| 类型 | 指标 | 描述 |
|---|---|---|
| IP地址 | 193.23.244.244 | 嵌入某些 SystemBC 二进制文件中的 Tor 目录权限网关 |
| IP地址 | 86.59.21.38 | 嵌入某些 SystemBC 二进制文件中的 Tor 目录权限网关 |
| IP地址 | 199.58.81.140 | 嵌入某些 SystemBC 二进制文件中的 Tor 目录权限网关 |
| IP地址 | 204.13.164.118 | 嵌入某些 SystemBC 二进制文件中的 Tor 目录权限网关 |
| 注册表项 | HKCU\Software\Microsoft\Windows\CurrentVersion\Run | 持久化位置,通常带有一个名为socks5的值 |
| 文件路径 | %ProgramData%\[随机]\[随机].exe | 常见的自复制持久化路径 |
| 文件路径 | C:\Windows\Tasks\[随机].job | 定时任务持久化神器 |
| DNS域名 | ns1.vic.au.dns.opennic[.]glue | 某些变体使用的备用 DNS 服务器 |
| DNS域名 | ns2.vic.au.dns.opennic[.]glue | 某些变体使用的备用 DNS 服务器 |
组织如何降低 SystemBC 风险
组织应该首先减少加载程序丢弃 SystemBC 的机会。这意味着强化端点、阻止有风险的脚本、限制管理权限以及限制来自工作站和服务器的出站流量。
网络防御者还应该监控开始像代理一样运行的内部系统。突然中继异常出站流量的工作站或域控制器应立即进行调查。
黑莲花实验室表示SystemBC僵尸网络将流量注入犯罪代理服务和网络犯罪生态系统的其他部分。这使得即使在勒索软件出现之前快速遏制也很重要。
- 阻止不必要的出站 SOCKS5 和 Tor 流量。
- 对具有随机名称的新计划任务发出警报。
- 监视可疑 PowerShell 命令的运行关键更改。
- 调查从 ProgramData 和 TEMP 文件夹启动的可执行文件。
- 使用 EDR 规则进行内存中负载执行和脚本滥用。
- 将域控制器和备份服务器与普通工作站分开。
- 查看代理日志以了解充当中继的异常内部主机。
SystemBC 活动在事件响应期间意味着什么
找到 SystemBC 应该会提高事件优先级。这通常意味着攻击者已经拥有访问权限,并且可能正在准备进行凭证盗窃、横向移动、数据泄露或勒索软件部署。
事件响应人员应隔离受影响的主机、尽可能收集内存、保留持久性工件并检查出站连接。他们还应该检查大约在同一时间投放的其他工具,包括凭证转储程序、远程访问工具和勒索软件暂存文件。
这检查点案例研究显示了 SystemBC 在勒索软件附属工作流程中的持续使用。这使得完整的网络范围界定变得至关重要,而不仅仅是从一个端点删除恶意软件。
| 响应步骤 | 原因 |
|---|---|
| 隔离主机 | 阻止代理中继攻击者流量 |
| 收集记忆 | 可以捕获内存中的有效负载或 C2 详细信息 |
| 回顾持久性 | 识别计划任务和运行关键条目 |
| 检查横向运动 | 确定攻击者是否到达服务器或域控制器 |
| 重置暴露的凭据 | 减少攻击者重新进入的机会 |
| 寻找勒索软件阶段 | 查找加密开始前的准备活动 |
底线
SystemBC 仍然很危险,因为它不需要华丽。它为攻击者提供了安静的隧道、远程执行和持久性,而这些正是勒索软件操作者在发生重大事件之前所需的功能。
该恶意软件的悠久历史也使其很容易被低估。 SystemBC 已存在多年,但最近的报告显示它仍然支持活跃的犯罪基础设施、受感染的主机和勒索软件附属活动。
防御者应将 SystemBC 检测视为更广泛入侵的迹象。删除文件还不够。团队需要寻找 C2 流量、被盗凭证、远程访问工具、横向移动以及可能随后发生的任何勒索软件准备工作。
FAQ
什么是 SystemBC 恶意软件?
SystemBC,也称为 Coroxy,是一种代理恶意软件和后门,可将受感染的系统转变为 SOCKS5 隧道。攻击者使用它来隐藏命令和控制流量、运行有效负载以及维护网络内部的访问。
勒索软件组织为何使用 SystemBC?
勒索软件组织使用 SystemBC,因为它提供隐蔽流量隧道、持久性、远程执行和有效负载传送。这些功能可帮助攻击者在准备凭证盗窃、横向移动、数据盗窃或加密时保持连接。
SystemBC如何保持持久性?
SystemBC 可以将自身复制到随机命名的 ProgramData 文件夹中、创建计划任务并添加注册表运行键条目。这些机制允许它在重新启动或用户登录后重新启动。
SystemBC 感染的常见症状有哪些?
常见迹象包括意外的 SOCKS5 或 Tor 流量、随机计划任务、可疑的 CurrentVersion Run 密钥条目、从 ProgramData 或 TEMP 文件夹启动的可执行文件以及充当网络代理的异常内部系统。
发现 SystemBC 后,安全团队应该做什么?
团队应隔离受影响的主机、收集内存、保留持久性工件、检查出站连接、重置暴露的凭据,并寻找横向移动、凭据盗窃、远程访问工具和勒索软件暂存活动。
