s0533-systembc - RunkIntel

# SystemBC - Proxy SOCKS5 como Backdoor Persistente de Ransomware > **ATIVO | Backdoor/Proxy C/C++ | Windows + Linux | Global** - SystemBC e um malware multi-plataforma que converte sistemas comprometidos em proxies SOCKS5, permitindo que atores de ameaça roteiem trafego malicioso através de maquinas das vitimas. E amplamente utilizado como ferramenta de acesso persistente em campanhas de ransomware, especialmente por afiliados de [[rhysida-ransomware|Rhysida]], Black Basta e outros grupos de grande porte. ## Visão Geral **SystemBC** (também conhecido como Coroxy ou DroxiDat) foi documentado pela primeira vez pela Proofpoint em 2019, embora amostras indiquem atividade desde 2018. E desenvolvido por um ator russo identificado pelo alias "psevdo" em fóruns clandestinos de lingua russa (forum.exploit.in). Em fevereiro de 2026, a Silent Push identificou mais de **10.000 enderecos IP** únicos infectados em um único cluster, com media de 3.000 IPs ativos por dia. O differencial operacional do SystemBC e seu design **backconnect rotativo**: hosts infectados se conectam a servidores C2 expostos que retransmitem trafego para os proxies internos. Isso permite que atores de ameaça utilizem IPs legitimos de vitimas comprometidas para atacar outros alvos, mascarando sua infraestrutura real. | Campo | Detalhe | |-------|---------| | **Tipo** | Backdoor + Proxy SOCKS5 | | **Linguagem** | C/C++ (Windows); Perl (variante Linux - inedita, 0 deteccoes no VT) | | **Primeira observacao** | 2018-2019 | | **Status** | Ativo - resurgiu com novo cluster pos-Operation Endgame | | **Variante notavel** | DroxiDat (2023) - Africa do Sul, infraestrutura critica | | **Criptografia C2** | RC4 sobre protocolo binario customizado | ## Como Funciona ### Tres Componentes Funcionais 1. **Proxy SOCKS5**: Converte o host infectado em relay de trafego. O operador acessa o painel C2 e utiliza o host como ponto de entrada na rede interna da vitima, quase como se sua estacao estivesse diretamente conectada. 2. **Loader remoto**: Executa EXE, DLL, shellcode, scripts VBS/BAT/CMD e scripts PowerShell recebidos via conexão C2 sem escrever arquivos em disco (execução direta na memoria para EXE/shellcode). 3. **Carregamento de módulos**: Expande capacidades dos implantes SystemBC on-the-fly via módulos adicionais recebidos do C2. ### Persistência Quando executado sem argumento `"start"`, o SystemBC se copia para diretorio de nome aleatorio em `%ProgramData%` e se agenda como tarefa do sistema com o argumento `"start"`. Versoes com detecção de `a2guard.exe` (Emsisoft) pulam a criação do servico. ```mermaid graph TB A["🎯 Acesso inicial Credenciais comprometidas Citrix NetScaler / RDP"] --> B["💉 Dropper via Cobalt Strike / Emotet Gootloader / Emotet"] B --> C["🔧 SystemBC instalado Scheduled Task T1053.005 Registry Run T1547.001"] C --> D["📡 Backconnect C2 RC4 + protocolo binario T1095 / T1573.001"] D --> E["🔀 Proxy SOCKS5 ativo T1090.003 Trafego de retransmissao"] E --> F["🔍 Reconhecimento rede Advanced Port Scanner Credenciais via MegaSync"] F --> G["💀 Ransomware deployment Rhysida / BlackBasta Ryuk / Egregor / Cuba"] classDef initial fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef proxy fill:#27ae60,color:#fff classDef impact fill:#2c3e50,color:#fff class A initial class B install class C persist class D c2 class E proxy class F proxy class G impact ``` ## Timeline ```mermaid timeline title SystemBC - Linha do Tempo 2018-2019 : Primeiras amostras detectadas 2019 : Documentado pela Proofpoint 2020-12 : Sophos relata uso em ataques Ryuk e Egregor 2023-03 : DroxiDat variante ataca infraestrutura critica Africa do Sul 2023-Q2-Q3 : Kroll reporta aumento de uso - favorito do Rhysida 2024-05 : Operation Endgame dismantla infraestrutura Europol 2025 : Silent Push inicia rastreamento - 10k IPs identificados 2026-02 : Variante Linux em Perl descoberta - zero deteccoes AV ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso Específico | |--------|---------|----------------| | C2 | [[t1090-003-multi-hop-proxy\|T1090.003]] | Proxy SOCKS5 - core do SystemBC | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Protocolo binario customizado sobre TCP | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | RC4 para cifragem de trafego C2 | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP alternativa | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell via C2 | | Execução | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS via C2 | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task com argumento "start" | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chaves de registro de auto-inicio | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Relevância LATAM e Brasil O SystemBC apresenta risco direto para organizacoes brasileiras em tres dimensoes: 1. **Ransomware precursor**: E co-deployado com [[s0154-cobalt-strike|Cobalt Strike]] em ataques de ransomware de grande porte. [[rhysida-ransomware|Rhysida]] - que tem vitimas documentadas na América Latina - utiliza SystemBC como ferramenta favorita de persistência pos-acesso. 2. **Infraestrutura critica**: O DroxiDat atacou uma empresa de energia na Africa do Sul em 2023, demonstrando interesse em setores analogos aos que constituem infraestrutura critica no Brasil (energia, agua, telecomúnicacoes). 3. **Dados de 2026**: Entre os 10.000+ IPs infectados identificados pela Silent Push, a distribuição global inclui Brasil. Sistemas com WordPress sem patch sao vetores documentados de infecção, e o Brasil possui um dos maiores ecossistemas WordPress da América Latina. A variante Linux em Perl - com zero deteccoes em 62 engines AV - representa risco específico para servidores web brasileiros hospedados em provedores como Locaweb, Hostgator Brasil e UOL Host. ## Detecção - Monitorar conexoes TCP saintes na porta 4044 (protocolo legado SystemBC) para dominios recentemente registrados - Detectar copias de executaveis para subdiretorios de nome aleatorio em `%ProgramData%` - Alertar sobre criação de Scheduled Tasks que executam binarios a partir de `%ProgramData%\[aleatorio]\` - Implementar fingerprint de detecção do protocolo binario SystemBC em sensores de rede (padrao RC4 sobre TCP customizado) - Monitorar trafego SOCKS5 originado de estacoes de trabalho e servidores que nao deveriam atuar como proxies - Verificar processos criados via `CreateProcess` + injecao de memoria (execução de EXE direto na memoria sem escrita em disco) ## Relacoes - [[s0154-cobalt-strike|Cobalt Strike]] - frequentemente co-deployado no mesmo incidente - [[rhysida-ransomware|Rhysida]] - usuario documentado do SystemBC como backdoor favorito - [[s1138-gootloader|Gootloader]], [[s0367-emotet|Emotet]] - vetores de entrega do SystemBC - [[s1039-bumblebee|Bumblebee]] - outro loader do mesmo ecossistema de ransomware - [[g0114-fin12|FIN12]] - grupo APT com historico de uso de SystemBC + Cobalt Strike - [[operation-endgame-2024]] - acao da Europol que disrupted a infraestrutura em mai/2024 - [[critical-infrastructure|infraestrutura critica]], [[healthcare|saúde]] - setores primariamente atingidos ## Referências - [1] [Sophos - Ransomware operators use SystemBC RAT (2020)](https://www.sophos.com/en-us/blog/systembc) - [2] [Kroll - Inside The SYSTEMBC Malware Server (2024)](https://www.kroll.com/en/publications/cyber/inside-the-systembc-malware-server) - [3] [Silent Push - 10,000+ Infected IPs in SystemBC Botnet (2026)](https://www.silentpush.com/blog/systembc/) - [4] [The Hacker News - DroxiDat variant targets Southern African Power Company (2023)](https://thehackernews.com/2023/08/new-systembc-malware-variant-targets.html) - [5] [MITRE ATT&CK - S0533](https://attack.mitre.org/software/S0533/)