switch代理服务器免费

研究人员本月发现了一个已有两年历史的基于 Linux 的远程访问特洛伊木马程序，该程序被称为 "远程访问木马"。AVreconAVrecon 是一个恶意软件引擎，它将互联网路由器控制成僵尸网络，欺骗在线广告商并执行密码喷射攻击。 现在，新的发现揭示了 AVrecon 是一个已有 12 年历史的名为 "AVrecon "的服务背后的恶意软件引擎。袜子逃生该公司将黑客入侵的住宅和小型企业设备出租给网络犯罪分子，以掩盖他们在网上的真实位置。

在 7 月 12 日发布的一份报告中，Lumen 公司的研究人员指出黑莲实验室称 AVrecon 僵尸网络是 "近代史上针对小型办公室/家庭办公室（SOHO）路由器的最大僵尸网络之一"，自 2021 年年中首次被发现以来，该犯罪机器在很大程度上逃避了公众的关注。

"恶意软件被用于创建住宅代理服务，以掩盖恶意活动，例如密码喷涂none所写.

基于恶意软件的匿名网络是针对在线零售商、互联网服务提供商 (ISP)、社交网络、电子邮件提供商和金融机构的不受欢迎的恶意网络流量的主要来源。 许多此类 "代理 "网络主要面向网络犯罪分子，他们试图通过受感染的个人电脑、路由器或移动设备对流量进行匿名处理。

代理服务可以合法地用于多种商业目的，如价格比较或销售情报，但它们却被大量滥用于隐藏网络犯罪活动，因为它们使恶意流量难以追踪到其原始来源。 代理服务还能让用户看起来几乎可以从世界上任何地方上网，如果你是一个网络犯罪分子，试图冒充来自某个特定地方的人，这就很有用了。

Track.us追踪代理服务的初创公司 Lumen 告诉 KrebsOnSecurity，被 Lumen 标记为 AVrecon 僵尸网络 "指挥与控制"（C2）服务器的互联网地址都与一个名为 "AVrecon "的长期代理服务有关。袜子逃生.

SocksEscort[.]com这就是所谓的 "SOCKS 代理 "服务。 SOCKS （或 SOCKS5）协议允许互联网用户通过代理服务器传输网络流量，然后由代理服务器将信息传递到预定目的地。 从网站的角度看，代理网络客户的流量似乎来自与住宅 ISP 客户绑定的租用/受恶意软件感染的 PC，而不是来自代理服务客户。

Spur 追踪到 SocksEscort 是一种基于恶意软件的代理服务，这意味着为 SocksEscort 客户代理流量的机器已经感染了恶意软件，变成了流量中继器。 通常，这些用户根本不知道他们的系统已被入侵。

Spur 称，SocksEscort 代理服务要求客户安装一个基于 Windows 的应用程序，以便访问全球超过 10,000 台黑客设备。

"我们创建了一个指纹来识别 SocksEscort 代理的回调基础设施。莱利-基尔默说。 "通过网络遥测，我们可以确认，我们看到受害者在不同的端口上与它回话"。

据 Kilmer 称，AVrecon 是为 SocksEscort 提供代理服务器的恶意软件。

"Kilmer 继续说："当 Lumen 发布他们的报告和 IOC（入侵指标）时，我们查询了我们的系统，看看哪些代理服务回调基础设施与他们的 IOC 重叠。 "他们确定的第二阶段 C2 与我们为 SocksEscort 标注的 IP 相同。

Lumen 的研究团队表示，AVrecon 的目的似乎是在不影响最终用户的情况下窃取带宽，从而创建一种住宅代理服务，以帮助清洗恶意活动，避免引起来自以下方面的同样程度的关注。隐藏 Tor 的服务或商用 VPN 服务。

none

2022 年 7 月，911S5（当时世界上已知最大的恶意软件代理网络）成为 SocksEscort 的首要关注点。被黑和内爆none在这里被曝光. 基尔默说，911 公司倒闭后，SocksEscort 公司关闭了几个月的注册服务，以防止大量新用户涌入而淹没这项服务。

丹尼-阿达米蒂斯Lumen 公司首席信息安全研究员、AVrecon 报告的作者之一 Kilmer 证实了 Kilmer 的发现，他说 C2 数据与 Spur 看到的 SocksEscort 追溯到 2022 年 9 月的数据相吻合。

阿达米蒂斯说，7 月 13 日，也就是路明公司发布关于 AVrecon 的研究报告并开始阻止恶意软件控制服务器流量的第二天，负责维护僵尸网络的人员迅速做出反应，将受感染的系统过渡到新的指挥和控制基础设施。

"Adamitis 说："他们显然在做出反应，并试图保持对僵尸网络组件的控制。 "很可能，他们想保持这种收入来源"。

令人沮丧的是，Lumen 无法确定 SOHO 设备是如何感染 AVrecon 的。 一些可能的感染途径包括利用路由器上薄弱或默认的管理凭据，以及存在已知安全漏洞的过时、不安全的固件。

switch代理服务器免费

克雷布斯安全去年短暂访问过 SocksEscort并承诺对其历史和可能的所有者身份进行跟进。 对俄罗斯网络犯罪论坛上有关这项服务的最早帖子进行的审查表明，这个已有 12 年历史的恶意软件代理网络与一家摩尔多瓦公司有关，该公司还在苹果商店和其他地方提供 VPN 软件。

SocksEscort 始于 2009 年，当时名为"none这是一项俄语服务，出售数千台被入侵 PC 的访问权限，可用于代理流量。 昵称为"南南合作"和"超级袜子"和电子邮件地址"none"在多个网络犯罪论坛上注册，并开始推广代理服务。

根据DomainTools.com，显然相关的电子邮件地址"michdomain@gmail.com"被用来注册 SocksEscort[.]com、super-socks[.]com 和其他一些与代理相关的域名，包括ip-score[.]com，segate[. ]org seproxysoft[.]com，以及vipssc[.]us. 超级袜子[.]com 和vipssc[.]us显示这些网站销售相同的代理服务，并且都显示了" "字样。南南合作"在其主页顶部的显著位置。

根据网络情报公司英特尔 471在网络犯罪论坛上注册的第一个 "SSC "身份是 2009 年在俄语黑客社区注册的Antichat在该网站上，SSC 请求论坛其他成员帮助测试一个自称是他们的网站的安全性：myiptest[.]comnone

Myiptest[.]com 已不再响应，但其缓存副本来自档案网站noneUS-2665744该网站还出现在其他十几个网站上。

曾经使用谷歌跟踪代码的大多数网站都已不复存在，但几乎所有这些网站都提供与 myiptest[.]com 类似的服务，例如abuseipdb[.]com, bestiptest[.]com, checkdnslbl[.]com,dnsbltools[.]com和dnsblmonitor[.]com.

这些服务都是为了帮助访问者快速确定他们正在访问的互联网地址是否为"......"。从被任何安全公司列为垃圾邮件、恶意或钓鱼网站。 换句话说，设计这些服务的目的是为了让代理服务用户能够轻松辨别他们租用的互联网地址是否仍可安全地用于网络欺诈。

另一个谷歌分析代码为 US-2665744 的域名是sscompany[.]net. 网站的存档副本SSC 代表"none"，它宣传的是技术支持和服务器管理的外包解决方案。

被黑客入侵的 Antichat 论坛的泄露副本显示，SSC 身份使用 IP 地址在论坛上注册71.229.207.214noneDeem3n®、"他在 2005 年至 2009 年间在 Antichat 上发表了大量文章，并担任论坛版主。

有一个Deem3n®网站管理员论坛 Searchengines.guru 上的用户，他们的帖子签名中说，他们在摩尔多瓦经营着一个为程序员服务的流行社区，名为sysadmin[.]md的系统管理员。

同样的 Google Analytics 代码现在也出现在以下网站的主页上wiremo[.]co和一个名为HideIPVPN[.]com.

none销售软件和服务，帮助网站所有者更好地管理客户评论。 Wiremo 的 "联系我们 "页面列出了一个"服务器管理 LLC"作为母公司。 服务器管理有限责任公司是目前在列在苹果公司的应用商店里，他是一款名为隐藏IPVPN.

none

当被问及公司与 SocksEscort 的明显联系时，Wiremo 回应说："我们不控制这个域，我们团队中也没有人与这个域有联系"。 Wiremo 在收到本报告的调查结果时没有做出回应。