案例研究:从 BazarLoader 到网络侦察

admin
admin
admin
102262
文章
87
评论
2022年5月16日09:39:05评论18 views字数 3266阅读10分53秒阅读模式

更多全球网络安全资讯尽在邑安全

案例研究:从 BazarLoader 到网络侦察

执行摘要

BazarLoader 是基于 Windows 的恶意软件,通过涉及电子邮件的各种方法传播。这些感染提供了犯罪分子用来确定主机是否是 Active Directory (AD) 环境的一部分的后门访问。如果是这样,犯罪分子会部署 Cobalt Strike 并执行侦察以绘制网络地图。如果结果表明是高价值目标,犯罪分子就会尝试横向移动,并且通常会部署勒索软件,如 Conti 或 Ryuk。
本博客回顾了最近的 BazarLoader 感染,它如何导致 Cobalt Strike,以及 Cobalt Strike 如何导致网络侦察。如果您在您的网络中发现类似活动,您可能成为勒索软件的目标。
具有良好的垃圾邮件过滤、适当的系统管理和最新的 Windows 主机的组织感染的风险要低得多。Palo Alto Networks 的客户可以进一步免受这种威胁的侵害。我们针对下一代防火墙的威胁防护安全订阅会从此感染和类似样本中检测 BazarLoader 样本。Cortex XDR等端点检测可以防止 Cobalt Strike 活动和对您网络的犯罪访问。

BazarLoader 的分发方法

2021 年夏季,不同的活动使用电子邮件分发 BazarLoader 恶意软件。从 2021 年 7 月下旬到 8 月中旬,大部分 BazarLoader 样本分布在三个活动中。
BazarCall活动推使用电子邮件BazarLoader对于初次接触和呼叫中心,引导潜在受害者感染他们的电脑。到 7 月初,使用名为 Stolen Images Evidence.zip 的 ZIP 档案的侵犯版权主题活动开始推动 BazarLoader。到 7 月下旬,一个名为TA551 (Shathak)的长期活动开始通过英语电子邮件推动 BazarLoader
除了这三个主要活动之外,我们还发现了至少一个 BazarLoader 示例通过来源不明的 Excel 电子表格分发。我们的案例研究回顾了 2021 年 8 月 19 日使用此示例生成的感染。

案例研究:从 BazarLoader 到网络侦察

图 1. 2021 年 8 月 19 日 BazarLoader 感染事件链。

恶意 Excel 电子表格

恶意 Excel 电子表格于 2021 年 8 月 18 日星期三被发现,最后修改日期为 8 月 17 日星期二。文件名的文件扩展名为.xlsb。此文件包含旨在使用 BazarLoader 感染易受攻击的 Windows 主机的宏。图 2 显示了 Excel 文件的屏幕截图。
尽管 DocuSign 徽标出现在图 2 中,但该 Excel 模板是由试图通过利用 DocuSign 品牌名称和形象来灌输信心的威胁行为者创建的。各种威胁行为者几乎每天都在使用此图像和其他以 DocuSign 为主题的图像。DocuSign 意识到这种持续存在的威胁,并提供有关如何处理这些类型的恶意文件的指南

案例研究:从 BazarLoader 到网络侦察

图 2. 恶意 Excel 电子表格的屏幕截图。
在易受攻击的 Windows 主机上启用恶意宏后,电子表格为包含虚假发票信息的页面显示了一个新选项卡,如下图 3 所示。

案例研究:从 BazarLoader 到网络侦察

图 3. Excel 电子表格在启用宏后显示了一张假发票。
当它显示虚假发票页面时,电子表格的宏代码已经检索到 BazarLoader 的恶意二进制文件。

BazarLoader 二进制文件

该电子表格的宏代码从以下 URL 检索到 BazarLoader 的恶意动态链接库 (DLL) 文件:
hxxps://pawevi[.]com/lch5.dll
如下图 4 所示,DLL 被保存到受害者的主目录C:Users[username]tru.dll。它使用regsvr32.exe运行。

案例研究:从 BazarLoader 到网络侦察

图 4. BazarLoader DLL 保存到受感染用户的主目录。
BazarLoader DLL 立即被复制到另一个位置,并通过 Windows 注册表永久保存,如下图 5 所示。

案例研究:从 BazarLoader 到网络侦察

图 5. 持久性 BazarLoader DLL 的位置和 Windows 注册表更新。
如图 5 所示,文件名从tru.dll更改为kibuyuink.exe,即使它仍然是一个 DLL 并且仍然需要regsvr32.exe才能运行。更改文件扩展名是各种恶意软件感染中常见的策略。

Bazar C2 流量

BazarLoader的这个例子中生成的命令和控制(C2)的活性,使用BazarBackdoor HTTPS从交通检索104.248.174 [。] 225在TCP端口443然后BazarBackdoor使用HTTPS流量到生成的C2活性104.248.166 [。] 170通过TCP端口443. 在图 6 中,我们将这种组合的 C2 活动称为 Bazar C2 流量。

案例研究:从 BazarLoader 到网络侦察

图 6. Wireshark 中过滤的感染流量。
Bazar C2 活动的这个例子产生了流向合法域的流量。此活动本身并不是恶意的。各种恶意软件系列会生成类似的流量作为连接检查或确保受感染的 Windows 主机可以继续访问 Internet。

Cobalt Strike 活动情况

在最初的 BazarLoader 感染后大约 41 分钟,我们受感染的 Windows 主机开始使用 HTTPS 流量生成 Cobalt Strike 活动到gojihu[.]comyuxicu[.]com,如下图 7 所示。

案例研究:从 BazarLoader 到网络侦察

图 7. Wireshark 显示 Cobalt Strike 活动开始的时间。
在这种情况下,Cobalt Strike DLL 文件通过 Bazar C2 流量发送并保存到用户AppDataRoaming目录下的受感染 Windows 主机。图 8 显示了在受感染机器上运行的 Cobalt Strike DLL。

案例研究:从 BazarLoader 到网络侦察

图 8. Process Hacker 中显示的 Cobalt Strike 活动。
Cobalt Strike 导致对受感染宿主环境的侦察。在我们的实验室环境中,这种侦察活动可以在 Cobalt Strike 流量首次出现后的几分钟内开始。

侦察活动

在我们的案例研究中,在 Cobalt Strike 活动开始大约两分钟后,一个用于枚举 AD 环境的工具出现在受感染主机上的C:ProgramDataAdFind.exe。该工具已被犯罪集团用来从 AD 环境中收集信息。AdFind 是一个命令行工具,在我们的案例研究中使用了一个关联的批处理文件来运行该工具。
图 9 显示了 AdFind 的位置、关联的批处理文件adf.bat及其保存在七个文本文件中的搜索结果。
案例研究:从 BazarLoader 到网络侦察
图 9. AdFind.exe,批处理文件和保存到文本文件的搜索结果。
图 10 显示了运行AdFind.exe的adf.bat文件中使用的命令。
案例研究:从 BazarLoader 到网络侦察
图 10. 用于 AdFind.exe 的命令。
这些命令显示来自目标 AD 环境的用户、计算机、文件共享和其他信息。
我们的示例不涉及高价值目标,并且在初始感染后两三个小时内擦除了环境。在这个例子中,在侦察之后没有发送任何后续勒索软件。

结论

此案例研究揭示了一个初始恶意软件感染转移到 Cobalt Strike,然后是侦察活动的示例。当攻击者使用 Cobalt Strike 时,他们还可以在 AD 环境中执行其他类型的侦察。
如果 AD 环境是一个高价值目标,攻击者的下一步是横向移动并获得对网络中域控制器和其他服务器的访问权限。
这是攻击者使用勒索软件攻击组织之前常见的模式。
具有良好的垃圾邮件过滤、适当的系统管理和最新的 Windows 主机的组织感染的风险要低得多。Palo Alto Networks 的客户可以进一步免受这种威胁的侵害。我们针对下一代防火墙的威胁防护安全订阅检测到此和类似的 BazarLoader 示例。Cortex XDR等端点检测可以防止 Cobalt Strike 活动和对您网络的犯罪访问。

原文来自: unit42.paloaltonetworks.com

原文链接: https://unit42.paloaltonetworks.com/bazarloader-network-reconnaissance/

欢迎收藏并分享朋友圈,让五邑人网络更安全

案例研究:从 BazarLoader 到网络侦察

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):案例研究:从 BazarLoader 到网络侦察

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日09:39:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   案例研究:从 BazarLoader 到网络侦察http://cn-sec.com/archives/593674.html

发表评论

匿名网友 填写信息