恶意软件BazarLoader的分析

执行摘要

BazarLoader是基于 Windows 开发的恶意软件，它以多种方式传播，包括电子邮件，并在感染后提供后门访问。攻击者可以使用此后门来确定目标主机是否是 Active Directory (AD) 的一部分。如果是 AD 的一部分，攻击者会部署 Cobalt Strike 进行网络探测。如果探测结果表明是高价值目标，攻击者会尝试横向移动并部署勒索软件，例如 Conti 和 Ryuk。

本文回顾了最近的 BazarLoader 感染、Cobalt Strike活动极其导致的网络探测。如果在网络中发现了类似的活动，则表明可能已经成为了勒索软件的目标。而具有良好的垃圾邮件过滤、适当的系统管理和最新的 Windows 主机的组织可以大大降低感染这种恶意软件的风险。

 

 

BazarLoader的分发方式

2021年夏天，不同的攻击活动通过电子邮件分发BazarLoader。从 7 月下旬到8 月中旬，大部分 BazarLoader 样本通过三个攻击活动传播。

BazarCall活动通过使用电子邮件作为初始联系和呼叫中心来诱导潜在的受害者感染他们的电脑，从而推送BazarLoader。7月初，一个以盗版为主题的活动使用名为 "Stolen Images Evidence.zip "的ZIP档案，也推送了BazarLoader。7月底，一个名为TA551（Shathak）的长期活动开始通过英文邮件推送BazarLoader。

除了这三个主要攻击活动外，我们发现至少有一个BazarLoader样本是通过一个来源不明的Excel电子表格分发的。在本文中，我们将研究该样本在2021年8月19日造成的感染事件。

图1. 2021年 8 月 19 日 BazarLoader 感染事件链

 

 

恶意的 Excel 电子表格

恶意 Excel 电子表格于 2021 年8 月 18 日星期三被发现，其最后更新日期是 8 月 17 日星期二，文件扩展名为.xlsb。此文件包含的宏旨在使用BazarLoader感染易受攻击的Windows主机，Excel 文件如下图所示：

图2. 恶意 Excel 电子表格

 

虽然图 2 中显示了 DocuSign 徽标，但该 Excel 模板是由试图使用 DocuSign 品牌名称和图像获得可信度的威胁者创建的。各种威胁者几乎每天都在使用此图像和其它以DocuSign为主题的图像，DocuSign 意识到这种持续存在的威胁，并提供了有关如何处理此类恶意文件的指南。

当在易受攻击的 Windows 主机上启用恶意宏时，电子表格会在页面上显示一个包含虚假发票信息的新选项卡，如下图 3 所示。

图3.Excel 电子表格在启用宏后显示了一张虚假发票

当它显示虚假发票页面时，电子表格的宏代码已经检索到恶意的BazarLoader二进制文件。

 

 

BazarLoader二进制文件

该电子表格的宏代码从以下 URL 检索到 BazarLoader 的恶意动态链接库 (DLL) 文件：

hxxps://pawevi[.]com/lch5.dll

如下图4所示，DLL被保存在受害者的主目录下，即C:Users[username]tru.dll。它使用regsvr32.exe运行。

图4.BazarLoader DLL 存储在受感染用户的主目录中

 

BazarLoaderDLL 立即被复制到另一个位置，并通过 Windows 注册表永久保存，如图 5 所示。

图5. 持久性 BazarLoader DLL 的位置和 Windows 注册表更新

如图 5 所示，文件名从tru.dll更改为kibuyuink.exe，尽管它仍然是一个 DLL 并且仍需regsvr32.exe才能运行。更改文件扩展名是各种恶意软件感染中常见的策略。

 

 

Bazar C2通信

此BazarLoader 示例通过 443/tcp 上的 HTTPS 流量从104.248.174 [.] 225 检索BazarBackdoor，并生成命令和控制 (C2) 活动。BazarBackdoor 然后通过 HTTPS 流量在 443/tcp 到104.248.166 [.] 170上生成 C2 活动。在图 6 中，这种 C2 活动的组合被称为 Bazar C2 流量。

图6. 在Wireshark中过滤的受感染的流量

这个Bazar C2活动示例产生了流向合法域的流量。此活动本身并不是恶意的，各种恶意软件家族都会产生类似的流量，作为连接检查或确保受感染的Windows主机可以持续访问 Internet。

 

 

Cobalt Strike活动

在最初的BazarLoader感染后大约41分钟，受感染的Windows主机开始使用到gojihu[.]com和yuxicu[.]com的HTTPS流量生成Cobalt Strike活动，如下图7所示。

图 7.Wireshark 显示 Cobalt Strike 活动开始的时间

 

在这种情况下，Cobalt Strike DLL文件通过Bazar C2流量发送并保存在被感染Windows主机上用户的AppDataRoaming目录下。图8显示了在受感染机器上运行的Cobalt Strike DLL。

图 8.Process Hacker 中显示的 Cobalt Strike 活动

Cobalt Strike 导致对受感染宿主环境的侦察。在我们的实验室环境中，这种侦察活动可以在Cobalt Strike 流量首次出现后的几分钟内开始。

探测活动

在我们的案例研究中，Cobalt Strike活动开始后大约两分钟，一个用于枚举AD域的工具出现在被感染的主机上，目录为C:ProgramDataAdFind.exe。AdFind 是犯罪集团用来从 AD 中收集信息的命令行工具，在本案例研究中，该工具是使用该工具附带的批处理文件运行的。

图9显示了AdFind的位置，相关批处理文件adf.bat以及存储在七个文本文件中的 AD 枚举结果。

图9.AdFind.exe、批处理文件以及保存AD域枚举结果的文本文件

 

图 10 显示了运行AdFind.exe的批处理文件adf.bat文件中使用的命令。

图10. 用于运行AdFind.exe 的命令

 

这些命令显示有关目标 AD 域中的用户、计算机、文件共享和其它信息。

我们的案例没有涉及高价值的目标，在最初感染后的两三个小时内，环境被清除。此外，在探测后没有发送任何后续勒索软件。

 

 

结论

在本文中，我们介绍了一个初始恶意软件感染示例，该示例导致 Cobalt Strike 和探测活动。使用Cobalt Strike 时，攻击者还可能在 AD中执行另一种类型的探测。

如果目标 AD 有价值，那么攻击者就会转向横向移动，尝试访问网络中的域控制器和其它服务器。这是攻击者使用勒索软件攻击组织之前常见的模式。

如前所述，对于具有适当垃圾邮件过滤、系统管理和最新 Windows 主机的组织，感染此类威胁的风险将降低很多。此外，建议部署相关安全设备或终端防护软件，以检测此类恶意样本、防止Cobalt Strike 活动和未经授权的网络访问。

 

 

IoC

包含 BazarLoader 宏的 Excel 文件的 SHA256 哈希值：

8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1

文件大小：332,087 字节

文件名：Documentsbx new.

 

使用上述Excel宏获得的BazarLoader恶意DLL的SHA256哈希值：

caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1

文件大小：459,776字节

Online位置:hxxps://pawevi[.]com/lch5.dll

最初保存的位置：C:Users[username]tru.dll

最终位置：C:Users[username]AppDataLocalTempDampkibuyuink.exe

运行方法：regsvr32.exe /s [filename]

 

StrikeCobalt 恶意 DLL 的 SHA256 哈希值：

73B9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbddf03c4cadab0

文件大小：443,904 字节

文件位置：C:Users[username]AppDataRoamingnubqabmlkp.iowd

执行方法：rundll32.exe [filename],Entrypoint

 

ADfind枚举 AD 环境的命令行工具，SHA256 哈希值：

b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682

文件大小：1,394,176 字节

文件位置：C:ProgramDataAdFind.exe

 

运行 ADfind 的批处理文件的 SHA256 哈希值：

1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb

文件大小：385 字节

文件位置：C:ProgramDataadf.bat

 

adf.bat的内容：

adfind.exe -f"(objectcategory=person)" > ad_users.txt

adfind.exe -f"objectcategory=computer" > ad_computers.txt

adfind.exe -f "(objectcategory=organizationalUnit)"> ad_ous.txt

adfind.exe -sctrustdmp > trustdmp.txt

adfind.exe-subnets -f (objectCategory=subnet)> subnets.txt

adfind.exe -f"(objectcategory=group)" > ad_group.txt

adfind.exe-gcb -sc trustdmp > trustdmp.txt

 

原文链接：

https://unit42.paloaltonetworks.com/bazarloader-network-reconnaissance/

原文始发于微信公众号（维他命安全）：恶意软件BazarLoader的分析