Windows恶意软件BazarLoader分析

admin
admin
admin
104377
文章
87
评论
2021年10月30日01:00:50评论102 views字数 2234阅读7分26秒阅读模式
Windows恶意软件BazarLoader分析

BazarLoader是基于Windows的恶意软件,主要通过电子邮件方式传播。犯罪分子通过恶意软件后门访问受感染的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,犯罪分子就会开始横向拓展,部署Conti、Ryuk等勒索软件。

BazarLoader传播方式


2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件:


Windows恶意软件BazarLoader分析


“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段,诱导受害者点击含有恶意软件的文件;

七月初,以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader;

7月底,TA551(Shathak)开始通过英语电子邮件传播BazarLoader。




除了这三个主要攻击活动外,研究人员还发现了含有BazarLoader的Excel电子表格,其传播感染方式如下:

Windows恶意软件BazarLoader分析

恶意Excel表格


恶意Excel电子表格在8月18日被首次发现的,其最后一次修改日期为8月17日。文件后缀为‘.xlsb’,此文件中包含BazarLoader。下图为恶意Excel截图:

Windows恶意软件BazarLoader分析

攻击者试图通过利用DocuSign来迷惑受害者。受害者Windows主机上启用恶意宏后,表格中会出现新的sheet,如下图所示:

Windows恶意软件BazarLoader分析

此时恶意代码已经执行,释放出BazarLoader。

BazarLoader分析


恶意文件会从‘hxxps://pawevi[.]com/lch5.dll’中下载BazarLoader的DLL文件,并保存到‘C:Users[username]tru.dll’。

Windows恶意软件BazarLoader分析

BazarLoader DLL会复制到另一个位置,并修改Windows注册表。

Windows恶意软件BazarLoader分析

Bazar C2流量


样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动,传输至104.248.166.170。

Windows恶意软件BazarLoader分析

Cobalt Strike恶意活动


BazarLoader感染大约41分钟后,受感染Windows主机通过https与gojihu[.]com和yuxicu[.]com下载运行Cobalt Strike,如下图:

Windows恶意软件BazarLoader分析

通过Bazar C2获得Cobalt Strike DLL文件,保存到AppDataRoaming目录下,下图为正在运行的Cobalt Strike:

Windows恶意软件BazarLoader分析

Reconnaissance恶意活动


Cobalt Strike运行两分钟后,环境信息采集工具会下载到受感染主机上‘C:ProgramDataAdFind.exe’。


AdFind是一个命令行工具,攻击者通过批处理文件来运行该工具。下图显示了AdFind位置、批处理文件以及采集结果文件。

Windows恶意软件BazarLoader分析

Bat脚本内容如下:

Windows恶意软件BazarLoader分析

adfind.exe -f "(objectcategory=person)" > ad_users.txtadfind.exe -f "objectcategory=computer" > ad_computers.txtadfind.exe -f "(objectcategory=organizationalUnit)" > ad_ous.txtadfind.exe -sc trustdmp > trustdmp.txtadfind.exe -subnets -f (objectCategory=subnet)> subnets.txtadfind.exe -f "(objectcategory=group)" > ad_group.txtadfind.exe -gcb -sc trustdmp > trustdmp.txt

IOC


BazarLoader Excel SHA256 hash:8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1Malicious DLL for BazarLoader , SHA256 hash:caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1Online location: hxxps://pawevi[.]com/lch5.dllInitial saved location: C:Users[username]tru.dllFinal location: C:Users[username]AppDataLocalTempDampkibuyuink.exeRun method: regsvr*.exe /s [filename]Malicious DLL for Cobalt Strike, SHA256 hash:73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0File location: C:Users[username]AppDataRoamingnubqabmlkp.iowdRun method: rundll32.exe [filename],Entrypoint


原文链接

https://unit42.paloaltonetworks.com/bazarloader-network-reconnaissance/

Windows恶意软件BazarLoader分析



精彩推荐






Windows恶意软件BazarLoader分析

Windows恶意软件BazarLoader分析Windows恶意软件BazarLoader分析
Windows恶意软件BazarLoader分析
Windows恶意软件BazarLoader分析



原文始发于微信公众号(FreeBuf):Windows恶意软件BazarLoader分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月30日01:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows恶意软件BazarLoader分析https://cn-sec.com/archives/605150.html

发表评论

匿名网友 填写信息