【网络安全】Windows恶意软件BazarLoader分析

BazarLoader是基于Windows的恶意软件,主要通过电子邮件等方式传播。犯罪分子通过恶意软件后门访问受感染的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,犯罪分子就会开始横向拓展,部署Conti、Ryuk等勒索软件。

BazarLoader传播方式

2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件:

“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段,诱导受害者点击含有恶意软件的文件;
七月初,以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader;
7月底,TA551(Shathak)开始通过英语电子邮件传播BazarLoader。

除了这三个主要攻击活动外,研究人员还发现了含有BazarLoader的Excel电子表格,其传播感染方式如下:
【网络安全】Windows恶意软件BazarLoader分析_第1张图片

恶意Excel表格

恶意Excel电子表格在8月18日被首次发现的,其最后一次修改日期为8月17日。文件后缀为‘.xlsb’,此文件中包含BazarLoader。下图为恶意Excel截图:
【网络安全】Windows恶意软件BazarLoader分析_第2张图片
攻击者试图通过利用DocuSign来迷惑受害者。受害者Windows主机上启用恶意宏后,表格中会出现新的sheet,如下图所示:
【网络安全】Windows恶意软件BazarLoader分析_第3张图片
此时恶意代码已经执行,释放出BazarLoader。

BazarLoader分析

恶意文件会从‘hxxps://pawevi[.]com/lch5.dll’中下载BazarLoader的DLL文件,并保存到‘C:\Users[username]\tru.dll’。
【网络安全】Windows恶意软件BazarLoader分析_第4张图片
BazarLoader DLL会复制到另一个位置,并修改Windows注册表。
【网络安全】Windows恶意软件BazarLoader分析_第5张图片

Bazar C2流量

样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动,传输至104.248.166.170。
【网络安全】Windows恶意软件BazarLoader分析_第6张图片

Cobalt Strike恶意活动

BazarLoader感染大约41分钟后,受感染Windows主机通过https与gojihu[.]com和yuxicu[.]com下载运行Cobalt Strike,如下图:

通过Bazar C2获得Cobalt Strike DLL文件,保存到AppData\Roaming目录下,下图为正在运行的Cobalt Strike:
【网络安全】Windows恶意软件BazarLoader分析_第7张图片

Reconnaissance恶意活动

Cobalt Strike运行两分钟后,环境信息采集工具会下载到受感染主机上‘C:\ProgramData\AdFind.exe’。
AdFind是一个命令行工具,攻击者通过批处理文件来运行该工具。下图显示了AdFind位置、批处理文件以及采集结果文件。
【网络安全】Windows恶意软件BazarLoader分析_第8张图片
Bat脚本内容如下:
【网络安全】Windows恶意软件BazarLoader分析_第9张图片

adfind.exe -f “(objectcategory=person)” > ad_users.txt
adfind.exe -f “objectcategory=computer” > ad_computers.txt
adfind.exe -f “(objectcategory=organizationalUnit)” > ad_ous.txt
adfind.exe -sc trustdmp > trustdmp.txt
adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt
adfind.exe -f “(objectcategory=group)” > ad_group.txt
adfind.exe -gcb -sc trustdmp > trustdmp.txt

IOC

BazarLoader Excel SHA256 hash:
8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1
Malicious DLL for BazarLoader , SHA256 hash:
caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1
Online location: hxxps://pawevi[.]com/lch5.dll
Initial saved location: C:\Users[username]\tru.dll
Final location: C:\Users[username]\AppData\Local\Temp\Damp\kibuyuink.exe
Run method: regsvr*.exe /s [filename]
Malicious DLL for Cobalt Strike, SHA256 hash:
73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0
File location: C:\Users[username]\AppData\Roaming\nubqabmlkp.iowd
Run method: rundll32.exe [filename],Entrypoint参考文献

关注我,持续更新······
私我获取最新【网络安全学习资料·攻略】

你可能感兴趣的:(网络,安全,程序员,web安全,windows,网络安全,计算机网络)