BazarLoader是基于Windows的恶意软件，主要通过电子邮件等方式传播。犯罪分子通过恶意软件后门访问受感染的主机，并对目标域网络环境进行探测，部署Cobalt Strike，绘制网络拓扑图。如果为高价值目标，犯罪分子就会开始横向拓展，部署Conti、Ryuk等勒索软件。

BazarLoader传播方式

2021年夏天，研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件：

“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段，诱导受害者点击含有恶意软件的文件； 七月初，以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader； 7月底，TA551（Shathak）开始通过英语电子邮件传播BazarLoader。

除了这三个主要攻击活动外，研究人员还发现了含有BazarLoader的Excel电子表格，其传播感染方式如下：

恶意Excel表格

恶意Excel电子表格在8月18日被首次发现的，其最后一次修改日期为8月17日。文件后缀为‘.xlsb’，此文件中包含BazarLoader。下图为恶意Excel截图：

攻击者试图通过利用DocuSign来迷惑受害者。受害者Windows主机上启用恶意宏后，表格中会出现新的sheet，如下图所示：

此时恶意代码已经执行，释放出BazarLoader。

BazarLoader分析

恶意文件会从‘hxxps://pawevi[.]com/lch5.dll’中下载BazarLoader的DLL文件，并保存到‘C:Users[username]tru.dll’。

BazarLoader DLL会复制到另一个位置，并修改Windows注册表。

Bazar C2流量

样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动，传输至104.248.166.170。

Cobalt Strike恶意活动

BazarLoader感染大约41分钟后，受感染Windows主机通过https与gojihu[.]com和yuxicu[.]com下载运行Cobalt Strike，如下图：

通过Bazar C2获得Cobalt Strike DLL文件，保存到AppDataRoaming目录下，下图为正在运行的Cobalt Strike：

Reconnaissance恶意活动

Cobalt Strike运行两分钟后，环境信息采集工具会下载到受感染主机上‘C:ProgramDataAdFind.exe’。 AdFind是一个命令行工具，攻击者通过批处理文件来运行该工具。下图显示了AdFind位置、批处理文件以及采集结果文件。

Bat脚本内容如下：

adfind.exe -f “(objectcategory=person)” > ad_users.txt adfind.exe -f “objectcategory=computer” > ad_computers.txt adfind.exe -f “(objectcategory=organizationalUnit)” > ad_ous.txt adfind.exe -sc trustdmp > trustdmp.txt adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt adfind.exe -f “(objectcategory=group)” > ad_group.txt adfind.exe -gcb -sc trustdmp > trustdmp.txt

IOC

BazarLoader Excel SHA256 hash: 8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1 Malicious DLL for BazarLoader , SHA256 hash: caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1 Online location: hxxps://pawevi[.]com/lch5.dll Initial saved location: C:Users[username]tru.dll Final location: C:Users[username]AppDataLocalTempDampkibuyuink.exe Run method: regsvr*.exe /s [filename] Malicious DLL for Cobalt Strike, SHA256 hash: 73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0 File location: C:Users[username]AppDataRoamingnubqabmlkp.iowd Run method: rundll32.exe [filename],Entrypoint参考文献

关注我，持续更新······ 私我获取最新【网络安全学习资料·攻略】