脚本宝典收集整理的这篇文章主要介绍了【网络安全】Windows恶意软件BazarLoader分析,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
BazarLoader是基于Windows的恶意软件,主要通过电子邮件等方式传播。犯罪分子通过恶意软件后门访问受感染的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,犯罪分子就会开始横向拓展,部署Conti、Ryuk等勒索软件。
2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件:
“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段,诱导受害者点击含有恶意软件的文件; 七月初,以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader; 7月底,TA551(Shathak)开始通过英语电子邮件传播BazarLoader。
除了这三个主要攻击活动外,研究人员还发现了含有BazarLoader的Excel电子表格,其传播感染方式如下:
恶意Excel电子表格在8月18日被首次发现的,其最后一次修改日期为8月17日。文件后缀为‘.xlsb’,此文件中包含BazarLoader。下图为恶意Excel截图:
攻击者试图通过利用DocuSign来迷惑受害者。受害者Windows主机上启用恶意宏后,表格中会出现新的sheet,如下图所示: 此时恶意代码已经执行,释放出BazarLoader。恶意文件会从‘hxxps://pawevi[.]com/lch5.dll’中下载BazarLoader的DLL文件,并保存到‘C:Users[username]tru.dll’。
BazarLoader DLL会复制到另一个位置,并修改Windows注册表。样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动,传输至104.248.166.170。
BazarLoader感染大约41分钟后,受感染Windows主机通过https与gojihu[.]com和yuxicu[.]com下载运行Cobalt Strike,如下图:
通过Bazar C2获得Cobalt Strike DLL文件,保存到AppDataRoaming目录下,下图为正在运行的Cobalt Strike:Cobalt Strike运行两分钟后,环境信息采集工具会下载到受感染主机上‘C:ProgramDataAdFind.exe’。 AdFind是一个命令行工具,攻击者通过批处理文件来运行该工具。下图显示了AdFind位置、批处理文件以及采集结果文件。
Bat脚本内容如下:adfind.exe -f “(objectcategory=person)” > ad_users.txt adfind.exe -f “objectcategory=computer” > ad_computers.txt adfind.exe -f “(objectcategory=organizationalUnit)” > ad_ous.txt adfind.exe -sc trustdmp > trustdmp.txt adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt adfind.exe -f “(objectcategory=group)” > ad_group.txt adfind.exe -gcb -sc trustdmp > trustdmp.txt
BazarLoader Excel SHA256 hash: 8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1 Malicious DLL for BazarLoader , SHA256 hash: caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1 Online location: hxxps://pawevi[.]com/lch5.dll Initial saved location: C:Users[username]tru.dll Final location: C:Users[username]AppDataLocalTempDampkibuyuink.exe Run method: regsvr*.exe /s [filename] Malicious DLL for Cobalt Strike, SHA256 hash: 73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0 File location: C:Users[username]AppDataRoamingnubqabmlkp.iowd Run method: rundll32.exe [filename],Entrypoint参考文献
关注我,持续更新······ 私我获取最新【网络安全学习资料·攻略】
以上是脚本宝典为你收集整理的【网络安全】Windows恶意软件BazarLoader分析全部内容,希望文章能够帮你解决【网络安全】Windows恶意软件BazarLoader分析所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。