互联网|新型恶意软件Bazar 的出现


互联网|新型恶意软件Bazar 的出现
本文插图

新型BAZAR加载程序
一种新版本的Bazar加载程序在2020年6月初出现 , 提交到VirusTotal的文件共享相同的假证书:“RESURS-RM OOO” 。 虽然有些功能与旧的操作变体类似(比如互斥锁、下载的有效载荷解密例程、持久性机制等) , 但这个新变体中有一些新功能 。
一项引人注目的功能是规避API攻击技术 , 最近在Trickbot的新变体中也看到了这一功能 。 在本例中 , 使用1550次printf调用是为了用垃圾数据超载沙箱分析并延迟执行 , 因为它记录API调用 。
互联网|新型恶意软件Bazar 的出现
本文插图

Bazar 加载程序的API-Hammering技术
新变体的另一个显着差异是对初始shellcode解密例程的更改 , 尽管它使用了熟悉的VirtualAllocExNuma例程 。
互联网|新型恶意软件Bazar 的出现
本文插图

Shellcode解密之前的初始例程
这个变体使用的似乎是自定义的RC4算法 , 其密钥如下 。
用于shellcode解密的密钥
【互联网|新型恶意软件Bazar 的出现】一旦代码被解密 , 很明显 , 里面实际上有两个有效载荷 。 第一个有效载荷作为第二个DLL有效载荷的加载程序 。
互联网|新型恶意软件Bazar 的出现
本文插图

第一个PE用导出函数“StartFunc”加载第二个PE

偏移量0x180004000保存第二个DLL 。
互联网|新型恶意软件Bazar 的出现
本文插图

第二个DLL
加载之后 , 第二个DLL的StartFunc通过调用GetMessageA来启动一个循环 , 以检索Windows消息并运行主activity方法 。
互联网|新型恶意软件Bazar 的出现
本文插图

StartFunc主活动方法
另一个有趣的发现是 , Bazar Loader现在已经实现了使用当前日期作为种子的域生成算法 。 目前 , 这似乎是一种备份 , 因为在受监视的实时示例中 , 直接联系了IP 。
互联网|新型恶意软件Bazar 的出现
本文插图

Bazar Loader的DGA实现
所有生成的域名仍然在bazar后缀下:
互联网|新型恶意软件Bazar 的出现
本文插图

生成的Bazar域
其他较小的(但对检测来说很重要的)变化包括:
·仅使用HTTPS连接到C2
·用户代理名称更改为dbcutwq或user_agent
·新的cookie: group=1
·用于检查恶意软件在设备上存在的_lyrt后缀现在改为_fgqw
其背后的开发团队是TEAM9背后的原班人马吗?

在2020年4月下旬公开发现的Team9恶意软件家族(也称为“Bazar”)似乎是由Trickbot背后的团队开发的一种新恶意软件 。 尽管该恶意软件的开发才刚刚开始 , 但开发人员已经开发了两个具有丰富功能的组件 。
使用CryptCreateHash API调用中设置的MD5算法对从受感染设备收集的数据进行哈希处理 , 方法是将ALG_ID设置为0x8003 , 然后附加到互斥锁名称中 。
互联网|新型恶意软件Bazar 的出现
本文插图

收集和哈希有关受感染设备的数据
成功采集数据后 , Bazar后门连接到C2服务器 。 如果连接失败 , 它将继续重试 。
这个版本的另一个有趣的方面是它如何使用本地地址从服务器获取数据 。 考虑到这是早期的开发版本 , 开发者可能是为了测试目的而使用这种方法 。


推荐阅读