互联网|新型恶意软件Bazar 的出现( 二 )
Bazar开发者可能的测试环境
成功收集数据并连接到C2服务器后 , 后门将解析在HTTP响应中接收到的命令 。 命令的每个字符都与生成的MD5字符串中的下一个字符一起使用 。
本文插图
从C2检索到的命令与机器标识符哈希进行异或处理
在检查并分析了XOR数据之后 , 后门将根据以下切换情况记录并执行检索到的命令 。
本文插图
切换从C2服务器收到的命令的大小写
如上图所示 , Bazar后门可以处理相当多的命令 。 下一节将关注示例1 , 它检索受感染设备上的各种附加信息 。
在从C2服务器接收到值1并解析响应之后 , 该值被映射到相关的执行方法 。
本文插图
内存中显示的方法和映射值
在这个示例中 , 值1的对应方法是0x3fab15b0 。 这种方法从受感染的设备收集其他数据 , 如其公共IP地址、计算机名称和安装的Windows版本 。
收集有关受感染计算机的其他信息
然后执行WMI查询以检索有关安装在计算机上的防病毒引擎的信息:
本文插图
WMI查询以获取有关已安装的防病毒引擎的信息
此外 , Bazar加载程序使用WindowsCurrentVersionUninstall注册表项检索已安装的应用程序列表 。
查询设备上安装的程序
最后 , 加载程序生成cmd.exe来执行一系列侦察命令 , 以获取关于网络和域的信息 。
运行net和nltest工具的cmd.exe
由于该恶意软件是开发版本 , 因此上述大多数数据在其日志中都有详细记录 。
Team9后门日志
随后的网络通信使用Bot ID哈希格式 , 使人联想起2019年以来在Anchor攻击家族中使用的客户端ID(即MD5哈希值) 。
如先前的Anchor感染所示 , Anchor的唯一标识符生成遵循以下模式:
[Machine_NAME]_[Windows_Version].[Client_ID]
当一台设备被Anchor感染后 , 它会使用openNIC解析器来解析一个Bazar域 , 比如toexample[dot]bazar 。 然后它将以下信息回调到远程服务器 , 格式如下:
[campaign]/[Machine_NAME]_[Windows_Version].[Client_ID]/[switch]/
同时 , 生成的Bazar bot ID是由计算机名称、系统文件夹创建日期和系统驱动器序列号组成的MD5哈希 。
Bazar bot ID是一个由主机信息组成的MD5哈希 , 其中包括:
·[creation date of %WINDIR% in ASCII]
·[creation date of %WINDIR%system32 in ASCII].
·[NETBIOS_Name]
·[%SYSTEMDRIVE% serial number])
Bazar后门通信遵循botID和数字命令开关的模式 。
[botID] / [switch]
后门回调从受感染的主机到Bazar域使用botID和命令开关" 2 "等待接收一个新任务 。
使用唯一的botID从受感染的主机到.bazar域的网络通信
Bazar后门向远程服务器发送一个 ‘group’ 标识符 , 以及botID和开关来发送数据或接收命令 。 到2020年5月 , 有两个硬编码组 。 这些后门与cookie组字符串“two”和“five”相关联 。 同时 , 新的加载程序与cookie组字符串“1”相关联 。
本文插图
通过HTTP请求“cookie”参数发送的Bazar后门 ‘group’标识符
尽管URI字符串已从Trickbot和Anchor变体中更改 , 但网络钓鱼策略和感染后侦察命令的使用仍然相同 。 在Bazar后门中 , 用于标识Trickbot攻击告系列的标签(gtag)已从C2 URI中删除 , 它可能已经被移动到cookie HTTP头参数 。
推荐阅读
- 行业互联网|华为在法国成立第六家研究所,将会继续提升研发能力
- 行业互联网|大华股份与浙江高信签署战略合作协议 共建智慧交通
- 行业互联网|常程跳槽判决来了,支付525亿“违约金”!结果依然有望反转?
- 行业互联网|华为为何在法国就设立了6家研发中心?
- 行业互联网|2020走进华为西安研究所成功举办,探索“5G+云+AI”
- 行业互联网|华为 | 车载以太网物理层及TSN发展现状 与技术趋势
- 互联网乱侃秀|家里洗衣机噪音太大?这些原因你都排查了吗
- 行业互联网|移远通信携手中国移动举办5G行业终端扬帆计划闭门会
- 行业互联网|【富士康出售63万股阿里巴巴ADS,再获利1.2亿美元】
- 行业互联网|三联机械再度携手汇川科技,助力砖机控制系统国产化