江苏龙网

  1. 首页 > 资讯 > 科技 > >

互联网|新型恶意软件Bazar 的出现( 三 )


使用Bazar , 受感染的计算机名称和Trickbot攻击标识符不再在同一HTTP请求中发送 。 取而代之的是 , 在加载程序执行后 , 发送"/ api / v {rand}"URI以便从云托管服务器中检索后门 。 C2服务器和客户端之间的后门通信使用分配给受感染主机的botID进入.bazar域 。
活动标签和客户端设备名称与Bazar C2服务器的解耦是特定于这个后门的 。 由于发现感染后 , bot通信通常会迅速终止 , 因此从uri中删除活动和客户端设备名称会减少停机时间 , 降低重新感染设备的需要 。
TRICKBOT连接

如我们先前所述 , Bazar加载程序和Bazar后门与签名的加载程序与Trickbot和Anchor恶意软件联系在一起 。 两者之间的相似之处包括:
1. 使用被撤销的证书签名恶意软件;
2. 域重用 , 例如machunion[.]com and bakedbuns[.]com;
3. 在Bazar和Trickbot加载程序中几乎相同的解密例程 , 包括使用相同的winapi , 自定义RC4实现 , 以及在最新加载程序变体中使用API-Hammering , 这在Trickbot中也可以找到;
4. .bazar域的后门命令与控制 。
该恶意软件不会感染具有俄语支持的计算机这一事实提供了其起源和预期目标的线索 。
Bazar加载程序使用已撤销的证书进行签名 , 之前的研究表明 , Trickbot小组使用已撤销的证书在证书被撤销六个月后签署文件 , 例如使用2020年1月发给subject“VB CORPORATE PTY. LTD.” 的证书 。 从12月开始 , Anchor攻击也使用了签名的骗术加载程序文件、文件名与预览文档相关 。 新加载程序变体中使用的当前已撤销的证书是由“RESURS-RM OOO”颁发的 。

此外 , 在这两个攻击系列中都观察到类似的网络钓鱼电子邮件策略 , Google Drive诱饵预览 , 签名的恶意软件以及欺骗性文件图标的使用 。 我们观察到重用了可能受到威胁的域 , 以托管以前为Trickbot装载机服务的Bazar装载机 。 例如 , 域名 ruths-brownies[dot]com在1月份的Trickbot攻击中被使用 , 并在2020年4月托管了Bazar加载程序 。
Bazar恶意软件有一个新的命令和控制模式 , botID不同于Trickbot和Anchor , 但保留了这两个恶意软件攻击的攻击指标 。 最后 , 从2019年12月开始 , 在传播Anchor的Trickbot感染中观察到了Emercoin(.bazar)域的使用 。
总结
在这篇文章中 , 我们将Bazar loader和Bazar后门与Trickbot背后的攻击者以及我们之前从2019年12月开始对Anchor和Trickbot的研究联系起来 。 根据我们的调查 , Cybereason估计 , 这个新的恶意软件家族是Trickbot团伙的最新开发的复杂工具 , 目前已经有选择地对有价值的目标发起攻击 。
Bazar恶意软件擅长于逃避、隐匿和持久性 。 恶意软件的开发者们正在积极地测试他们的恶意软件的几个版本 , 试图尽可能地混淆代码 , 并隐藏最后的有效载荷 , 同时在另一个进程的上下文中执行它 。 为了进一步逃避检测 , Bazar加载程序和后门使用与以前看到的Trickbot相关的恶意软件不同的网络回调方案 。

感染后 , 该恶意软件为攻击者提供了多种命令和代码执行选项 , 以及内置的文件上传和自删除功能 。 这种多样性使攻击者可以动态地窃取数据 , 在目标计算机上安装其他有效载荷或在网络上进一步传播 。 一般而言 , 拥有更多选择可以确保威胁行为者可以适应其目标或受害者环境的变化 。
区块链域名的使用将Bazar加载程序和Bazar后门作为依赖其他域名系统(如EmerDNS域名)的攻击家族的一部分 。 在2020年4月第一个恶意软件变种的出现之后 , 在持续了将近2个月的时间 , 直到2020年6月发现了一个新的变种 。 我们的研究 , 涵盖了Bazar恶意软件家族的演变 , 清楚地表明威胁行动者花了时间重新检查和改进他们的代码 , 使恶意软件更加隐秘 。 Bazar的开发者改变了之前变种的一些最容易检测到的特征 , 比如以前的硬编码字符串 , 以及对已知shell代码解密例程的修改 , 类似于之前在最近的Trickbot变种中观察到的 。


推荐阅读


上一篇:苹果手机|推荐4款小屏旗舰机,性能颜值很能打,内行人:单手操作不香吗?

下一篇:|太平洋又出新品!2020大公司终身重疾横向测评,哪款值得买?