新2最新网址:BazarLoader 在其当前的恶意软件功能中添加了两种新的传播机制

2021年夏天,研究人员就发现攻击者通过电子邮件传播BazarLoader恶意软件。BazarLoader是基于Windows的恶意软件,主要通过电子邮件等方式传播。攻击者通过恶意软件后门访问受攻击的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,攻击者就会横向攻击,部署Conti、Ryuk等勒索软件。

最近趋势科技的研究人员又观察到 BazarLoader 在其当前的恶意软件功能中添加了两种新的传播机制。

研究人员继续监控使用信息窃取器BazarLoader(被趋势科技检测为TrojanSpy.Win64)的活动。BAZARLOADER TrojanSpy.Win64。BAZARLOADER, Backdoor.Win64.BAZARLOADER)。其中一种方法涉及使用受攻击的软件安装程序,因为攻击者将 BazarLoader 与合法程序捆绑在一起。第二种方法涉及使用带有 Windows 链接 (LNK) 和动态链接库 (DLL) 负载的 ISO 文件。研究人员观察到美洲是 BazarLoader 攻击的重点区域。

通过受攻击的安装程序传播

在研究人员的一项监控进程中,他们发现了与 BazarLoader 捆绑在一起的 VLC 和 TeamViewer 软件包的受攻击版本。虽然最初的传播机制尚未确定,但这些包的使用可能是更广泛的社会工程技术的一部分,以欺骗用户下载和实施受攻击的安装程序。


与 BazarLoader 捆绑的受攻击安装程序

当安装程序加载时,它会删除并执行 BazarLoader 可执行文件。这也是与最近的 BazarLoader 传播机制的显着区别之一,其中攻击者似乎偏爱动态链接库 (DLL)。


当VLC安装程序执行时,捆绑包会删除并执行 ste.exe,这是一个 BazarLoader 可执行文件

研究人员跟踪安装程序在执行 ste.exe 后创建一个进程“vlc-3.0.16-win3..2.tmp”,该进程将后者的可执行文件复制到磁盘并执行它。然后它与命令和控制 (C&C) 服务器连接,并将其自身的副本注入到一个新的暂停的 MS Edge 进程中。


跟踪 BazarLoader 可执行文件的进程


ste.exe 可执行文件通过 MS Edge 连接到 C&C 服务器

通过 ISO 文件传播

同时,研究人员还发现了一个滥用ISO文件的传递机制,其中包含的DLL和LNK文件执行其中的BazarLoader DLL。LNK文件使用一个文件夹图标来欺骗用户双击该图标,使该文件能够运行所附的BazarLoader DLL文件。


LNK 使用文件夹图标诱使用户双击 BazarLoader DLL

,

新2最新网址www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

然后它调用导出函数“EnterDLL”,这是 BazarLoader 最近使用的一个函数。 Rundll32.exe 加载恶意 DLL 并与 C&C 服务器通信,然后继续生成暂停的 MS Edge 进程以将自身注入其中。


观察到的EnterDll,它是BazarLoader攻击者以前使用的一个导出函数


BazarLoader 打开 MS Edge 并将自身注入其中

BazarLoader 活动中使用的传播机制变体的数量继续增加,因为攻击者将其攻击模式多样化以逃避检测。然而,尽管由于单一检测技术的局限性而缺乏新颖性,但这两种技术都值得注意并且仍然有效。例如,虽然已经观察到其他恶意软件使用受攻击的安装程序,但大文件仍然可以挑战检测解决方案,例如沙箱可能会限制文件大小。另一方面,作为快捷方式的LNK文件也可能会因为在快捷方式和恶意文件本身之间创建的额外层而被混淆。

此外,部署用于初始访问的BazarLoader恶意软件是现代勒索软件(如Conti和Ryuk)作为服务子公司的一种众所周知的技术。除了这些已知的勒索软件家族,包括更多的工具进入他们的武器库,其他恶意软件组织和勒索软件运营商可能会采取额外的手段。

感染过程可以分为几个阶段,依次运行以激活内存中的植入程序并允许它在运行时部署额外的有效载荷。本节会简要介绍这些阶段,包括对最终有效载荷的描述。

感染流程始于 PowerShell 滴管。此组件的目的是通过将其安装为服务来暂存链中的后续元素。在此之前,它会创建几个注册表项,将加密数据分配给这些注册表项,其中一个对应于将在后期部署的有效负载。值得注意的是,脚本本身以打包形式交付,因此其完整执行取决于命令行参数,该参数用作解密其大部分逻辑和数据的项。没有这个key,这个阶段之后的流量是不可能恢复的。

下一个阶段是由前者作为服务执行的,目的是作为下一个阶段的另一个前兆。它用于从先前写入的注册表项读取加密数据并解密它,以启动内存植入的执行。我们确定了这个组件的两个变体,一个是用c++开发的,另一个是用 .NET 开发的。后者早在 2021 年 3 月就出现在野外,它使用受感染机器的 GUID 来派生解密项,因此被定制为在该特定系统上执行。另一方面,C++ 变体依赖于硬编码的 AES 256 加密项。

第三阶段是核心植入,由上述加载程序部署后在内存中运行,并注入到新创建的 svchost.exe 进程的地址空间中。它的主要目标是促进与 C2 服务器的通信通道,从而基于嵌入其配置中的 Malleable C2 配置文件,恶意流量伪装成与良性服务通信的伪装。需要注意的是,最初在 Cobalt Strike 框架中提供的 Malleable C2 功能的实现是根据 Cobalt Strike 代码的逆向工程自定义和重写的。

另一个用于隐藏恶意流量的有趣技术是恶意软件使用虚假文件格式标头来封装传递给 C&C 服务器的数据。为此,内存植入程序会合成一个 RIFF、JPEG 或 PNG 格式之一的虚假媒体文件,并将任何以加密形式传送到服务器的数据作为其主体。因此,传输的数据包以图像或音频文件的形式出现,并与网络中的其他合法流量混合在一起。

最后一个阶段是由上述植入程序注入 winlogon.exe 进程的有效载荷,用于向攻击者提供远程控制功能。此类功能包括启动远程控制台或桌面会话,后者支持在目标设备上执行发送的鼠标点击和击键,以及检索反映这些操作输出的定期屏幕截图。此阶段还允许攻击者加载任意 .NET 程序集或执行 PowerShell 命令,以及完全控制受害者的文件系统以搜索、检索或推送文件。

除了最后阶段的有效载荷之外,核心组件还能够在系统上部署 Windows 内核模式驱动程序。这个驱动程序的目的是作为隐藏恶意软件的rootkit,如文件,注册表项和网络流量,从而获得隐身和能力,以避免被安全产品和安全人员检测到。接下来的章节详细介绍了这个驱动程序是如何部署的(即它是如何绕过Windows缓解的,假设它不是数字签名的),以及它为用户模式恶意植入提供了哪些特殊功能。

安全建议

BazarLoader 是一种多功能恶意软件传送机制的例子,它很可能会找到更多方法来适应欺骗更多用户。有关 BazarLoader 用于进入系统的所有其他措施的详细信息,请在点此详细了解。

以下是防御这种威胁的最佳实践:

启用安全解决方案,允许跟踪文件进程的可见性,允许安全团队检测恶意的传出和传入网络通信和流量;

最好从各自的官方网站和平台下载安装程序和更新;

BazarLoader正在演变成一个信息窃取型恶意软件,为其他恶意软件运营商提供初始访问恶意软件即服务(MaaS),并为更具有破坏性的攻击(如现代勒索软件)提供二次有效载荷传播。安全团队必须基于已知数据,对已知威胁的监控和跟踪更加到位,并使用能够对未知威胁进行模式识别和行为监视的多层解决方案。

本文翻译自:https://www.trendmicro.com/en_us/research/21/k/bazarloader-adds-compromised-installers-iso-to-arrival-delivery-vectors.html

  • 评论列表:
  •  新2代理线路
     发布于 2021-12-02 00:02:13  回复
  • https://hg0088.com/对得起我时间
    •  新2备用网址
       发布于 2021-12-03 01:18:13  回复
    • 在最近的一节,李泓澎能够投进一个三分球,但是广州的龙狮从来没有在外线处理过三分球。好在陈盈骏能够继续得分,虽然梅森三分球命中率不高,但是他的突破还是非常犀利,郑准, 李炎哲和郭凯在本场比赛的表现都不理想。梅森突然爆发,三分球和抢断连得5分,广州和龙狮拿下比赛。从最近三场比赛可以看出,没有广州和龙狮的郭士强防守确实有问题,但进攻保持了一定水平。外援到位后,广州和龙狮肯定会继续打动人心。
      转载说明:本文转载自USDT交易平台。很写实
      •  usdt在哪里可以交易(www.usdt8.vip)
         发布于 2021-12-24 09:58:20  回复
      • 张伯礼表示,对于症状轻也不能掉以轻心,关于新冠肺炎的后遗症还是一个研究的课题,根据国外报告显示,30%-50%的病人有各种后遗症,比国内的报告要高,国内器质性病变没有那么重,而且康复以后比较好。不错,值得鼓励
  •  新2手机网址
     发布于 2021-12-03 00:01:41  回复
  • 第40分钟,韦尼修斯与莫德里奇踢墙配合后横敲,阿森西奥弧顶处低射被门将乌奈-西蒙封出,莫德里奇补射没踢正部位,本泽马轻松捅入空门,1-0。好多人都看啊
    •  新2最新网址
       发布于 2021-12-07 15:20:00  回复
    • 所以女性不想老太快,可常吃猪皮,清毒素,排垃圾,减少皱纹,更年轻
      转载说明:本文转载自USDT交易平台。感觉文笔再多练练
    •  usdt场外交易平台(www.usdt8.vip)
       发布于 2022-01-08 19:50:04  回复
    • 若论爱情,盛明兰最爱的应该是齐衡。齐衡俊美斯文,给人陌上人如玉,君子世无双的觉得,可谓汴京城里女性的男神。更重要的是,齐衡还很专情,他也不在乎门第差别,一心一意地爱着明兰。很强!
  •  新2登录线路
     发布于 2021-12-05 00:16:38  回复
  • 23分钟,米利唐后背停球停给对手,伊尼亚基-威廉姆斯内切后抽射,被米利唐封堵出底线。炒鸡炒鸡好的内容
    •  usdt无需实名买卖(www.usdt8.vip)
       发布于 2022-01-04 12:58:08  回复
    • 沈阳博物馆联合辽宁省博物馆、沈阳故宫博物院、四平市博物馆等辽河流域博物馆,成立了辽河流域博物馆联盟并推出此次展览,意在采撷辽河流域文明遗珍,融合辽河流域文化基因。展览分为玉见、金辉、铸文、瓷韵、杂华5个单元,以文物分类为纲,以历史时间为轴,以文物种类为组,以文脉纽带串联,向世人展现辽河文明。真就这么回事儿
  •  新2代理网址
     发布于 2021-12-07 00:01:00  回复
  • https://ag.hga035.com/甜蜜啊
    •  USDT交易平台(www.usdt8.vip)
       发布于 2021-12-14 22:45:31  回复
    • 此行也无疑受到国际社会的高度关注。《时代周刊》称,中国在埃塞影响力巨大。西方评论认为,中国有能力帮助交战各方回到谈判桌上。而王毅国委此行正是中国发挥劝和促谈建设性作用的又一例证。王毅国委向埃塞表示,中国不干涉埃塞的内政,也反对外部势力插手干涉,更不赞同一些外部势力为实现自身政治目的向埃塞施压,相信埃塞有能力、有智慧依照法律,以政治手段予以化解,实现包容和稳定。他同时指出,和谈是真正的出路,也是唯一正确的选择,并呼吁埃塞各方抓住联大通过奥林匹克休战决议的契机,尽快停止冲突,为持久和平而努力。埃塞方面高度重视,听说德梅克亲赴机场迎接,并对中方予以积极回应,表示埃塞政府仍致力于政治解决冲突。是不是还可以?
  •  怎么购买USDT(www.usdt8.vip)
     发布于 2021-12-20 00:02:14  回复
  • 新2代理网址www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。
    闲下来看
    •  usdt匿名交易(www.caibao.it)
       发布于 2021-12-24 23:42:58  回复
    • 霍纳接着表示:“维斯塔潘开车就像泰森参加拳击比赛一样,他有着同样的好胜心,你知道他会为此付出一切,如果你把他击倒,他会再次站起来的,他用着永不言败的决心,我会下注他将是沙特站取胜的车手,因为他是所有车手中速度最快的。”写的反正比我好
  •  usdt搬砖套利(www.usdt8.vip)
     发布于 2021-12-21 00:02:43  回复
  •   据悉,本次易方达基金投顾在国信证券上线风险等级从低到高的三大策略,根据不同客户的风险承受能力和投资目标,几个策略配置不同比例固收、权益类产品,可满足客户不同期限投资需求。其中权益类基金仓位占比从0-20%(稳健理财策略),提高至30-70%(股债平衡策略),直至达到80-100%(激进投资策略)。对策略的波动性控制和投资目标也从控制波动追求稳健回报,到注重固收/权益类基金的均衡、承担较大的波动、追求长期增值,再到聚焦权益类基金、承担更大的波动和风险、追求长期投资回报。该三大策略均由易方达基金投顾提供,策略成分基金的交易则通过国信证券完成。再见,晚上继续看
  •  USDT官网(www.caibao.it)
     发布于 2022-01-17 00:06:40  回复
  • 卡纳维罗是个很擅长炒作的人,这些年,他不断地炒作人类头部移植手术,但是炒作归炒作,但是没有任何实质性的推动。早在2013年6月,卡纳维罗在《国际神经外科》杂志上发表论文称,人类头部移植手术不久将成为现实。2016年5月4日新华社报道,卡纳韦罗又宣布,已经准备好在2017年底为一位自幼患有脊髓性肌肉萎缩症的俄罗斯人进行“换头术”。适合大众的读物
  •  皇冠官网开户(www.huangguan.us)
     发布于 2022-03-22 00:04:32  回复
  • 在线博彩平台www.huangguan.us)是皇冠体育官网网上直营平台。在线博彩平台面向亚太地区招募代理,开放皇冠信用网代理申请、皇冠现金网代理会员开户等业务。在线博彩平台可下载皇冠官方APP,皇冠APP包括皇冠体育最新代理登录线路、皇冠体育最新会员登录线路。陪你到结局
  •  usdt匿名交易(www.caibao.it)
     发布于 2022-03-23 00:04:29  回复
  • 微软去年将通过其Windows应用商店出售的游戏佣金从30%降至12%,从而在与Epic Games的竞争中获得优势。“Epic诉苹果案”公开披露的文件显示,微软高管曾经还在考虑对其Xbox应用商店的游戏分成模式进行类似的调整。;还有上升空间
  •  皇冠平台出租(www.huangguan.us)
     发布于 2022-06-26 09:10:47  回复
  • usdt公开api接口www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键出售Usdt。
    我是看文小能手

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。