【网络安全】Windows恶意软件BazarLoader分析

最新推荐文章于 2023-07-12 12:05:59 发布
最新推荐文章于 2023-07-12 12:05:59 发布
阅读量3.2k 收藏 4
点赞数 6
分类专栏: 网络 安全 程序员 文章标签: web安全 windows 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121050282
版权
BazarLoader是一种通过电子邮件传播的Windows恶意软件,利用恶意Excel表格诱导受害者执行宏,进而下载并安装BazarLoader。该恶意软件会下载BazarBackdoor,并通过Cobalt Strike进行网络侦查和横向移动,可能部署Conti、Ryuk等勒索软件。文中详细介绍了BazarLoader的传播途径、恶意Excel工作原理、C2通信和Cobalt Strike活动,以及关键IOC信息。
摘要由CSDN通过智能技术生成

BazarLoader是基于Windows的恶意软件,主要通过电子邮件等方式传播。犯罪分子通过恶意软件后门访问受感染的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,犯罪分子就会开始横向拓展,部署Conti、Ryuk等勒索软件。

BazarLoader传播方式

2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件:

“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段,诱导受害者点击含有恶意软件的文件;
七月初,以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader;
7月底,TA551(Shathak)开始通过英语电子邮件传播BazarLoader。

除了这三个主要攻击活动外,研究人员还发现了含有BazarLoader的Excel电子表格,其传播感染方式如下:
在这里插入图片描述

恶意Excel表格

恶意Excel电子表格在8月18日被首次发现的,其最后一次修改日期为8月17日。文件后缀为‘.xlsb’,此文件中包含BazarLoader。下图为恶意Excel截图:

最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
静态恶意软件分析工具 pestudio pro v9.26
11-05
在信息安全领域,恶意软件分析是一项至关重要的任务,它有助于我们理解和防御潜在的网络威胁。Pestudio Pro V9.26是一款专门针对这一需求设计的专业工具,它允许分析师在不执行代码的情况下对可疑程序进行深入的静态...
一个ZoomEye查询搜尽BazarLoader C2
最新发布
wangluoanquan111的博客
09-09 1134
在《》的采访中我提到了知道创宇在网络空间测绘领域的多个优势,其中:第六,知道创宇提出了很多先进的测绘理念并实践,如黑哥提出的“动态测绘”,时刻关注数据的动态变化及趋势。前面提到的心脏流血漏洞,就是利用动态测绘的理念分析得出的各种有趣的结论。再比如2019年委内瑞拉大停电事件,ZoomEye是全球唯一及时响应、通过动态测绘理念完成该国的网络关键基础设施及重要信息系统测绘的工具。此外还有 “交叉测绘”的思想,基于它可以完成IPv4 vs IPv6 、暗网 vs IP/域名的交叉比;
我是程序猿:Windows能被感染?最常见的恶意电子邮件附件
C语言C++学习俱乐部:765860056
10-21 1698
引语:为了确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的仿冒电子邮件附件。 为确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的钓鱼电子邮件附件。 在恶意软件传播的过程中,攻击者会将垃圾邮件伪装为发票、邀请、支付信息、交通信息、电子邮件、语音邮件等等。在打开或启用了宏之后,这些电子邮件中包含恶意的 Word和 Excel附件或链接,这些附件将在计算机上安装恶意软件。 但 Office要求您在执行 Word或 Excel中的宏之前,先点击“启用编辑”或“启用内容”按..
域内信息查询工具AdFind
LuckySec
04-19 3369
工具简介 Adfind是一款在域环境下非常强大的信息搜集工具,允许用户在域环境下轻松搜集各种信息。它提供了大量的选项,可以优化搜索并返回相关详细信息,是内网域渗透中的一款利器。 下载地址:https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml 常用命令 列出域控制器名称: AdFind -sc dclist 查看域控版本: AdFind -schema -s base objectversion
解决microsoft windows 恶意软件删除工具 占用内存高
Scarlett的博客
07-12 4155
Win10关闭mrt.exe进程
新型恶意软件Bazar 的出现(下)
systemino的博客
09-02 855
使用CryptCreateHash API调用中设置的MD5算法对从受感染设备收集的数据进行哈希处理,方法是将ALG_ID设置为0x8003,然后附加到互斥锁名称中。 收集和哈希有关受感染设备的数据 成功采集数据后,Bazar后门连接到C2服务器。如果连接失败,它将继续重试。 这个版本的另一个有趣的方面是它如何使用本地地址从服务器获取数据。独步考虑到这是早期的开发版本,开发者可能是为了测试目的而使用这种方法。 Bazar开发者可能的测试环境 成功收集数据并连接到C2服务器后,后门将解析在H
加密流量恶意软件分析在金融场景的实践.pdf
08-10
加密流量恶意软件分析是近年来随着网络安全形势的发展而变得日益重要的领域。恶意软件利用加密流量可以有效躲避传统的基于签名的安全检测手段,造成金融等关键行业的安全风险。在金融场景中,加密流量的异常检测与...
网络安全恶意软件的行为研究与检测.pdf
09-20
冯常青、张岩所著的《网络安全恶意软件的行为研究与检测.pdf》详细探讨了恶意软件的行为特征以及如何进行有效的检测,为信息安全管理提供了重要的参考。 恶意软件,通常指的是未经用户许可,秘密安装在用户计算机...
基于威胁情报的恶意软件检测系统.zip
08-08
综上所述,基于威胁情报的恶意软件检测系统是网络安全领域的一个重要实践,它结合了实时威胁情报、数据分析和智能算法,以对抗日益复杂的网络威胁。对于任何关注网络安全的个人或机构而言,理解和掌握这样的系统都...
Netsess工具
10-12
Summary. Command line tool to enumerate NetBIOS sessions on a specified local or remote machine. 列举Netbios信息
BazarBackdoor 恶意软件经由CSV文件感染 - 该如何预防?
OPSWAT的博客
06-05 583
在今年二月,研究人员发现了一个新型网络钓鱼手法利用专门生成的CSV文件文件将恶意软件Bazar后门木马程序」感染到用户的设备中。我们将会于这篇文章中,针对攻击发生事件做分析并向你展示如何利用OPSWAT Deep CDR (Deep Content Disarm and Reconstruct) 深度档案清洗的技术来预防此次的攻击。...
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1153
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
分析恶意Windows程序
Hvnt3r的博客
03-24 965
知识点 多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。 **Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 739
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
windows系统流氓软件太厉害卸载不掉怎么办?看我弄死它们
zhao126159的博客
05-05 8298
本文推荐windows系统中必备的强力卸载软件,通过这些软件可以强制卸载一些卸载不掉的流氓软件,让你的电脑免受流氓软件困扰
linux下解压dmp文件怎么打开,DMP 文件扩展名: 它是什么以及如何打开它?
weixin_33318222的博客
04-29 1437
DMP 疑难解答 典型的 DMP 开放挑战Microsoft Visual Studio 不存在如果您尝试加载 DMP 文件,则会收到 “无法打开 DMP 文件” 等消息。 如果是这种情况,通常是因为 你的计算机上没有安装 Microsoft Visual Studio for %%os%%。 通过双击打开 DMP 的典型路径将不起作用,因为 %%os%% 无法建立程序连接。 提示:如果你知道有其...
红队技巧-域渗透的协议利用
Gamma_lab的博客
06-29 2449
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了uac,所以本地只有sid 为500和admi
计算机网络安全恶意软件与防治技术解析
"这是一份关于计算机网络安全的课件,主要探讨了恶意软件,包括病毒的传播机制、防治技术,以及特洛伊木马、间谍软件等其他类型的恶意软件。内容涉及恶意软件的历史演变,从早期的引导区病毒和文件型病毒到复杂的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值