Manuel Statik Analiz — BazarLoader | Tehdit: KRITIK

Datei Kimliği

SHA256b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
Dateinamebz.dll
Größe192.512 byte
String Sayisi322 (yoğun sıkıştırma)

BazarLoader Hakkında

BazarLoader (BazarBackdoor/TeamBot), TrickBot grubunun 2020'de geliştirdiği C++ DLL tabanlı loader ailesidir. Cobalt Strike ve Ryuk/Conti ransomware dağıtımında kullanılmıştır. Algoritmik DGA (Domain Generation Algorithm) ile C2 gizler, EmerDNS blockchain DNS kullanır. Büyük kurumsal saldırılarda ilk erişim aracı olarak kullanılmıştır.

IOC

SHA256b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
C2DGA + EmerDNS blockchain (şifreli)

BazarLoader — Malware-Profil

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Malware-Typ
Loader
Programmiersprache
C++
C2-Protokoll
HTTPS
Zielsysteme
Windows
Auch bekannt als (AKA)
BazarBackdoor

Fähigkeiten & Verhalten

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC-Liste (1 Indikatoren)

IOC — BazarLoader
# SHA256 b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
TypWertBemerkung
sha256 b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
Tags
bazarloaderdlltrickbotsifrelenmissıkıştırılmış