Manuel Statik Analiz (LLM Okumali) — BazarLoader (BazaLoader) | Tehdit: YUKSEK

Fichier Kimligi

SHA256b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d
Fichier Adibz.dll
FormatPE DLL (agir paketleme)
Taille192.512 byte
String Sayisi322 (CEKIRDEK)

Paketleme Analizi

322 string, bu boyuttaki bir DLL icin son derece dusuktur. BazarLoader, C2 adresleri de dahil tum konfigurasyonu sifrelenmis sekilde barindirmaktadir. Runtime'da ECC + RC4 kombinasyonu ile sifre cozulmektedir.

BazarLoader Hakkinda

BazarLoader (BazaLoader), TrickBot geliştiricilerince 2020 yilindan itibaren kullanilmaya baslanmistir. Conti ransomware ile yakin iliskilendirilen bir initial access loader'dir. Mesgru gibi gorunen altyapi (blockchain DNS, HTTPS sertifika) kullanarak C2 gizler. Hedefler: Kurumsal aglar (RDP, Active Directory). Cobalt Strike ve Conti ransomware icin backdoor gorevi gorur.

IOC

SHA256b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d
Formatbz.dll
C2Sifrelenmis (Blockchain DNS/ECC)
GrupTrickBot / Conti ekibi

BazarLoader — Profil du malware

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Type de malware
Loader
Langage de programmation
C++
Protocole C2
HTTPS
Systèmes ciblés
Windows
Aussi connu sous (AKA)
BazarBackdoor

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — BazarLoader
# SHA256 b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d
TypeValeurNote
sha256 b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d
Tags
bazarloadertrickbotdllagir-pakethttps-c2conti-grup