Manuel Statik Analiz — BazarLoader | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| Nom du fichier | bz.dll |
| Taille | 192.512 byte |
| String Sayisi | 322 (yoğun sıkıştırma) |
BazarLoader Hakkında
BazarLoader (BazarBackdoor/TeamBot), TrickBot grubunun 2020'de geliştirdiği C++ DLL tabanlı loader ailesidir. Cobalt Strike ve Ryuk/Conti ransomware dağıtımında kullanılmıştır. Algoritmik DGA (Domain Generation Algorithm) ile C2 gizler, EmerDNS blockchain DNS kullanır. Büyük kurumsal saldırılarda ilk erişim aracı olarak kullanılmıştır.
IOC
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| C2 | DGA + EmerDNS blockchain (şifreli) |
BazarLoader — Profil du malware
BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.
Type de malware
Loader
Langage de programmation
C++
Protocole C2
HTTPS
Systèmes ciblés
Windows
Aussi connu sous (AKA)
BazarBackdoor
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — BazarLoader
# SHA256
b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
| Type | Valeur | Note |
|---|---|---|
| sha256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |