2021年夏天,研究人員就發現攻擊者透過電子郵件傳播BazarLoader惡意軟體。BazarLoader是基於Windows的惡意軟體,主要透過電子郵件等方式傳播。攻擊者透過惡意軟體後門訪問受攻擊的主機,並對目標域網路環境進行探測,部署Cobalt Strike,繪製網路拓撲圖。如果為高價值目標,攻擊者就會橫向攻擊,部署Conti、Ryuk等勒索軟體。
最近趨勢科技的研究人員又觀察到 BazarLoader 在其當前的惡意軟體功能中添加了兩種新的傳播機制。
研究人員繼續監控使用資訊竊取器BazarLoader(被趨勢科技檢測為TrojanSpy。Win64)的活動。BAZARLOADER TrojanSpy。Win64。BAZARLOADER, Backdoor。Win64。BAZARLOADER)。其中一種方法涉及使用受攻擊的軟體安裝程式,因為攻擊者將 BazarLoader 與合法程式捆綁在一起。第二種方法涉及使用帶有 Windows 連結 (LNK) 和動態連結庫 (DLL) 負載的 ISO 檔案。研究人員觀察到美洲是 BazarLoader 攻擊的重點區域。
透過受攻擊的安裝程式傳播
在研究人員的一項監控程序中,他們發現了與 BazarLoader 捆綁在一起的 VLC 和 TeamViewer 軟體包的受攻擊版本。雖然最初的傳播機制尚未確定,但這些包的使用可能是更廣泛的社會工程技術的一部分,以欺騙使用者下載和實施受攻擊的安裝程式。
與 BazarLoader 捆綁的受攻擊安裝程式
當安裝程式載入時,它會刪除並執行 BazarLoader 可執行檔案。這也是與最近的 BazarLoader 傳播機制的顯著區別之一,其中攻擊者似乎偏愛動態連結庫 (DLL)。
當VLC安裝程式執行時,捆綁包會刪除並執行 ste。exe,這是一個 BazarLoader 可執行檔案
研究人員跟蹤安裝程式在執行 ste。exe 後建立一個程序“vlc-3。0。16-win3。。2。tmp”,該程序將後者的可執行檔案複製到磁碟並執行它。然後它與命令和控制 (C&C) 伺服器連線,並將其自身的副本注入到一個新的暫停的 MS Edge 程序中。
跟蹤 BazarLoader 可執行檔案的程序
ste。exe 可執行檔案透過 MS Edge 連線到 C&C 伺服器
透過 ISO 檔案傳播
同時,研究人員還發現了一個濫用ISO檔案的傳遞機制,其中包含的DLL和LNK檔案執行其中的BazarLoader DLL。LNK檔案使用一個資料夾圖示來欺騙使用者雙擊該圖示,使該檔案能夠執行所附的BazarLoader DLL檔案。
LNK 使用資料夾圖示誘使使用者雙擊 BazarLoader DLL
然後它呼叫匯出函式“EnterDLL”,這是 BazarLoader 最近使用的一個函式。Rundll32。exe 載入惡意 DLL 並與 C&C 伺服器通訊,然後繼續生成暫停的 MS Edge 程序以將自身注入其中。
觀察到的EnterDll,它是BazarLoader攻擊者以前使用的一個匯出函式
BazarLoader 開啟 MS Edge 並將自身注入其中
BazarLoader 活動中使用的傳播機制變體的數量繼續增加,因為攻擊者將其攻擊模式多樣化以逃避檢測。然而,儘管由於單一檢測技術的侷限性而缺乏新穎性,但這兩種技術都值得注意並且仍然有效。例如,雖然已經觀察到其他惡意軟體使用受攻擊的安裝程式,但大檔案仍然可以挑戰檢測解決方案,例如沙箱可能會限制檔案大小。另一方面,作為快捷方式的LNK檔案也可能會因為在快捷方式和惡意檔案本身之間建立的額外層而被混淆。
此外,部署用於初始訪問的BazarLoader惡意軟體是現代勒索軟體(如Conti和Ryuk)作為服務子公司的一種眾所周知的技術。除了這些已知的勒索軟體家族,包括更多的工具進入他們的武器庫,其他惡意軟體組織和勒索軟體運營商可能會採取額外的手段。
感染過程可以分為幾個階段,依次執行以啟用記憶體中的植入程式並允許它在執行時部署額外的有效載荷。本節會簡要介紹這些階段,包括對最終有效載荷的描述。
感染流程始於 PowerShell 滴管。此元件的目的是透過將其安裝為服務來暫存鏈中的後續元素。在此之前,它會建立幾個登錄檔項,將加密資料分配給這些登錄檔項,其中一個對應於將在後期部署的有效負載。值得注意的是,指令碼本身以打包形式交付,因此其完整執行取決於命令列引數,該引數用作解密其大部分邏輯和資料的項。沒有這個key,這個階段之後的流量是不可能恢復的。
下一個階段是由前者作為服務執行的,目的是作為下一個階段的另一個前兆。它用於從先前寫入的登錄檔項讀取加密資料並解密它,以啟動記憶體植入的執行。我們確定了這個元件的兩個變體,一個是用c++開發的,另一個是用 。NET 開發的。後者早在 2021 年 3 月就出現在野外,它使用受感染機器的 GUID 來派生解密項,因此被定製為在該特定系統上執行。另一方面,C++ 變體依賴於硬編碼的 AES 256 加密項。
第三階段是核心植入,由上述載入程式部署後在記憶體中執行,並注入到新建立的 svchost。exe 程序的地址空間中。它的主要目標是促進與 C2 伺服器的通訊通道,從而基於嵌入其配置中的 Malleable C2 配置檔案,惡意流量偽裝成與良性服務通訊的偽裝。需要注意的是,最初在 Cobalt Strike 框架中提供的 Malleable C2 功能的實現是根據 Cobalt Strike 程式碼的逆向工程自定義和重寫的。
另一個用於隱藏惡意流量的有趣技術是惡意軟體使用虛假檔案格式標頭來封裝傳遞給 C&C 伺服器的資料。為此,記憶體植入程式會合成一個 RIFF、JPEG 或 PNG 格式之一的虛假媒體檔案,並將任何以加密形式傳送到伺服器的資料作為其主體。因此,傳輸的資料包以影象或音訊檔案的形式出現,並與網路中的其他合法流量混合在一起。
最後一個階段是由上述植入程式注入 winlogon。exe 程序的有效載荷,用於向攻擊者提供遠端控制功能。此類功能包括啟動遠端控制檯或桌面會話,後者支援在目標裝置上執行傳送的滑鼠點選鍵,以及檢索反映這些操作輸出的定期螢幕截圖。此階段還允許攻擊者載入任意 。NET 程式集或執行 PowerShell 命令,以及完全控制受害者的檔案系統以搜尋、檢索或推送檔案。
除了最後階段的有效載荷之外,核心元件還能夠在系統上部署 Windows 核心模式驅動程式。這個驅動程式的目的是作為隱藏惡意軟體的rootkit,如檔案,登錄檔項和網路流量,從而獲得隱身和能力,以避免被安全產品和安全人員檢測到。接下來的章節詳細介紹了這個驅動程式是如何部署的(即它是如何繞過Windows緩解的,假設它不是數字簽名的),以及它為使用者模式惡意植入提供了哪些特殊功能。
安全建議
BazarLoader 是一種多功能惡意軟體傳送機制的例子,它很可能會找到更多方法來適應欺騙更多使用者。有關 BazarLoader 用於進入系統的所有其他措施的詳細資訊,請在點此詳細瞭解。
以下是防禦這種威脅的最佳實踐:
啟用安全解決方案,允許跟蹤檔案程序的可見性,允許安全團隊檢測惡意的傳出和傳入網路通訊和流量;
最好從各自的官方網站和平臺下載安裝程式和更新;
BazarLoader正在演變成一個資訊竊取型惡意軟體,為其他惡意軟體運營商提供初始訪問惡意軟體即服務(MaaS),併為更具有破壞性的攻擊(如現代勒索軟體)提供二次有效載荷傳播。安全團隊必須基於已知資料,對已知威脅的監控和跟蹤更加到位,並使用能夠對未知威脅進行模式識別和行為監視的多層解決方案。
參考及來源:https://www。trendmicro。com/en_us/research/21/k/bazarloader-adds-compromised-installers-iso-to-arrival-delivery-vectors。html
