Get best of the week

BazarBackdoor:企业系统的新切入点



3月中旬,对RDP连接的暴力攻击次数急剧增加。这些攻击的目的是利用远程工作人员数量的突然增加并控制他们的公司计算机。

信息安全专家发现了一个新的网络钓鱼活动,该活动促进了一个名为BazarBackdoor(TrickBot运营商的新恶意软件)的隐藏后门,该后门可用于黑客攻击并获得对公司网络的完全访问权限。

91%的网络攻击一样,该攻击以网络钓鱼电子邮件开始。各种主题用于个性化电子邮件:客户投诉,有关冠状病毒主题的薪水报告或员工裁员名单。所有这些字母都包含指向由Google文档托管的文档的链接。网络罪犯使用Sendgrid营销平台发送恶意电子邮件。



此活动使用所谓的“鱼叉式网络钓鱼”,这意味着犯罪分子已尽一切努力使电子邮件中链接的网站看起来合法且与电子邮件主题相关。

恶意文件


使用BazarBackdoor开展活动的下一步是让受害者下载文档。这些“虚拟”网站在显示Word,Excel或PDF格式的文件时遇到问题,因此会提示用户下载文档,以便他们可以在计算机上本地查看。

当受害者单击链接时,将下载一个可执行文件,该文件使用与网站上显示的文档类型相关的图标和名称。例如,使用“ COVID-19期间的工资单报告”链接,将下载一个名为PreviewReport.doc.exe的文档。由于Windows默认情况下不显示文件扩展名,因此大多数用户仅会看到PreviewReport.doc并打开该文件,并认为它是合法文件。

隐藏的后门


隐藏在此恶意文档中的可执行文件是BazarBackdoor的引导程序。当用户启动恶意文档时,引导加载程序会在短时间内保持隐藏状态,然后再连接到外部管理服务器以下载BazarBackdoor。

为了获取管理服务器的地址,BazarLoader将使用Emercoin 分散的DNS服务来使用bazar域获取各种主机名。Bazar域只能在Emercoin DNS服务器上使用,并且由于它是分散式的,因此执法机构很难(如果不是不可能的话)跟踪所需的主机。

用于管理服务器的主机名:

  • forgame.bazar
  • bestgame.bazar
  • 游戏世界
  • 新游戏
  • portgame.bazar

收到管理服务器的IP地址后,引导程序将首先连接到一个C2并完成注册。根据测试此后门程序的专家的说法,此请求始终返回HTTP 404错误代码,而



第二个请求C2会加载加密的XOR有效负载,这是一个恶意程序BazarBbackdoor后门程序。



加载有效负载后,它将以无文件方式嵌入到进程C:\ Windows \ system32 \ svchost.exe中。发布技术报告的安全研究员Vitali Kremez对BleepingComputer表示,这是使用过程空心法和过程多普勒方法进行的



由于Windows用户习惯了任务管理器中运行的svchost.exe进程,因此另一个svchost.exe进程不太可能引起大多数用户的怀疑。

计划的任务还将配置为在用户登录Windows时启动引导加载程序,这将使您能够定期下载后门的新版本并将其输入svchost.exe进程。



后来,安全研究人员Kremez和James报告说,后门下载并运行了Cobalt Strike渗透测试以及一组特殊的实用程序,以便随后在受害者的计算机上操作该机器。

Cobalt Strike是合法的信息安全应用程序,被推广为“对手建模平台”,旨在针对攻击者试图保留在网络上的模拟复杂威胁执行网络安全评估。

但是,当在网络上传播威胁,窃取凭据和部署恶意软件时,攻击者经常使用被黑客攻击的Cobalt Strike版本作为其工具包的一部分。

实施Cobalt Strike时,很明显,这个隐藏的后门用于保护公司网络中的位置,以便可以引入密码学家,窃取数据或将网络访问权出售给其他攻击者。

BazarBackdoor和TrickBot之间的相似之处


BazarBackdoor是企业级恶意软件。信息安全研究人员认为,此后门程序最有可能是由与开发TrickBot木马相同的团队开发的:两个恶意程序都具有相同代码的一部分,以及相同的传递方法和工作原理。

后门的危险


在任何复杂的攻击中,无论是敲诈勒索,工业间谍活动还是企业数据提取,这种访问的可用性都非常重要。如果网络罪犯设法在公司的IT系统中安装BazarBackdoor,这将是一个严重的危险,考虑到使用此后门发送的电子邮件数量,这是一个常见的威胁。

如我们所见,BazarBackdoor可以成为各种犯罪工具和工具的切入点。在这方面,必须可靠地保护企业,以防止受到此类威胁的潜在损害。

资料来源:BleepingComputer

More articles:


All Articles