互联网新型恶意软件Bazar 的出现( 二 ) |青年|中年|

Bazar开发者可能的测试环境
成功收集数据并连接到C2服务器后，后门将解析在HTTP响应中接收到的命令。命令的每个字符都与生成的MD5字符串中的下一个字符一起使用。

本文插图
从C2检索到的命令与机器标识符哈希进行异或处理
在检查并分析了XOR数据之后，后门将根据以下切换情况记录并执行检索到的命令。

本文插图
切换从C2服务器收到的命令的大小写
如上图所示， Bazar后门可以处理相当多的命令。下一节将关注示例1 ，它检索受感染设备上的各种附加信息。
在从C2服务器接收到值1并解析响应之后，该值被映射到相关的执行方法。

本文插图
内存中显示的方法和映射值
在这个示例中，值1的对应方法是0x3fab15b0 。这种方法从受感染的设备收集其他数据，如其公共IP地址、计算机名称和安装的Windows版本。
收集有关受感染计算机的其他信息
然后执行WMI查询以检索有关安装在计算机上的防病毒引擎的信息：

本文插图
WMI查询以获取有关已安装的防病毒引擎的信息
此外， Bazar加载程序使用WindowsCurrentVersionUninstall注册表项检索已安装的应用程序列表。
查询设备上安装的程序
最后，加载程序生成cmd.exe来执行一系列侦察命令，以获取关于网络和域的信息。
运行net和nltest工具的cmd.exe
由于该恶意软件是开发版本，因此上述大多数数据在其日志中都有详细记录。
Team9后门日志
随后的网络通信使用Bot ID哈希格式，使人联想起2019年以来在Anchor攻击家族中使用的客户端ID（即MD5哈希值）。
如先前的Anchor感染所示， Anchor的唯一标识符生成遵循以下模式：
[Machine_NAME]_[Windows_Version].[Client_ID]
当一台设备被Anchor感染后，它会使用openNIC解析器来解析一个Bazar域，比如toexample[dot]bazar 。然后它将以下信息回调到远程服务器，格式如下:
[campaign]/[Machine_NAME]_[Windows_Version].[Client_ID]/[switch]/
同时，生成的Bazar bot ID是由计算机名称、系统文件夹创建日期和系统驱动器序列号组成的MD5哈希。
Bazar bot ID是一个由主机信息组成的MD5哈希，其中包括：
·[creation date of %WINDIR% in ASCII]
·[creation date of %WINDIR%system32 in ASCII].
·[NETBIOS_Name]
·[%SYSTEMDRIVE% serial number])
Bazar后门通信遵循botID和数字命令开关的模式。
[botID] / [switch]
后门回调从受感染的主机到Bazar域使用botID和命令开关" 2 "等待接收一个新任务。
使用唯一的botID从受感染的主机到.bazar域的网络通信
Bazar后门向远程服务器发送一个 ‘group’ 标识符，以及botID和开关来发送数据或接收命令。到2020年5月，有两个硬编码组。这些后门与cookie组字符串“two”和“five”相关联。同时，新的加载程序与cookie组字符串“1”相关联。

本文插图
通过HTTP请求“cookie”参数发送的Bazar后门 ‘group’标识符
尽管URI字符串已从Trickbot和Anchor变体中更改，但网络钓鱼策略和感染后侦察命令的使用仍然相同。在Bazar后门中，用于标识Trickbot攻击告系列的标签（gtag）已从C2 URI中删除，它可能已经被移动到cookie HTTP头参数。