Bazar 勒索软件深度分析

  • 浏览次数 53020
  • 喜欢 0
  • 评分 12345

八月份,我们发现了一起由BazarLoader 感染开始的入侵事件。传递来源可能是一场网络钓鱼运动,该运动向受害者分发有密码保护的 zip 文件和改装化文件。word文档中的宏提取并执行了恶意的.HTA文档,该文档下载并加载了内存中的BazarLoader DLL。

对信息安全界有一个认知是很明显的,即从BazarLoader开始的入侵常常以Conti勒索软件结束。本次事件也得出了这样的结论。在涉及Conti勒索软件的事件中有一些明显的相似之处。勒索软件操作者的工具和执行的总体目的在整个集群中趋于匹配。当我们看我们之前的Conti 事件,这一点变得显而易见。这可能是由于一家分支机构泄露的Conti手册广泛传播。在本例中,我们看到了相同的事件模式,工具包括net、nltest、用于discovery的ShareFinder、用于C2的Cobalt Strike 和WMIC远程进程创建,以便扩展其在网络中的访问。

 

 

更多内容请至Seebug Paper  阅读全文https://paper.seebug.org/1774/

消息来源:THE DFIR REPORT,封面来自网络,译者:Zoeppo。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

关于作者

Zoe

o(* ̄▽ ̄*)ブ