Manuel Statik Analiz — BazarLoader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| Dosya Adı | bz.dll |
| Boyut | 192.512 byte |
| String Sayisi | 322 (yoğun sıkıştırma) |
BazarLoader Hakkında
BazarLoader (BazarBackdoor/TeamBot), TrickBot grubunun 2020'de geliştirdiği C++ DLL tabanlı loader ailesidir. Cobalt Strike ve Ryuk/Conti ransomware dağıtımında kullanılmıştır. Algoritmik DGA (Domain Generation Algorithm) ile C2 gizler, EmerDNS blockchain DNS kullanır. Büyük kurumsal saldırılarda ilk erişim aracı olarak kullanılmıştır.
IOC
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| C2 | DGA + EmerDNS blockchain (şifreli) |
BazarLoader — Malware Profili
BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.
Malware Tipi
Loader
Programlama Dili
C++
C2 Protokolü
HTTPS
Hedef Sistemler
Windows
Diğer Adlar (AKA)
BazarBackdoor
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — BazarLoader
# SHA256
b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
| Tür | Değer | Not |
|---|---|---|
| sha256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |