Manuel Statik Analiz — BazarBackdoor | Tehdit: YUKSEK

Файл Kimliği

SHA256313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Имя файлаDragTest.dll (sürükle-bırak test DLL'i gibi)
Размер653.312 byte (638KB)
String Sayisi2.425

accNavigate: IAccessible COM Erişilebilirlik Enjeksiyonu

accNavigate
-- IAccessible::accNavigate = Windows COM Erişilebilirlik arayüzü
-- COM Erişilebilirlik: ekran okuyucuların UI elemanlarına erişimi
-- BazarBackdoor: accNavigate → süreç enjeksiyonu için accessibility hook
-- Normal kullanım: MSAA (Microsoft Active Accessibility)
-- Kötüye kullanım: başka sürecin penceresine erişim + enjeksiyon
-- Alternatif APC/shellcode enjeksiyon vektörü

NoNetConnectDisconnect: Ağ Durumu Bayrağı

NoNetConnectDisconnect
-- Ağ bağlantısı/kesintisi yönetimi bayrağı
-- BazarBackdoor: belirli ağ durumlarında C2 bağlantısını yönetir
-- "NoNet" → Disconnect etme! Bağlı kal!
-- C2 dayanıklılığı: ağ kaybında yeniden bağlan

IOC

SHA256313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
DLLDragTest.dll

BazarBackdoor — Профиль вредоносного ПО

BazarBackdoor BazaLoader TrickBot follow-on. DragTest.dll. accNavigate COM injection.

Тип вредоносного ПО
Backdoor
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Küresel

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — BazarBackdoor
# SHA256 313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ТипЗначениеПримечание
sha256 313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Теги
bazarbackdoorbazaloaderdragtest-dll-nameaccnavigate-iaccessible-comaccessibility-injectionae7gc2-fragmentnonetconnectdisconnect