Manuel Statik Analiz (LLM Okumali) — BazarLoader (BazaLoader) | Tehdit: YUKSEK
Файл Kimligi
| SHA256 | b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d |
|---|---|
| Файл Adi | bz.dll |
| Format | PE DLL (agir paketleme) |
| Размер | 192.512 byte |
| String Sayisi | 322 (CEKIRDEK) |
Paketleme Analizi
322 string, bu boyuttaki bir DLL icin son derece dusuktur. BazarLoader, C2 adresleri de dahil tum konfigurasyonu sifrelenmis sekilde barindirmaktadir. Runtime'da ECC + RC4 kombinasyonu ile sifre cozulmektedir.
BazarLoader Hakkinda
BazarLoader (BazaLoader), TrickBot geliştiricilerince 2020 yilindan itibaren kullanilmaya baslanmistir. Conti ransomware ile yakin iliskilendirilen bir initial access loader'dir. Mesgru gibi gorunen altyapi (blockchain DNS, HTTPS sertifika) kullanarak C2 gizler. Hedefler: Kurumsal aglar (RDP, Active Directory). Cobalt Strike ve Conti ransomware icin backdoor gorevi gorur.
IOC
| SHA256 | b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d |
|---|---|
| Format | bz.dll |
| C2 | Sifrelenmis (Blockchain DNS/ECC) |
| Grup | TrickBot / Conti ekibi |
BazarLoader — Профиль вредоносного ПО
BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.
Тип вредоносного ПО
Loader
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Windows
Другие названия (AKA)
BazarBackdoor
Возможности и поведение
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Список IOC (1 индикаторов)
IOC — BazarLoader
# SHA256
b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | b1be5ea484bcd2312fafb7fef39c3ad0a04baecbe0fc3be6a7233377b19fae8d |