详细内容或原文请订阅后点击阅览

夏季崩溃的 BazarLoader DGA

2024年4月16日 14:25 33 Comments
X Twitter Instagram Mail

None

来源:bin.re _恶意软件

André Tavares 向我发送了一个 Bazar Loader 示例,其域生成算法 (DGA) 显示出一些有趣的行为。 5 月份,它会生成同名顶级域名 .bazar 的有效域名:

André Tavares .bazar

但到了 6 月份,一些生成的域名包含无效字符:

到了 7 月份,所有域名都无效(极少数例外):

DGA 在 8 月和 9 月也会失效。但到了 10 月,所有域名都会恢复有效。这种情况会持续到明年 6 月,届时 DGA 会再次出现问题。

这篇简短的博客文章探讨了导致 DGA 在夏季停止正常工作的原因。

所检查的样本

我对以下样本的 DGA 进行了逆向工程:

MD5
5f11f2db1295fa419b190bd7478d9b23
SHA1
96d6c37fa0046a8dc1c520249dc94122e0fb3f52
SHA256
86d2aa04988befc74eccca5d99550f67093969b31aafa11cdce3476a4c59ba74
大小
248 KB (254474 字节)
编译时间戳
2021-07-13 08:22:30 UTC
链接
MalwareBazaar、Cape、VirusTotal
MalwareBazaar Cape VirusTotal
文件名
5f11f2db1295fa419b190bd7478d9b23.dll (MalwareBazaar)、(VirusTotal)
检测
MalwareBazaar Virustotal

我已将其解压到以下状态:

MD5
7c64ea7c4a229414b6048d18ab0836fd
SHA1
f10621be9bfee0152931f7790c2cbff022611f62
SHA256
d15dbfb7ef0511556a3527cc98d09145a56302bdd19a6083ee6d007af3352434
大小
113 KB (116224 字节)
编译时间戳
2021-07-12 13:27:57 UTC
链接
MalwareBazaar、Cape、VirusTotal
MalwareBazaar Cape VirusTotal
检测
MalwareBazaar Virustotal

域生成算法

可以根据 .bazar TLD 轻松在解压样本中找到 DGA,例如使用此 Yara 规则:

.bazar rax

aeiouy ab ba eb
MalwareBazaar DGA 生成 样本 博客 探讨 2021 文章 Tavares 找到 bazar 简短 编译 域名 Andr KB 解压