详细内容或原文请订阅后点击阅览

Bazar Loader DGA 的下一个版本

2024年4月16日 14:25 33 Comments
X Twitter Instagram Mail

这篇博文展示了 Bazar Loader 的另一种域生成算法。虽然它仍然专门使用 .bazar 顶级域和类似的种子,但算法本身是全新的。

来源:bin.re _恶意软件

上周,Bazar Loader 域生成算法 (DGA) 的新版本出现了。我已经分析了两个以前的版本,所以我将这篇文章写得简短些。

以前的 版本

DGA 仍然使用同名的 .bazar 顶级域名,但二级域名更短,只有 8 个字符,而以前的版本有 12 个字符:

.bazar 
liybelac.bazarizryudew.bazarbiymudqe.bazarfuicibem.bazarbiykonem.bazaraqtielew.bazaryptaonem.bazarexyxtoca.bazariqfisoew.bazaraguponew.bazarexogelqe.bazarexybonyw.bazarretymonac.bazar
liybelac.bazarizryudew.bazarbiymudqe.bazarfuicibem.bazarbiykonem.bazaraqtielew.bazaryptaonem.bazarexyxtoca.bazariqfisoew.bazaraguponew.bazarexogelqe.bazarexybonyw.bazaretymonac.bazar

我分析了以下样本,没有进行太多混淆。还有许多其他样本具有额外的逆向工程对策,例如垃圾代码,但快速比较后发现没有功能差异。

MD5c6502d4dd27a434167686bfa4d183e89SHA1bddbceefe4185693ef9015d0a535eb7e034b9ec3SHA25635683ac5bbcc63eb33d552878d02ff44582161d1ea1ff969b14ea326083ea780大小336 KB (344576 字节)编译时间戳2020-12-10 13:05:18 UTC链接MalwareBazaar、Malpedia、Cape、VirusTotalFilenames1ld.3.v1.exe, 35683ac5bbcc63eb33d552878d02ff44582161d1ea1ff969b14ea326083ea780 (VirusTotal)检测Virustotal:截至 2020-12-11 02:58:32 为 8/72 - Win64/Bazar.Y (ESET-NOD32)、Backdoor.Win32.Bazdor.co (Kaspersky)、Trojan.Win64.BAZALOADER.SMYAAJ-A (TrendMicro)、Trojan.Win64.BAZALOADER.SMYAAJ-A (TrendMicro-HouseCall)
MD5
c6502d4dd27a434167686bfa4d183e89
SHA1
bddbceefe4185693ef9015d0a535eb7e034b9ec3
SHA256
35683ac5bbcc63eb33d552878d02ff44582161d1ea1ff969b14ea326083ea780
大小
336 KB (344576 字节)
编译时间戳
2020-12-10 13:05:18 UTC
链接
MalwareBazaar、Malpedia、Cape、VirusTotal
MalwareBazaar Malpedia Cape VirusTotal
文件名
1ld.3.v1.exe, 35683ac5bbcc63eb33d552878d02ff44582161d1ea1ff969b14ea326083ea780 (VirusTotal)
检测
Virustotal

解压样本得到以下结果:

MD5
e44cfd6ecc1ea0015c28a75964d19799
SHA1
版本 以前的 12 DGA 样本 解压 Win64 bazar 使用 bazarliybelac 得到 Bazar 没有 对策 检测 2020 顶级 简短