Bazar 勒索软件深度分析

八月份，我们发现了一起由BazarLoader 感染开始的入侵事件。传递来源可能是一场网络钓鱼运动，该运动向受害者分发有密码保护的 zip 文件和改装化文件。word文档中的宏提取并执行了恶意的.HTA文档，该文档下载并加载了内存中的BazarLoader DLL。

对信息安全界有一个认知是很明显的，即从BazarLoader开始的入侵常常以Conti勒索软件结束。本次事件也得出了这样的结论。在涉及Conti勒索软件的事件中有一些明显的相似之处。勒索软件操作者的工具和执行的总体目的在整个集群中趋于匹配。当我们看我们之前的Conti 事件，这一点变得显而易见。这可能是由于一家分支机构泄露的Conti手册广泛传播。在本例中，我们看到了相同的事件模式，工具包括net、nltest、用于discovery的ShareFinder、用于C2的Cobalt Strike 和WMIC远程进程创建，以便扩展其在网络中的访问。

更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1774/

消息来源：THE DFIR REPORT，封面来自网络，译者：Zoeppo。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。