Manuel Statik Analiz — BazarLoader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| Dosya Adı | bz.dll |
| Boyut | 192.512 byte |
| String Sayisi | 322 (yoğun sıkıştırma) |
BazarLoader Hakkında
BazarLoader (BazarBackdoor/TeamBot), TrickBot grubunun 2020'de geliştirdiği C++ DLL tabanlı loader ailesidir. Cobalt Strike ve Ryuk/Conti ransomware dağıtımında kullanılmıştır. Algoritmik DGA (Domain Generation Algorithm) ile C2 gizler, EmerDNS blockchain DNS kullanır. Büyük kurumsal saldırılarda ilk erişim aracı olarak kullanılmıştır.
IOC
| SHA256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |
|---|---|
| C2 | DGA + EmerDNS blockchain (şifreli) |
BazarLoader — Malware Profile
BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.
Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — BazarLoader
# SHA256
b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
| Type | Value | Note |
|---|---|---|
| sha256 | b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b |