標題：BAZARLOADER的主加載程序分析

我會在本文介紹這個加載程序的最後進程，它能夠下載和執行遠程有效負載，例如CobaltStrike和Conti勒索軟件。 BazarLoader是基於Windows的惡意軟件，主要通過電子郵件等方式傳播。

第1步：檢查系統語言與許多惡意軟件類似，BAZARLOADER會手動檢查系統的語言以避免在其母國開展惡意攻擊。

它調用GetSystemDefaultLangID來檢索系統的默認語言，並調用GetKeyboardLayoutList來遍歷系統的鍵盤佈局。

對於每一種語言，惡意軟件都會使用位掩碼檢查其是否有效。

如果語言標識符大於0x43或小於0x18，則將其視為有效，這樣BAZARLOADER才會繼續執行。

如果它在0x18和0x43之間的範圍內，語言標識符和0x18之間的差異被用作位掩碼中要檢查的位的索引。

BAZARLOADER使用的位掩碼是0xD8080190C03，即二進制的11011000000010000000000110010000110000000011。如果語言ID為0x18，則檢查位掩碼中的第一位。如果語言ID為0x19，則檢查第二位，依此類推……

以下是惡意軟件避免的位掩碼中所有語言的列表。

第2步：互斥對象為了檢查自身的多個運行實例，BAZARLOADER首先從其進程中提取SID的子權限。它通過調用GetTokenInformation來檢索進程的令牌完整性級別並調用GetSidSubAuthorityCount和GetSidSubAuthority來訪問SID的子權限來實現這一點。

如果SID的子權限是SECURITY_MANDATORY_SYSTEM_RID或SECURITY_MANDATORY_PROTECTED_PROCESS_RID，BAZARLOADER通過調用CreateMutexA檢查互斥鎖“{b837ef4f-10ee-4821-ac76-2331eb32a23f}”當前是否由任何其他進程擁有。

如果是，惡意軟件會自行終止。但是，檢查互斥對像是否存在的條件存在一個小錯誤，它假定它在實際成功時無法打開互斥對象。

此後，惡意軟件解析字符串“{0caa6ebb-cf78-4b01-9b0b-51032c9120ce}”並嘗試使用該名稱創建互斥鎖。

如果這個互斥對像已經存在，惡意軟件也會自行終止。

如果SID的子權限不是SECURITY_MANDATORY_SYSTEM_RID或SECURITY_MANDATORY_PROTECTED_PROCESS_RID，BAZARLOADER仍然使用這兩個互斥對象名稱，但在它們前面添加字符串“Global\”。這將檢查全局命名空間中的互斥鎖，而不是每個會話命名空間，這允許惡意軟件檢查它是否有在其他用戶的會話中運行的實例。

第3步：生成隨機Internet流量為了生成Internet活動以隱藏其與C2服務程序的通信，BAZARLOADER首先調用InternetOpenA以使用以下字符串作為HTTP用戶代理來初始化WinINet函數的使用。

然後，惡意軟件會生成一個線程以定期連接到隨機URL，並利用以下結構生成噪音以隱藏主要的C2流量。

首先，BAZARLOADER調用InitializeCriticalSection來初始化結構的臨界區對象，該對象稍後用於保護對creation_flag字段的訪問。

接下來，它設置self字段指向結構，creation_flag字段為TRUE，並調用CreateThread生成一個線程來執行這些隨機Internet操作。如果創建線程失敗，creation_flag字段設置為FALSE。

線程首先嘗試獲取臨界區對象的所有權並檢查是否啟用了創建標誌。如果是，惡意軟件會將以下URL解析為堆棧字符串。

接下來，線程進入一個無限循環，開始產生通訊噪音。對於隨機數生成，BAZARLOADER使用不同的函數調用Windows API BCryptGenRandom來生成一組隨機字節。

它隨機選擇上面列出的4個URL之一，隨機生成URL路徑段，然後將兩者結合起來構建完整的URL。

在生成路徑段時，該函數取生成的路徑段的最小和最大數量，以及每個路徑段的最小和最大長度。

它在給定範圍內隨機生成路徑段的計數。對於每個段，惡意軟件隨機生成一個字符串，該字符串在給定範圍內具有隨機長度，其中包含數字和大寫/小寫字母。

最後，惡意軟件調用InternetOpenURLA與生成的URL建立連接。它使用HTTP_QUERY_CONTENT_LENGTH標誌調用HTTPQueryInfoA以檢索內容的長度，分配具有該大小的緩衝區，並調用InternetReadFile從該URL讀取數據。

這會重複進行，直到C2通信和有效負載注入完成，這會產生大量噪音來掩蓋進出C2服務程序的主要流量。

第4步：密碼結構集群BAZARLOADER主要使用以下結構與C2服務程序進行通信。我們將在分析代碼時解釋結構的字段。

首先，它填充主結構中的crypto_struct字段。此結構包含稍後用於解密從C2服務程序發送的可執行文件的加密句柄。

結構可以重構如下：

這個惡意軟件會解析字符串“RSA”和“SHA384”，並調用BCryptOpenAlgorithmProvider來獲取這兩個算法的句柄。句柄存儲在crypto_struct結構中的相應字段中。

接下來，它解析內存中硬編碼的RSA公鑰和私鑰blob，以導入相應的密鑰句柄。

對於每個blob，惡意軟件會解析字符串“RSAFULLPRIVATEBLOB”或“RSAPUBLICBLOB”，並使用它指定blob的類型時調用BCryptImportKeyPair導入相應的密鑰句柄。

最後，它調用BCryptGetProperty來檢索RSA公鑰和私鑰密碼塊的長度。在完全填充了這個結構之後，BAZARLOADER現在可以執行RSA加密/解密以及SHA384哈希。

第5步：通過原始IP地址進行C2連接在與C2服務程序通信之前，BAZARLOADER首先解析原始IP地址列表並將它們寫入主結構中的C2_addr_list字段。

該字段是一個表示字符串結構列表的結構，可以如下所示重新構建兩個字符串結構。

下面是此示例中使用的C2服務程序的所有IP地址的列表。

對於其中的每個地址，惡意軟件都會嘗試與相應的服務程序通信並下載下一階段的可執行文件。

要建立連接，它會填充以下結構。

惡意軟件調用InternetCrackUrlA來檢索C2的URL組件和InternetConnectA以連接到服務程序。

然後將此連接結構的字段複製到主結構的C2_connection_struct中。不過，我不完全確定他們為什麼不直接填充主要結構。

同樣，BAZARLOADER填充下面的結構以創建對C2的HTTP請求。請求的對象名稱和HTTP動詞被解析為“/data/service”和“GET”。

請求的HTTP版本被解析為“HTTP/1.1”，並且BAZARLOADER調用HttpOpenRequestA來使用上面檢索到的連接句柄為C2服務器創建此請求。

它還調用InternetSetOptionA設置接收響應和發送請求的超時時間為300秒，連接C2的超時時間為120秒。

BAZARLOADER然後生成附加到請求的HTTP標頭。它通過調用GetSystemTime來使用當前日期和時間填充主結構的curr_system_time和datetime_string字段來實現這一點。

它還生成日期時間字符串的SHA384哈希，以填充結構的datetime_string_hash和datetime_string_hash_len字段。

接下來，BAZARLOADER通過調用BCryptSignHash使用其RSA私有簽名生成的哈希，並使用此哈希簽名隨機生成HTTP標頭。

下面是隨機HTTP標頭的形式。

BAZARLOADER的HTTP標頭

使用生成的HTTP標頭和請求句柄，BAZARLOADER調用HttpSendRequestA將請求發送到C2服務程序並調用HttpQueryInfoA來檢索狀態碼。

如果狀態碼不是HTTP_STATUS_OK，惡意軟件會轉移到另一個C2地址。

如果狀態碼為HTTP_STATUS_OK，BAZARLOADER調用InternetQueryDataAvailable確定要讀取的數據大小，根據大小分配內存緩衝區，並調用InternetReadFile讀取下一階段的有效載荷，直到所有內容都寫入內存。

最後，惡意軟件通過調用BCryptDecrypt使用其RSA公鑰解密有效負載，並檢查以確保有效負載的大小大於64字節並且包含MZ標頭。

第6步：通過自定義URL進行C2連接如果BAZARLOADER無法從上面列出的IP地址下載下一階段的可執行文件，它會嘗試使用用戶擁有的DNS社區服務OpenNIC解析自定義C2域。

為了開始查詢OpenNIC的API，惡意軟件首先解析URL“api.opennicproject.org”並調用InternetConnectA建立與該網站的連接。

接下來，它調用HttpOpenRequestA以創建對象名稱為“/geoip/?bareipv=4wl=allres=8”的GET請求句柄，並使用HttpSendRequestA發送請求。

通過檢查OpenNIC的API，我們可以分解此對象名稱以查看BAZARLOADER請求的內容。其中“bare”參數只列出DNS服務器的IP地址，“IPv4”參數只列出IPv4服務器，“wl”參數只列出白名單服務器，“res”參數只列出8個服務器。

為了測試這一點，我們可以簡單地將下面的路徑粘貼到我們選擇的瀏覽程序中。

然後惡意軟件進入循環調用InternetQueryDataAvailable和InternetReadFile來讀取8個OpenNIC的DNS服務器到內存中。

對於每個DNS服務程序IP地址，BAZARLOADER將其從字符串解析為int並填充主結構中的opennic_server_struct字段。下面是用於存儲OpenNICIP地址的結構。

最後，惡意軟件解碼以下自定義C2域，嘗試使用DNS服務程序解析它們，並下載下一階段的可執行文件。

對於每個自定義域，BAZARLOADER調用DnsQuery_A從OpenNIC的服務程序查詢DNS資源記錄，以解析C2服務程序的IP地址。

在檢查IP地址是否有效後，惡意軟件會嘗試連接它並請求下載下一階段的可執行文件，類似於我們在上一步中看到的。

第7步：通過process hollowing技術注入成功下載下一階段可執行文件之後，BAZARLOADER開始注入功能，從另一個進程啟動它。

對於此功能，BAZARLOADER填充以下結構。

首先，它檢查它的進程是否被提升為管理權限。它調用GetCurrentProcess和OpenProcessToken來檢索自己的進程令牌句柄，並調用GetTokenInformation來獲取令牌的提升信息。