Manuel Statik Analiz — BazarBackdoor | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 파일 이름 | DragTest.dll (sürükle-bırak test DLL'i gibi) |
| 크기 | 653.312 byte (638KB) |
| String Sayisi | 2.425 |
accNavigate: IAccessible COM Erişilebilirlik Enjeksiyonu
accNavigate -- IAccessible::accNavigate = Windows COM Erişilebilirlik arayüzü -- COM Erişilebilirlik: ekran okuyucuların UI elemanlarına erişimi -- BazarBackdoor: accNavigate → süreç enjeksiyonu için accessibility hook -- Normal kullanım: MSAA (Microsoft Active Accessibility) -- Kötüye kullanım: başka sürecin penceresine erişim + enjeksiyon -- Alternatif APC/shellcode enjeksiyon vektörü
NoNetConnectDisconnect: Ağ Durumu Bayrağı
NoNetConnectDisconnect -- Ağ bağlantısı/kesintisi yönetimi bayrağı -- BazarBackdoor: belirli ağ durumlarında C2 bağlantısını yönetir -- "NoNet" → Disconnect etme! Bağlı kal! -- C2 dayanıklılığı: ağ kaybında yeniden bağlan
IOC
| SHA256 | 313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| DLL | DragTest.dll |
BazarBackdoor — 악성코드 프로필
BazarBackdoor BazaLoader TrickBot follow-on. DragTest.dll. accNavigate COM injection.
악성코드 유형
Backdoor
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Küresel
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — BazarBackdoor
# SHA256
313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 313a5c2146a7117f0bf844c53b5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |