深入分析新出现的Team9恶意软件

在2020年4月下旬公开发现的Team9恶意软件家族（也称为“Bazar [1]”）似乎是由Trickbot背后的团队开发的一种新恶意软件。尽管该恶意软件的开发才刚刚开始，但开发人员已经开发了两个具有丰富功能的组件。这篇文章的目的是描述两个组件的功能，即加载器和后门。

RIFT利用研究人员的战略分析，数据科学和威胁搜寻功能来创建可行的威胁情报，从IOC，检测规则到关于未来威胁情况的战略报告。网络安全是一场军备竞赛，攻击者和防御者都不断更新和改进其工具和工作方式。为了确保托管服务对最新威胁具有预警作用，NCC Group运营了一个以Fox-IT为核心的全球融合中心。这个多学科团队将研究人员领先的网络威胁情报转化为强大的检测策略。

Team9装载机的早期变体

研究人员估计这是Team9加载程序（35B3FE2331A4A7D83D203E75ECE5189B7D6D06AF4ABAC8906348C0720B6278A4）的较早版本，因为它简单且有编译时间标记。另一个变体是最近才编译的，具有其他功能。需要注意的是，在加载器二进制文件的早期版本(2342C736572AB7448EF8DA2540CDBF0BAE72625E41DAB8FFF58866413854CA5C)中，开发人员使用Windows位功能来下载后门。但是，我们认为这个功能已经被删除了。

在继续进行技术分析之前，值得一提的是，字符串未加密。同样，大多数Windows API函数都不是动态加载的。

当加载程序开始执行时，它会尝试通过读取“运行”注册表项“Software \ Microsoft \ Windows \ CurrentVersion \ Run”中的值“BackUp Mgr”来检查自身的另一个实例是否已经感染了主机（图1）。 ）。如果存在，它将验证当前加载程序文件路径是否与注册表值的数据（Backup Mgr）中已设置的路径相同。假设以上所有检查均成功，则加载程序将继续其核心功能。

加载程序会验证它是否已经感染了主机

但是，如果以上任何一项检查均不符合要求，那么加载程序将执行以下操作：

1.将其自身复制到％APPDATA％\ Microsoft文件夹，将此文件路径添加到值“Backup Mgr”下的注册表的“运行”项中，然后从复制的位置执行加载程序。

2.如果加载程序无法访问％APPDATA％位置，或者如果加载程序已从该位置运行，则它将当前文件路径添加到值“Backup Mgr”下的“运行”注册表项中，然后从该位置再次执行加载程序。

持久性操作完成后，加载程序通过在Windows临时文件夹中写入批处理文件来进行自我删除，该批处理文件的文件名前缀为“tmp”，后面跟着随机数字。批处理文件内容如下：

@echo off
set Module=%1
:Repeat
del %Module%
if exist %Module% goto Repeat
del %0

接下来，加载程序确定Windows架构结构，这是一个至关重要的步骤，因为加载程序需要知道要下载哪个后门版本（32位或64位）。确定Windows架构结构后，加载程序将执行下载。

加载程序的核心功能是下载Team9后门组件，加载程序包含两个“.bazar”顶级域，它们指向Team9后门，每个域在不同的URI上托管两个版本的Team9后门，每个URI对应一个Windows架构结构(32位和64位)，使用两个域很可能是一种备份方法。

从命令和控制服务器收到的所有文件都以加密格式发送，为了解密文件，加载程序使用按位XOR解密，其密钥基于受感染主机的系统时间（年/月/日）。

根据受感染主机的时间生成XOR密钥

最后一步，加载程序通过验证PE标头来验证可执行文件是否已成功解密。如果Windows架构结构是32位，则加载程序会使用“Process Hollowing”技术将接收到的可执行文件注入到“calc.exe”（Windows计算器）中。否则，它将可执行文件写入磁盘并执行它。

下表总结了在装载程序的早期变体中找到的已识别的Bazar域及其URI。

在加载程序的早期变体中发现的Bazar URI

下表（表2）总结了在加载程序的早期变体中找到的已识别域。

Bazar domains    
bestgame[.]bazar    
forgame[.]bazar    
zirabuo[.]bazar    
tallcareful[.]bazar    
coastdeny[.]bazar

在装载机的早期变型中发现的Bazar域

最后，另一个有趣的发现是二进制文件中的日志功能揭示了以下项目文件路径：

d:\\development\\team9\\team9_restart_loader\\team9_restart_loader

Team9装载机的最新变体

在本节中，研究人员描述了第二个加载器的功能，研究人员认为它是上述Team9加载器的最新变体。该评估基于以下三个因素：

1.后门请求中的类似URI；

2.类似的有效载荷解密技术；

3.类似的代码块；

与以前的版本不同，这些字符串经过加密，并且使用Windows API哈希技术动态加载了大多数Windows API函数。

一旦执行，加载程序将使用计时器以延迟执行。这很可能是一种防沙箱方法，延迟时间过去之后，加载程序将开始执行其核心功能。