Bazar loader 악성코드 분석 보고서

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다.  

Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다.

[그림] 동작 흐름도

Bazar 악성코드는 탐지 회피 및 은폐에 중점을 두고 있으며 2020년 4월에 등장한 이후 계속적인 프로그램 업데이트가 이루어지고 있음이 확인되고 있어 앞으로도 큰 위협이 될 것임은 분명합니다.

따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부파일 혹은 URL 클릭을 삼가야하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.

현재 알약에서는 해당 악성코드를 ‘Bazar loader’ 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.