Sneed-Reactivity/yara-Neo23x0/crime_bazarbackdoor.yar

18 lines
1.3 KiB
Text
Raw Permalink Normal View History

rule crime_win64_backdoor_bazarbackdoor1 {
meta:
description = "Detects BazarBackdoor injected 64-bit malware"
author = "@VK_Intel"
reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
tlp = "white"
date = "2020-04-24"
id = "1e387791-97fa-527d-87ed-68872b1891c4"
strings:
$str1 = "%id%"
/* $str2 = "%d" // disabled due to performance concerns */
$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
condition:
//( uint16(0) == 0x5a4d and ( 3 of them ) ) or ( all of them )
uint16(0) == 0x5a4d and all of them
}