18 lines
1.3 KiB
Text
18 lines
1.3 KiB
Text
|
rule crime_win64_backdoor_bazarbackdoor1 {
|
||
|
meta:
|
||
|
description = "Detects BazarBackdoor injected 64-bit malware"
|
||
|
author = "@VK_Intel"
|
||
|
reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
|
||
|
tlp = "white"
|
||
|
date = "2020-04-24"
|
||
|
id = "1e387791-97fa-527d-87ed-68872b1891c4"
|
||
|
strings:
|
||
|
$str1 = "%id%"
|
||
|
/* $str2 = "%d" // disabled due to performance concerns */
|
||
|
|
||
|
$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
|
||
|
$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
|
||
|
condition:
|
||
|
//( uint16(0) == 0x5a4d and ( 3 of them ) ) or ( all of them )
|
||
|
uint16(0) == 0x5a4d and all of them
|
||
|
}
|