【安全资讯】Buer Loader加入恶意软件即服务（MaaS）

Buer亮相一年后，Buer的模块化装载机便成为Emotet和Trickbot的Bazar的替代产品。 

在2020年9月对Ryuk勒索软件攻击的调查中，我们发现Ryuk参与者使用了一种相对较新的方法来获得初始访问权限：一个名为Buer的恶意软件删除程序。在接下来的一个月中，随着Ryuk运营商试图加大攻击力度，将少量的鱼叉式网络钓鱼攻击演变成规模更大的垃圾邮件活动，其中携带Buer以及许多其他类型的“加载程序”恶意软件。

Buer于2019年8月首次推出，是一种恶意软件即服务产品。Buer以前与银行木马攻击和其他恶意软件部署联系在一起，而现在逐渐被勒索软件运营商接受。在许多方面，Buer可以替代Emotet和Trickbot新兴的Bazar装载机（它们都使用类似的行为进行部署）。

Buer最初于2019年8月20日在论坛上发布广告，标题为“ Modular Buer Loader”，其开发人员将其描述为“用纯C语言编写的新型模块化bot……”。 只需350美元（加上第三方担保人收取的任何费用），网络罪犯就可以购买定制的装载程序并从单个IP地址访问C＆C面板-收取25美元的更改地址费用。Buer的开发人员将每个帐户的用户限制为两个地址。

  Buer loader bot的命令和控制“面板”中的“文件管理器”。可以在此处上传文件以进行分发-最大大小为28 MB。 

  “ Buer”面板会根据操作系统设置，CPU，“位数”（32或64），活动以及安装所在的地理区域，根据本地化设置和其他指纹来跟踪安装。 

Buer可以安排任务在特定时间运行，也可以根据命令暂停任务，并将信息发送回面板。该面板还可以用于将更新程序部署到bot，包括模块部署，其中预构建的模块将作为服务的一部分“随着时间的推移”添加。当然，还提供设置咨询和技术支持。 

Buer Loader攻击流程

结论：

缓解这些攻击的最佳方法是加强对网络钓鱼攻击的培训。这些恶意电子邮件攻击目标时，通常措词笨拙，并以奇怪的方式使用目标的名称。但是，这些攻击变得越来越复杂，即使训练有素的用户也可能难以发现电子邮件中的错误链接。