Multi-License Discount Quote
Databáze hrozeb Backdoors Kazuar

Kazuar

V roce GoldSparrow v roce Backdoors
Přeložit do:
Čeština

Vědci objevili backdoor trojského koně zvaného Kazuar. Bylo zjištěno, že Kazuar je spojen se špionážní kampaní a zdá se, že je napsán pomocí Microsoft .NET Framework. Kazuar umožňuje útočníkům získat úplný přístup k napadenému systému.

Kazuar má několik potenciálních funkcí a příkazů, včetně schopnosti načítat pluginy na dálku. Tyto pluginy dávají trojskému koni větší možnosti a dělají z něj větší hrozbu. V pozorovaném kmeni byl také kód, který naznačoval, že na světě existují verze Kazuar pro Linux a Mac. Jedna věc, která na Kazuaru vyniká, je to, že funguje prostřednictvím aplikačního programovacího rozhraní (API) připojeného k webovému serveru a může to být první – a jediný – virus, který se chová tímto způsobem.

Kdo stojí za Kazuarem?

Výzkumníci se domnívají, že Kazuar je spojen s Turlou , skupinou APT (Advanced Persistent Threat), která je známá také tím, že působí pod jmény Snake a Uroburos . Turla je známá svými pokročilými schopnostmi a je dlouhodobou skupinou pro kybernetické hrozby se sídlem v Rusku s údajnými vazbami na ruskou Federální bezpečnostní službu (FSB). Skupina se svými útoky zaměřuje na ambasády, vzdělávací instituce, dodavatele obrany a výzkumné organizace. Turla má ve svém kódu něco jako podpis, který identifikuje nástroje jako jejich, a kód používaný pro Kazuar lze vysledovat přinejmenším do roku 2005.

Turla ve své době používala řadu nástrojů, z nichž většina je nasazena ve druhé fázi útoků v kompromitovaných prostředích. Kazuar by mohl být jedním z nových způsobů, jak skupina Turla zvládá operace.

Co dělá Kazuar?

Kazuar je backdoor trojan, který je jednou z největších kategorií digitálních hrozeb. Trojské koně typu Backdoor mohou být drahé a komplexní programy s řadou funkcí nebo to mohou být jednoduché programy, které nedělají nic jiného než ping na server. Zejména Kazuar, pojmenovaný podle kasuára z jihovýchodní Asie, je spíše tradičním trojským koněm typu backdoor. I když je Kazuar relativně základní, má některé skryté funkce, které z něj dělají větší hrozbu než typické backdoor trojské koně jako PowerStallion nebo Neuron .

Kazuar se snaží vyhnout odhalení, protože hackeři Turly shromažďují informace ze svých cílů. I když je Kazuar aplikací .NET Framework, má také funkce, díky kterým je kompatibilní se systémy Mac a Unix/Linux. Zatím však byly ve volné přírodě spatřeny pouze varianty Windows.

Podívejte se na kód pro Kazuar a uvidíte, kolik práce bylo s tímto virem vloženo. Kazuar má vylepšenou instalační rutinu a je schopen se přizpůsobit zranitelným počítačům tím, že zavede stálost pomocí řady metod. Virus vytváří knihovny DLL a využívá služby Windows a funkce .NET Framework, aby zůstal v počítači. Jakmile je virus spuštěn, poskytne útočníkovi informace o cílovém počítači a nechá ho převzít kontrolu. Prostřednictvím volitelných modulů mohou útočníci nahrávat soubory, pořizovat snímky obrazovky, aktivovat webové kamery, kopírovat data, spouštět spustitelné soubory a provádět další úkoly.

Stojí za to vzít na vědomí funkci API. Viry, jako je tento, se primárně připojují k serverům Command and Control (servery C2) a čekají na pokyny. Kazuar vyniká tím, že dokáže vytvořit neustále naslouchající webový server, který viru pomáhá vyhýbat se firewallům a detekci malwaru.

Jak Kazuar infikuje počítače?

Malware Kazuar infikuje počítače několika různými metodami. Nejběžnější jsou balíčky škodlivého softwaru, e-mailový spam, sdílení v síti, škodlivé odkazy a přístup k infikovaným flash diskům. Kazuar určitě způsobí obrovské škody, jakmile se dostane do vašeho počítače.

Oběti uvedly, že se musely vypořádat se selháním pevného disku, častými pády, poškozenými aplikacemi a dalšími. To neříká nic o skutečné škodě, kterou by to mohlo způsobit ve smyslu finanční ztráty nebo krádeže identity. Měli byste podniknout kroky k ochraně před Kazuarem a odstranit jakoukoli infekci, jakmile to bude možné.

Po infikování cíleného zařízení by malware Kazuar shromáždil některé informace týkající se softwaru a hardwaru infikovaného hostitele. Kromě toho by hrozba Kazuar vygenerovala jedinečný mutex na základě sériového ID pevného disku a uživatelského jména aktivního uživatele. Tento krok útoku slouží ke zjištění, zda na infikovaném počítači běží dvě varianty malwaru Kazuar. Jakmile je toto dokončeno, malware Kazuar bude pokračovat v útoku tím, že získá perzistenci na hostiteli. Toho je dosaženo úpravou registru systému Windows. Dále by se malware Kazuar připojil k serveru C&C (Command & Control) svých operátorů a čekal, až mu budou dány příkazy. Mezi hlavní rysy malwaru Kazuar patří:

  • Pořizování snímků obrazovky aktivních oken a plochy uživatele.
  • Stahování souborů.
  • Nahrávání souborů.
  • Záznam záběrů prostřednictvím systémové kamery.
  • Správa běžících procesů.
  • Provádění vzdálených příkazů.
  • Výpis a správa aktivních pluginů hrozby.
  • Aktualizuje sebe a svůj seznam C&C serverů.
  • Sebedestruktivní.

    • Tento dlouhý seznam schopností umožňuje malwaru Kazuar způsobit značné poškození jakéhokoli systému, do kterého se mu podaří infiltrovat. Vzhledem k tomu, že je pravděpodobné, že tvůrci hrozby Kazuar pracují na iteraci tohoto malwaru kompatibilní s OSX, bude ohroženo ještě více uživatelů. Chcete-li chránit svůj systém před škůdci, jako je hrozba Kazuar, nezapomeňte si stáhnout a nainstalovat originální sadu softwaru proti malwaru, která se postará o vaši kybernetickou bezpečnost a uchová vaše data v bezpečí.

    Turla nasazuje novou variantu Kazuar proti cílům na Ukrajině

    Od své první detekce v roce 2017 se Kazuar sporadicky objevuje ve volné přírodě, což postihuje především organizace v rámci evropské vládní a vojenské sféry. Jeho spojení se zadními vrátky Sunburst , doložené podobnostmi kódu, podtrhuje jeho sofistikovanou povahu. I když se od konce roku 2020 neobjevily žádné nové vzorky Kazuar, zprávy naznačovaly pokračující vývojové úsilí ve stínu.

    Analýza aktualizovaného kódu Kazuar podtrhuje soustředěné úsilí jeho tvůrců zlepšit jeho schopnosti utajení, vyhnout se detekčním mechanismům a mařit snahy o analýzu. Toho je dosaženo prostřednictvím řady pokročilých antianalytických metod ve spojení s robustními šifrovacími a matovacími technikami pro ochranu integrity malwarového kódu.

    Základní funkce nové varianty malwaru Kazuar

    V typickém stylu Turly používá Kazuar strategii využití unesených legitimních webových stránek pro svou infrastrukturu velení a řízení (C2), čímž se vyhýbá zastavování. Kromě toho Kazuar usnadňuje komunikaci přes pojmenované kanály a využívá obě metody k přijímání vzdálených příkazů nebo úkolů.

    Kazuar se může pochlubit podporou pro 45 různých úloh v rámci C2, což představuje významný pokrok v jeho funkčnosti ve srovnání s předchozími verzemi. Předchozí výzkum některé z těchto úkolů nezdokumentoval. Oproti tomu původní varianta Kazuaru analyzovaná v roce 2017 podporovala pouze 26 příkazů C2.

    Seznam uznávaných příkazů Kazuar zahrnuje různé kategorie, včetně:

    • Sběr dat hostitele
    • Rozšířené shromažďování forenzních dat
    • Manipulace se soubory
    • Provádění libovolných příkazů
    • Interakce s konfiguračním nastavením Kazuar
  • Dotazování a manipulace s registrem Windows
  • Spouštění skriptů (VBS, PowerShell, JavaScript)
  • Odesílání vlastních síťových požadavků
  • Krádež přihlašovacích údajů a citlivých informací

    • Krádež dat zůstává pro Turla jednou z hlavních priorit

    Kazuar má schopnost získávat přihlašovací údaje z různých artefaktů v napadeném počítači, spouštěných příkazy jako 'steal' nebo 'unattend' přijatými ze serveru Command-and-Control (C2). Tyto artefakty zahrnují řadu známých cloudových aplikací.

    Kromě toho může Kazuar cílit na citlivé soubory obsahující přihlašovací údaje spojené s těmito aplikacemi. Mezi cílené artefakty patří Git SCM (oblíbený systém řízení zdrojů mezi vývojáři) a Signal (platforma pro šifrované zasílání zpráv pro soukromou komunikaci).

    Po vytvoření jedinečného vlákna řešitele Kazuar automaticky zahájí rozsáhlou úlohu profilování systému, kterou její tvůrci nazvali „first_systeminfo_do“. Tento úkol zahrnuje důkladný sběr a profilování cílového systému. Kazuar shromažďuje komplexní informace o infikovaném počítači, včetně podrobností o operačním systému, specifikacích hardwaru a konfiguraci sítě.

    Shromážděná data jsou uložena v souboru 'info.txt', zatímco protokoly provádění jsou uloženy v souboru 'logs.txt'. Kromě toho v rámci tohoto úkolu malware pořídí snímek obrazovky uživatele. Všechny shromážděné soubory jsou pak spojeny do jednoho archivu, zašifrovány a odeslány do C2.

    Kazuar zavádí více automatických úloh na infikovaných zařízeních

    Kazuar má schopnost zavést automatizované postupy, které se provádějí v předem definovaných intervalech za účelem získávání dat z kompromitovaných systémů. Tyto automatizované úlohy zahrnují řadu funkcí, včetně shromažďování komplexních systémových informací, jak je podrobně popsáno v sekci Komplexní profilování systému, pořizování snímků obrazovky, extrahování přihlašovacích údajů, získávání forenzních dat, získávání automaticky spouštěných dat, získávání souborů z určených složek, sestavování seznamu LNK soubory a krádeže e-mailů pomocí MAPI.

    Tyto funkce umožňují společnosti Kazuar provádět systematické sledování a extrakci dat z infikovaných počítačů, čímž umožňují zlomyslným aktérům množství citlivých informací. Využitím těchto automatizovaných úkolů Kazuar zefektivňuje proces průzkumu a exfiltrace dat a zvyšuje jeho efektivitu jako nástroje pro kybernetickou špionáž a zákeřnou činnost.

    Aktualizovaný malware Kazuar je vybaven rozsáhlými antianalytickými schopnostmi

    Kazuar využívá řadu sofistikovaných antianalytických technik pečlivě navržených tak, aby se vyhnuly detekci a kontrole. Kazuar, naprogramovaný svými tvůrci, dynamicky upravuje své chování na základě přítomnosti analytických aktivit. Když zjistí, že neprobíhá žádná analýza, Kazuar pokračuje ve svých operacích. Pokud však zjistí jakýkoli náznak ladění nebo analýzy, okamžitě přejde do klidového stavu a zastaví veškerou komunikaci se svým serverem Command and Control (C2).

    Antidumping

    Vzhledem k tomu, že Kazuar funguje jako vložená komponenta v rámci jiného procesu spíše než jako autonomní entita, rýsuje se vyhlídka na extrahování jeho kódu z paměti hostitelského procesu. K potlačení této zranitelnosti Kazuar obratně využívá robustní funkci v rámci .NET, jmenný prostor System.Reflection. Tato schopnost umožňuje Kazuaru agilitu získávat metadata týkající se jeho sestavení, metod dynamicky a dalších kritických prvků v reálném čase, čímž posiluje jeho obranu proti potenciálnímu úsilí o extrakci kódu.

    Kromě toho Kazuar implementuje obranné opatření tím, že zkontroluje, zda je povoleno nastavení antidump_methods. V takových případech přepíše ukazatele na své vlastní metody, přičemž nebere v úvahu obecné metody .NET a efektivně je vymaže z paměti. Jak dokazuje protokol Kazuar, tento proaktivní přístup slouží k tomu, aby bránil výzkumníkům v extrahování neporušené verze malwaru, čímž se zvyšuje jeho odolnost vůči analýze a detekci.

    Honeypot Check

    Mezi svými počátečními úkoly Kazuar pilně prohledává jakékoli známky artefaktů honeypotu na cílovém stroji. K dosažení tohoto cíle odkazuje na předdefinovaný seznam názvů procesů a názvů souborů, přičemž využívá pevně zakódovaný přístup. Pokud Kazuar narazí na více než pět instancí těchto specifikovaných souborů nebo procesů, okamžitě zaznamená nález jako indikátor přítomnosti honeypotu.

    Kontrola analytických nástrojů

    Kazuar udržuje seznam předdefinovaných názvů představujících různé široce používané analytické nástroje. Systematicky porovnává seznam s aktivními procesy v systému. Po zjištění činnosti kteréhokoli z těchto nástrojů Kazuar okamžitě zaregistruje nález a indikuje přítomnost analytických nástrojů.

    Kontrola pískoviště

    Kazuar vlastní sadu předem určených knihoven sandbox pevně zakódovaných do svého systému. Provádí skenování, aby identifikoval konkrétní knihovny DLL spojené s různými službami sandboxu. Když Kazuar narazí na tyto soubory, dojde k závěru, že běží v laboratorním prostředí, což jej vyzve k zastavení činnosti.

    Monitor protokolu událostí

    Kazuar systematicky shromažďuje a interpretuje události zaznamenané v protokolech událostí systému Windows. Konkrétně se zaměřuje na události pocházející od vybraných dodavatelů antimalwaru a zabezpečení. Toto záměrné zaměření je v souladu s její strategií monitorování aktivit spojených s široce používanými bezpečnostními produkty za věrohodného předpokladu, že tyto nástroje jsou mezi potenciálními cíli převládající.

    Malware Kazuar nadále představuje hlavní hrozbu v digitálním prostoru

    Nejnovější varianta malwaru Kazuar, nedávno identifikovaná ve volné přírodě, představuje několik pozoruhodných atributů. Zahrnuje robustní kódové a řetězcové obfuskační techniky spolu s vícevláknovým modelem pro vyšší výkon. Kromě toho je implementována řada šifrovacích schémat pro ochranu kódu Kazuar před analýzou a pro ukrytí jeho dat, ať už v paměti, během přenosu nebo na disku. Tyto funkce společně mají za cíl vybavit zadní vrátka Kazuar zvýšenou úrovní utajení.

    Tato iterace malwaru navíc vykazuje sofistikované antianalytické funkce a rozsáhlé možnosti profilování systému. Pozoruhodné je jeho specifické zacílení na cloudové aplikace. Kromě toho se tato verze Kazuaru může pochlubit podporou pro rozsáhlou řadu více než 40 různých příkazů, přičemž polovina z nich dříve nebyla zdokumentována výzkumníky v oblasti kybernetické bezpečnosti.

    Jak se chránit před Kazuarem

    Stejně jako u všech druhů hrozeb je hlavní věcí, kterou můžete pro ochranu svého počítače udělat, vyhnout se otevírání e-mailových příloh a odkazů. Neinteragujte s e-mailem, pokud nevíte, odkud přišel. Nezapomeňte také pravidelně zálohovat nejdůležitější data. Pomáhá také mít více záloh, protože čím více záloh máte, tím vyšší je vaše šance, že se věci vrátí do normálu v případě Kazuar nebo jiného malwaru.

    V neposlední řadě se chcete ujistit, že všechny vaše programy a aplikace jsou aktuální. Nezapomeňte příliš pravidelně aktualizovat svůj operační systém. Počítačovým hrozbám se daří díky exploitům v operačních systémech a softwaru, takže je nenechte otálet.

    Trendy

    Nejvíce shlédnuto

    E-mailový podvod „Geek Squad“.

    Phishing, Spam
    36,927
    Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
    Načítání...