Multi-License Discount Quote
Trusseldatabase Backdoors Kazuar

Kazuar

Med GoldSparrow i Backdoors
Oversæt til:
Dansk

Forskere har opdaget en bagdørstrojaner kaldet Kazuar. Kazuar viste sig at være forbundet med en spionagekampagne og ser ud til at være skrevet med Microsoft .NET Framework. Kazuar giver angribere mulighed for at få fuldstændig adgang til et kompromitteret system.

Kazuar har flere potentielle funktioner og kommandoer, herunder muligheden for at indlæse plugins eksternt. Disse plugins giver trojaneren større muligheder og gør den mere til en trussel. Der var også kode i den observerede stamme, der antydede, at der var Linux- og Mac-versioner af Kazuar derude i verden. En ting, der skiller sig ud ved Kazuar, er, at den fungerer via en Application Programming Interface (API) forbundet til en webserver, og det kan være den første – og eneste – virus, der virker på en sådan måde.

Hvem står bag Kazuar?

Forskere mener, at Kazuar er knyttet til Turla , en APT-gruppe (Advanced Persistent Threat), også kendt for at operere under navnene Snake og Uroburos . Turla er kendt for sine avancerede kapaciteter og for at være en langvarig russisk-baseret cybertrusselgruppe med påståede bånd til den russiske føderale sikkerhedstjeneste (FSB). Gruppen retter sig mod ambassader, uddannelsesinstitutioner, forsvarsentreprenører og forskningsorganisationer med deres angreb. Turla har noget af en signatur i deres kode, der identificerer værktøjer som deres, og koden, der blev brugt til Kazuar, kan i det mindste spores tilbage til 2005.

Turla har brugt en række værktøjer i deres tid, hvoraf de fleste er implementeret i anden fase af angreb i kompromitterede miljøer. Kazuar kan være en ny måde, som Turla-gruppen håndterer operationer på.

Hvad gør Kazuar?

Kazuar er en bagdørstrojaner, som er en af de største kategorier af digitale trusler. Bagdørstrojanske heste kan være dyre og omfattende programmer med en række muligheder, eller de kan være simple programmer, der ikke gør andet end at pinge en server. Især Kazuar, opkaldt efter kasuarfuglen i Sydøstasien, er mere en traditionel bagdørstrojaner. Selvom Kazuar er relativt grundlæggende, har den nogle skjulte funktioner, der gør den mere trussel end typiske bagdørstrojanske heste som PowerStallion eller Neuron .

Kazuar sætter sig for at undgå at blive opdaget, da Turla-hackere indsamler efterretninger fra deres mål. Selvom Kazuar er en .NET Framework-applikation, har den også funktioner, der gør den kompatibel med Mac- og Unix/Linux-systemer. Indtil videre er der dog kun set Windows-varianter i naturen.

Tag et kig på koden til Kazuar, og du vil se, hvor meget arbejde der blev lagt i denne virus. Kazuar har en forbedret opsætningsrutine og er i stand til at tilpasse sig sårbare computere ved at etablere persistens gennem en række metoder. Virussen skaber DLL'er og udnytter Windows-tjenester og .NET Framework-funktioner til at blive på en computer. Når virussen er oppe at køre, vil den give angriberen oplysninger om målcomputeren og lade dem tage kontrol. Angribere er i stand til at uploade filer, tage skærmbilleder, aktivere webcams, kopiere data, starte eksekverbare filer og udføre andre opgaver gennem valgfrie moduler.

Det er værd at lægge mærke til API-funktionen. Vira som denne forbinder primært til kommando- og kontrolservere (C2-servere) og venter på instruktioner. Kazuar skiller sig ud, fordi den kan skabe en altid lyttende webserver, der hjælper virussen med at undgå firewalls og anti-malware-detektioner.

Hvordan inficerer Kazuar computere?

Kazuar malware inficerer computere gennem flere forskellige metoder. De mest almindelige er ondsindede softwarepakker, e-mail-spam, netværksdeling, ondsindede links og adgang til inficerede flashdrev. Kazuar vil helt sikkert forårsage en enorm mængde skade, når den først kommer på din computer.

Ofre har rapporteret at skulle håndtere harddiskfejl, hyppige nedbrud, beskadigede applikationer og meget mere. Det vil ikke sige noget om den faktiske skade, det kunne gøre i form af økonomisk tab eller identitetstyveri. Du bør tage skridt til at beskytte dig selv mod Kazuar og fjerne enhver infektion så hurtigt som muligt.

Ved inficering af en målrettet enhed ville Kazuar-malwaren indsamle nogle oplysninger om softwaren og hardwaren på den inficerede vært. Desuden ville Kazuar-truslen generere en unik mutex baseret på harddiskens serie-id og den aktive brugers brugernavn. Dette trin af angrebet tjener til at opdage, om der er to varianter af Kazuar-malwaren, der kører på den inficerede computer. Når dette er afsluttet, vil Kazuar-malwaren fortsætte med angrebet ved at få vedholdenhed på værten. Dette opnås ved at ændre systemets Windows-registreringsdatabasen. Dernæst ville Kazuar-malwaren oprette forbindelse til C&C-serveren (Command & Control) hos dens operatører og vente på at blive givet kommandoer fra dem. Blandt hovedfunktionerne i Kazuar malware er:

  • Tager skærmbilleder af brugerens aktive vinduer og skrivebord.
  • Downloader filer.
  • Uploader filer.
  • Optagelse af optagelser via systemets kamera.
  • Styring af løbende processer.
  • Udførelse af fjernkommandoer.
  • Liste og administrere aktive plugins af truslen.
  • Opdaterer sig selv og dens liste over C&C-servere.
  • Selvdestruerende.

    • Denne lange liste af muligheder gør det muligt for Kazuar-malwaren at forårsage betydelig skade på ethvert system, den formår at infiltrere. Da det er sandsynligt, at skaberne af Kazuar-truslen arbejder på en OSX-kompatibel iteration af denne malware, vil endnu flere brugere være i fare. For at beskytte dit system mod skadedyr som Kazuar-truslen skal du sørge for at downloade og installere en ægte anti-malware-softwarepakke, der vil tage sig af din cybersikkerhed og holde dine data sikre.

    Turla implementerer ny Kazuar-variant mod mål i Ukraine

    Siden den første opdagelse i 2017 er Kazuar dukket op sporadisk i naturen, primært påvirket organisationer inden for europæiske regerings- og militærsfærer. Dens forbindelse til Sunburst- bagdøren, bevist af kodeligheder, understreger dens sofistikerede natur. Selvom der ikke er dukket nye Kazuar-prøver op siden slutningen af 2020, antydede rapporter en igangværende udviklingsindsats i skyggen.

    Analyse af den opdaterede Kazuar-kode fremhæver en samordnet indsats fra dens skabere for at forbedre dens stealth-kapaciteter, undgå registreringsmekanismer og modarbejde analysebestræbelser. Dette opnås gennem en række avancerede antianalysemetoder kombineret med robuste kryptering og sløringsteknikker for at beskytte malwarekodens integritet.

    Kernefunktionaliteten i den nye Kazuar Malware-variant

    På typisk Turla-måde anvender Kazuar en strategi med at bruge kaprede legitime websteder til sin Command and Control (C2) infrastruktur og dermed undgå nedtagninger. Derudover letter Kazuar kommunikation over navngivne rør, ved at bruge begge metoder til at modtage fjernkommandoer eller opgaver.

    Kazuar kan prale af understøttelse af 45 forskellige opgaver inden for sin C2-ramme, hvilket repræsenterer et bemærkelsesværdigt fremskridt i dets funktionalitet sammenlignet med tidligere versioner. Tidligere forskning havde ikke dokumenteret nogle af disse opgaver. I modsætning hertil understøttede den oprindelige variant af Kazuar analyseret i 2017 kun 26 C2-kommandoer.

    Kazuars liste over anerkendte kommandoer spænder over forskellige kategorier, herunder:

    • Værtsdataindsamling
    • Udvidet retsmedicinsk dataindsamling
    • Fil manipulation
    • Udførelse af vilkårlige kommandoer
    • Interagerer med Kazuars konfigurationsindstillinger
  • Forespørgsel og manipulation af Windows-registreringsdatabasen
  • Udførelse af scripts (VBS, PowerShell, JavaScript)
  • Sender tilpassede netværksanmodninger
  • Tyveri af legitimationsoplysninger og følsomme oplysninger

    • Datatyveri er fortsat blandt topprioriteterne for Turla

    Kazuar besidder evnen til at høste legitimationsoplysninger fra forskellige artefakter i den kompromitterede computer, udløst af kommandoer såsom 'stjæle' eller 'uovervåget' modtaget fra Command-and-Control-serveren (C2). Disse artefakter omfatter adskillige velkendte cloud-applikationer.

    Desuden kan Kazuar målrette mod følsomme filer, der indeholder legitimationsoplysninger forbundet med disse applikationer. Blandt de målrettede artefakter er Git SCM (et populært kildekontrolsystem blandt udviklere) og Signal (en krypteret meddelelsesplatform til privat kommunikation).

    Efter at have skabt en unik løsningstråd, starter Kazuar automatisk en omfattende systemprofileringsopgave, kaldet 'first_systeminfo_do' af dets skabere. Denne opgave indebærer en grundig indsamling og profilering af det målrettede system. Kazuar indsamler omfattende information om den inficerede maskine, herunder detaljer om operativsystemet, hardwarespecifikationer og netværkskonfiguration.

    De indsamlede data gemmes i en 'info.txt'-fil, mens eksekveringslogfiler gemmes i en 'logs.txt'-fil. Derudover tager malwaren som en del af denne opgave et skærmbillede af brugerens skærm. Alle indsamlede filer samles derefter i et enkelt arkiv, krypteres og sendes til C2.

    Kazuar etablerer flere automatiserede opgaver på de inficerede enheder

    Kazuar besidder evnen til at etablere automatiserede procedurer, der udføres med foruddefinerede intervaller med det formål at hente data fra kompromitterede systemer. Disse automatiserede opgaver omfatter en række funktioner, herunder indsamling af omfattende systemoplysninger som beskrevet i afsnittet om omfattende systemprofilering, optagelse af skærmbilleder, udtrækning af legitimationsoplysninger, indhentning af retsmedicinske data, indhentning af auto-run data, indhentning af filer fra udpegede mapper, kompilering af en liste over LNK-filer og stjålne e-mails ved brug af MAPI.

    Disse funktionaliteter gør det muligt for Kazuar at udføre systematisk overvågning og dataudtræk fra inficerede maskiner, hvilket bemyndiger ondsindede aktører med et væld af følsomme oplysninger. Ved at udnytte disse automatiserede opgaver strømliner Kazuar processen med rekognoscering og dataeksfiltrering og forbedrer dens effektivitet som et værktøj til cyberspionage og ondsindet aktivitet.

    Den opdaterede Kazuar Malware er udstyret med omfattende anti-analysefunktioner

    Kazuar anvender en række sofistikerede antianalyseteknikker, som er omhyggeligt designet til at undgå opdagelse og undersøgelse. Kazuar er programmeret af dets skabere og justerer dynamisk sin adfærd baseret på tilstedeværelsen af analyseaktiviteter. Da det fastslår, at der ikke er nogen analyse i gang, fortsætter Kazuar med sine operationer. Men hvis den opdager en indikation af fejlfinding eller analyse, går den straks ind i en inaktiv tilstand, hvilket stopper al kommunikation med dens Command and Control (C2) server.

    Anti-dumping

    I betragtning af at Kazuar fungerer som en injiceret komponent i en anden proces snarere end som en selvstændig enhed, er der udsigt til at udtrække dens kode fra værtsprocessens hukommelse. For at modvirke denne sårbarhed gør Kazuar dygtig brug af en robust funktion i .NET, System.Reflection Namespace. Denne evne giver Kazuar fleksibiliteten til at hente metadata vedrørende dets samling, metoder dynamisk og andre kritiske elementer i realtid, hvilket styrker dets forsvar mod potentielle kodeudtrækningsbestræbelser.

    Derudover implementerer Kazuar en defensiv foranstaltning ved at undersøge, om indstillingen antidump_methods er aktiveret. I sådanne tilfælde tilsidesætter den pointere til dets skræddersyede metoder, mens den ser bort fra generiske .NET-metoder, og sletter dem effektivt fra hukommelsen. Som det fremgår af Kazuars loggede besked, tjener denne proaktive tilgang til at forhindre forskere i at udtrække en intakt version af malwaren og derved forbedre dens modstandsdygtighed over for analyse og detektion.

    Honeypot Check

    Blandt sine indledende opgaver scanner Kazuar flittigt for tegn på honeypot-artefakter på målmaskinen. For at opnå dette refererer den til en foruddefineret liste over procesnavne og filnavne, der anvender en hårdkodet tilgang. Skulle Kazuar støde på mere end fem forekomster af disse specificerede filer eller processer, registrerer den omgående opdagelsen som en indikation af en honeypot-tilstedeværelse.

    Kontrol af analyseværktøjer

    Kazuar vedligeholder en liste over foruddefinerede navne, der repræsenterer forskellige udbredte analyseværktøjer. Den gennemgår systematisk vagten i forhold til de aktive processer på systemet. Efter at have opdaget driften af et af disse værktøjer, registrerer Kazuar øjeblikkeligt fundet, hvilket indikerer tilstedeværelsen af analyseværktøjer.

    Sandkassetjek

    Kazuar besidder et sæt forudbestemte sandkassebiblioteker, der er hårdkodet i sit system. Det udfører scanninger for at identificere specifikke DLL'er forbundet med forskellige sandbox-tjenester. Da Kazuar støder på disse filer, konkluderer Kazuar, at den kører i et laboratoriemiljø, hvilket får den til at indstille sine operationer.

    Event Log Monitor

    Kazuar samler og fortolker systematisk hændelser, der er registreret i Windows hændelseslogfiler. Det retter sig specifikt mod hændelser, der stammer fra et udvalg af anti-malware- og sikkerhedsleverandører. Dette bevidste fokus stemmer overens med dets strategi for overvågning af aktiviteter forbundet med udbredte sikkerhedsprodukter under den plausible antagelse, at disse værktøjer er fremherskende blandt potentielle mål.

    Kazuar-malwaren repræsenterer fortsat en stor trussel i det digitale rum

    Den seneste variant af Kazuar-malwaren, der for nylig blev identificeret i naturen, fremviser flere bemærkelsesværdige egenskaber. Den inkorporerer robuste kode- og strengobfuskationsteknikker sammen med en multitrådsmodel for forbedret ydeevne. Ydermere er en række krypteringssystemer implementeret for at beskytte Kazuars kode mod analyse og for at skjule dens data, hvad enten det er i hukommelsen, under transmissionen eller på disken. Disse funktioner sigter tilsammen på at give Kazuar-bagdøren et øget niveau af stealth.

    Derudover udviser denne iteration af malwaren sofistikerede anti-analysefunktioner og omfattende systemprofileringsfunktioner. Dens specifikke målretning af cloud-applikationer er bemærkelsesværdig. Desuden kan denne version af Kazuar prale af understøttelse af en omfattende række af over 40 forskellige kommandoer, hvor halvdelen af dem tidligere var udokumenterede af cybersikkerhedsforskere.

    Sådan beskyttes mod Kazuar

    Som med enhver form for trussel er den vigtigste ting, du kan gøre for at beskytte din computer, at undgå at åbne e-mail-vedhæftede filer og links. Interager ikke med e-mailen, hvis du ikke ved, hvor den kommer fra. Sørg også for at sikkerhedskopiere dine vigtigste data regelmæssigt. Det hjælper også at have flere sikkerhedskopier, da jo flere sikkerhedskopier du har, jo større er dine chancer for at få tingene tilbage til det normale i tilfælde af Kazuar eller anden malware.

    Sidst, men ikke mindst, vil du gerne sikre dig, at alle dine programmer og applikationer er opdaterede. Glem ikke at opdatere dit operativsystem for regelmæssigt. Computertrusler trives gennem udnyttelser i operativsystemer og software, så lad dem ikke blive hængende.

    Trending

    Mest sete

    Indlæser...