Multi-License Discount Quote
Ohtude andmebaas Backdoors Kazuar

Kazuar

Aastaks GoldSparrow aastal Backdoors
Tõlgi:
Eesti

Teadlased on avastanud tagaukse troojalase nimega Kazuar. Leiti, et Kazuar on seotud spionaažikampaaniaga ja näib olevat kirjutatud Microsoft .NET Frameworkiga. Kazuar võimaldab ründajatel saada täielikku juurdepääsu ohustatud süsteemile.

Kazuaril on mitu potentsiaalset funktsiooni ja käsku, sealhulgas võimalus pluginaid kauglaadida. Need pistikprogrammid annavad troojalasele suuremad võimalused ja muudavad selle suuremaks ohuks. Täheldatud tüves oli ka kood, mis viitas sellele, et maailmas on olemas Kazuari Linuxi ja Maci versioonid. Üks asi, mis Kazuari puhul silma paistab, on see, et see töötab veebiserveriga ühendatud rakenduste programmeerimisliidese (API) kaudu ning see võib olla esimene – ja ainus – viirus, mis sel viisil toimib.

Kes on Kazuari taga?

Teadlased usuvad, et Kazuar on seotud Turlaga , APT (Advanced Persistent Threat) rühmaga, mis tegutseb ka nimede Snake ja Uroburos all. Turla on tuntud oma kõrgetasemeliste võimete ja pikaajalise Venemaa küberohugrupina, millel on väidetavalt sidemed Venemaa Föderaalse Julgeolekuteenistusega (FSB). Rühm võtab oma rünnakutega sihikule saatkonnad, haridusasutused, kaitsetöövõtjad ja uurimisorganisatsioonid. Turla koodis on mingi signatuur, mis identifitseerib tööriistad nende omadena, ja Kazuari jaoks kasutatud koodi saab jälgida vähemalt aastast 2005.

Turla on omal ajal kasutanud mitmeid tööriistu, millest enamik on kasutusele võetud ohustatud keskkondades rünnakute teises etapis. Kazuar võib olla üks uus viis, kuidas Turla kontsern toiminguid korraldab.

Mida Kazuar teeb?

Kazuar on tagaukse troojalane, mis on üks suurimaid digitaalsete ohtude kategooriaid. Tagaukse troojalased võivad olla kallid ja kõikehõlmavad programmid, millel on palju erinevaid võimalusi, või lihtsad programmid, mis ei tee muud kui pingivad serverit. Eelkõige Kagu-Aasia kasuarlinnu järgi nime saanud Kazuar on pigem traditsiooniline tagaukse troojalane. Kuigi Kazuar on suhteliselt lihtne, on sellel mõned peidetud funktsioonid, mis muudavad selle suuremaks ohuks kui tavalised tagaukse troojalased, nagu PowerStallion või Neuron .

Kazuar püüab vältida avastamist, kui Turla häkkerid koguvad oma sihtmärkidelt luureandmeid. Kuigi Kazuar on .NET Frameworki rakendus, on sellel ka funktsioone, mis muudavad selle ühilduvaks Maci ja Unixi/Linuxi süsteemidega. Seni on aga looduses nähtud vaid Windowsi variante.

Heitke pilk Kazuari koodile ja näete, kui palju tööd selle viirusega tehti. Kazuaril on täiustatud häälestusrutiin ja see suudab kohaneda haavatavate arvutitega, luues püsivuse mitme meetodi abil. Viirus loob DLL-e ning kasutab arvutis püsimiseks ära Windowsi teenuseid ja .NET Frameworki funktsioone. Kui viirus on töökorras, annab see ründajale teavet sihtarvuti kohta ja laseb neil kontrolli üle võtta. Ründajad saavad valikuliste moodulite kaudu üles laadida faile, teha ekraanipilte, aktiveerida veebikaameraid, kopeerida andmeid, käivitada käivitatavaid faile ja täita muid toiminguid.

Tasub arvestada API funktsiooniga. Sellised viirused ühenduvad peamiselt Command and Control serveritega (C2 serverid) ja ootavad juhiseid. Kazuar paistab silma, kuna suudab luua alati kuulava veebiserveri, mis aitab viirusel vältida tulemüüride ja pahavaratõrje tuvastamist.

Kuidas Kazuar arvuteid nakatab?

Kazuari pahavara nakatab arvuteid mitmel erineval viisil. Kõige levinumad on pahatahtliku tarkvara paketid, e-posti rämpspost, võrgu jagamine, pahatahtlikud lingid ja juurdepääs nakatunud mälupulkadele. Kazuar põhjustab teie arvutisse sattudes kindlasti tohutult kahju.

Ohvrid on teatanud, et nad peavad tegelema kõvaketta rikke, sagedaste krahhide, rikutud rakenduste ja muuga. See ei tähenda midagi tegelikust kahjust, mida see võib põhjustada rahalise kahju või identiteedivarguse osas. Peaksite astuma samme, et kaitsta end Kazuari eest ja eemaldada kõik nakkused niipea kui võimalik.

Sihtseadme nakatamisel kogub Kazuari pahavara teavet nakatunud hosti tarkvara ja riistvara kohta. Lisaks genereerib Kazuari oht kordumatu mutexi, mis põhineb kõvaketta seeria ID-l ja aktiivse kasutaja kasutajanimel. See ründe etapp aitab tuvastada, kas nakatunud arvutis töötab Kazuari pahavara kahte varianti. Kui see on lõpule viidud, jätkab Kazuari pahavara rünnakut, suurendades hosti püsivust. See saavutatakse süsteemi Windowsi registri muutmisega. Järgmisena loob Kazuari pahavara ühenduse oma operaatorite C&C (Command & Control) serveriga ja ootab, kuni nad talle käske annavad. Kazuari pahavara peamiste funktsioonide hulgas on järgmised:

  • Kasutaja aktiivsetest akendest ja töölauast ekraanipiltide tegemine.
  • Failide allalaadimine.
  • Failide üleslaadimine.
  • Filmi salvestamine süsteemi kaamera kaudu.
  • Töötavate protsesside haldamine.
  • Kaugkäskude täitmine.
  • Ohu aktiivsete pistikprogrammide loetlemine ja haldamine.
  • Enda ja oma C&C serverite loendi värskendamine.
  • Ennast hävitav.

    • See pikk võimaluste loetelu võimaldab Kazuari pahavaral põhjustada olulist kahju igale süsteemile, kuhu tal õnnestub tungida. Kuna on tõenäoline, et Kazuari ohu loojad töötavad selle pahavara OSX-iga ühilduva iteratsiooni kallal, on ohus veelgi rohkem kasutajaid. Oma süsteemi kaitsmiseks kahjurite, näiteks Kazuari ohu eest, laadige kindlasti alla ja installige ehtne pahavaratõrje tarkvarakomplekt, mis hoolitseb teie küberturvalisuse eest ja hoiab teie andmeid turvalisena.

    Turla juurutab Ukrainas sihtmärkide vastu uue Kazuari variandi

    Alates selle esmasest avastamisest 2017. aastal on Kazuar juhuslikult loodusesse sattunud, mõjutades peamiselt Euroopa valitsus- ja sõjalise sfääri organisatsioone. Selle seos Sunbursti tagauksega, mida tõendavad koodide sarnasused, rõhutab selle keerulist olemust. Kuigi pärast 2020. aasta lõppu pole uusi Kazuari näidiseid ilmunud, viitasid aruanded jätkuvatele arendustegevusele varjus.

    Värskendatud Kazuari koodi analüüs tõstab esile selle loojate ühiseid jõupingutusi selle varjamisvõimaluste parandamiseks, tuvastamismehhanismidest kõrvalehoidmiseks ja analüüsitegevuse nurjamiseks. See saavutatakse mitmesuguste täiustatud analüüsivastaste meetodite abil, mis on ühendatud tugevate krüpteerimis- ja hägusustehnikatega, et kaitsta pahavara koodi terviklikkust.

    Uue Kazuari pahavaravariandi põhifunktsioonid

    Tüüpilise Turla moodi kasutab Kazuar strateegiat, mille kohaselt kasutab kaaperdatud legitiimseid veebisaite oma juhtimis- ja juhtimistaristu (C2) jaoks, vältides seega eemaldamist. Lisaks hõlbustab Kazuar suhtlust nimega torude kaudu, kasutades mõlemat meetodit kaugkäskude või -ülesannete vastuvõtmiseks.

    Kazuar toetab oma C2 raamistikus 45 erinevat ülesannet, mis tähendab selle funktsionaalsuse märkimisväärset edu võrreldes varasemate versioonidega. Varasemad uuringud ei olnud mõnda neist ülesannetest dokumenteerinud. Seevastu 2017. aastal analüüsitud Kazuari esialgne variant toetas ainult 26 C2-käsku.

    Kazuari tunnustatud käskude loend hõlmab erinevaid kategooriaid, sealhulgas:

    • Hostiandmete kogumine
    • Laiendatud kohtuekspertiisi andmete kogumine
    • Failidega manipuleerimine
    • Suvaliste käskude täitmine
    • Suhtlemine Kazuari konfiguratsiooniseadetega
  • Windowsi registri päringute tegemine ja sellega manipuleerimine
  • Skriptide täitmine (VBS, PowerShell, JavaScript)
  • Kohandatud võrgupäringute saatmine
  • Volituste ja tundliku teabe vargus

    • Andmevargused on jätkuvalt Turla prioriteetide hulgas

    Kazuaril on võimalus koguda mandaate ohustatud arvuti erinevatest artefaktidest, mille käivitavad käsud, nagu 'varastada' või 'untatend', mis on saadud Command-and-Control (C2) serverist. Need artefaktid hõlmavad paljusid tuntud pilverakendusi.

    Lisaks saab Kazuar sihtida tundlikke faile, mis sisaldavad nende rakendustega seotud mandaate. Sihitud artefaktide hulgas on Git SCM (arendajate seas populaarne allika juhtimissüsteem) ja Signal (krüpteeritud sõnumsideplatvorm privaatse suhtluse jaoks).

    Unikaalse lahendaja lõime loomisel käivitab Kazuar automaatselt ulatusliku süsteemiprofiilide koostamise ülesande, mille loojad on nimetanud "first_systeminfo_do". See ülesanne hõlmab sihitud süsteemi põhjalikku kogumist ja profiilide koostamist. Kazuar kogub nakatunud masina kohta põhjalikku teavet, sealhulgas üksikasju operatsioonisüsteemi, riistvara spetsifikatsioonide ja võrgukonfiguratsiooni kohta.

    Kogutud andmed salvestatakse faili "info.txt", täitmislogid aga faili "logs.txt". Lisaks jäädvustab pahavara selle ülesande osana kasutaja ekraanist ekraanipildi. Seejärel koondatakse kõik kogutud failid ühte arhiivi, krüpteeritakse ja saadetakse C2-sse.

    Kazuar loob nakatunud seadmetes mitu automatiseeritud ülesannet

    Kazuar suudab luua automatiseeritud protseduure, mis käivituvad etteantud ajavahemike järel, et tuua andmeid ohustatud süsteemidest. Need automatiseeritud toimingud hõlmavad mitmesuguseid funktsioone, sealhulgas kõikehõlmava süsteemiteabe kogumist, nagu on üksikasjalikult kirjeldatud jaotises Üldine süsteemiprofiilimine, ekraanipiltide jäädvustamist, mandaatide väljavõtmist, kohtuekspertiisi andmete hankimist, automaatkäivitusandmete hankimist, failide hankimist määratud kaustadest, loendi koostamist. LNK-failid ja e-kirjade vargused MAPI abil.

    Need funktsioonid võimaldavad Kazuaril teostada süstemaatilist jälgimist ja nakatunud masinatest andmete väljavõtmist, andes pahatahtlikele osalejatele hulga tundlikku teavet. Neid automatiseeritud ülesandeid võimendades ühtlustab Kazuar luure- ja andmete väljafiltreerimise protsessi, suurendades selle tõhusust küberspionaaži ja pahatahtliku tegevuse vahendina.

    Värskendatud Kazuari pahavara on varustatud ulatuslike analüüsivastaste võimalustega

    Kazuar kasutab mitmesuguseid keerukaid analüüsivastaseid tehnikaid, mis on täpselt välja töötatud tuvastamisest ja kontrollimisest kõrvalehoidmiseks. Selle loojate programmeeritud Kazuar kohandab dünaamiliselt oma käitumist analüüsitegevuste olemasolu põhjal. Kui ta teeb kindlaks, et analüüsi ei tehta, jätkab Kazuar oma tegevust. Kui see aga tuvastab silumise või analüüsi viiteid, läheb see kohe jõudeolekusse, peatades igasuguse suhtluse oma käsu- ja juhtimisserveriga (C2).

    Dumpinguvastane

    Arvestades, et Kazuar toimib teises protsessis sisestatud komponendina, mitte autonoomse üksusena, on väljavaade saada selle kood hostprotsessi mälust. Selle haavatavuse vastu võitlemiseks kasutab Kazuar .NET-i tugevat funktsiooni System.Reflection nimeruumi. See võimalus annab Kazuarile paindlikkuse selle kooste, meetodite ja muude kriitiliste elementidega seotud metaandmete dünaamiliseks toomiseks reaalajas, tugevdades sellega tema kaitset võimalike koodiväljavõtete vastu.

    Lisaks rakendab Kazuar kaitsemeedet, kontrollides, kas seadistus antidump_methods on lubatud. Sellistel juhtudel tühistab see oma kohandatud meetoditele osutavad viited, jättes samas tähelepanuta üldised .NET-meetodid, kustutades need tõhusalt mälust. Nagu näitab Kazuari logitud sõnum, takistab see ennetav lähenemisviis teadlastel pahavara puutumatut versiooni välja võtmast, suurendades seeläbi selle vastupidavust analüüsi ja tuvastamise vastu.

    Honeypoti kontroll

    Oma esialgsete ülesannete hulgas otsib Kazuar usinalt, kas sihtmasinas on märke meepoti artefaktidest. Selle saavutamiseks viitab see eelnevalt määratletud protsessi- ja failinimede loendile, kasutades kõvakodeeritud lähenemisviisi. Kui Kazuar kohtab nende määratud failide või protsesside rohkem kui viis eksemplari, registreerib see avastuse viivitamatult meepoti olemasolule viitavana.

    Analüüsitööriistade kontroll

    Kazuar haldab eelmääratletud nimede loendit, mis esindavad erinevaid laialdaselt kasutatavaid analüüsitööriistu. See vaatab süstemaatiliselt nimekirja läbi süsteemi aktiivsete protsesside suhtes. Kui Kazuar tuvastab mõne nende tööriistade töö, registreerib leiu viivitamatult, näidates analüüsivahendite olemasolu.

    Liivakasti kontroll

    Kazuaril on eelnevalt kindlaksmääratud liivakastiteegid, mis on selle süsteemi sisse kodeeritud. See skaneerib, et tuvastada erinevate liivakastiteenustega seotud konkreetsed DLL-id. Nende failidega kokku puutudes järeldab Kazuar, et see töötab laborikeskkonnas, mis sunnib teda oma tegevuse lõpetama.

    Sündmuste logi monitor

    Kazuar kogub ja tõlgendab süstemaatiliselt Windowsi sündmuste logidesse salvestatud sündmusi. See sihib konkreetselt sündmusi, mis pärinevad pahavaratõrje- ja turbemüüjatelt. See tahtlik keskendumine ühtib laialdaselt kasutatavate turbetoodetega seotud tegevuste jälgimise strateegiaga, eeldades, et need tööriistad on potentsiaalsete sihtmärkide hulgas levinud.

    Kazuari pahavara kujutab digitaalruumis jätkuvalt suurt ohtu

    Hiljuti looduses tuvastatud Kazuari pahavara uusim variant demonstreerib mitmeid märkimisväärseid atribuute. See sisaldab tugevat koodi ja stringi hägustamise tehnikat koos mitmelõimelise mudeliga täiustatud jõudluse tagamiseks. Lisaks on rakendatud mitmeid krüpteerimisskeeme, et kaitsta Kazuari koodi analüüsi eest ja varjata selle andmeid, olgu see siis mälus, edastamise ajal või kettal. Nende funktsioonide eesmärk on ühiselt anda Kazuari tagauksele kõrgendatud varguse tase.

    Lisaks on sellel pahavara iteratsioonil keerukad analüüsivastased funktsioonid ja ulatuslikud süsteemiprofiilide koostamise võimalused. Tähelepanuväärne on selle spetsiifiline pilverakenduste sihtimine. Lisaks toetab see Kazuari versioon enam kui 40 erineva käsuga laia valikut, millest pooled olid küberjulgeoleku uurijate poolt varem dokumenteerimata.

    Kuidas kaitsta Kazuari eest

    Nagu igasuguste ohtude puhul, on peamine asi, mida saate oma arvuti kaitsmiseks teha, vältida meilimanuste ja linkide avamist. Ärge suhtlege meiliga, kui te ei tea, kust see tuli. Samuti varundage regulaarselt oma kõige olulisemad andmed. Aitab ka mitmest varukoopiast, sest mida rohkem varukoopiaid teil on, seda suurem on võimalus Kazuari või mõne muu pahavara korral asjad normaalseks saada.

    Viimaseks, kuid mitte vähemtähtsaks, soovite veenduda, et kõik teie programmid ja rakendused on ajakohased. Ärge unustage oma operatsioonisüsteemi liiga regulaarselt värskendada. Arvutiohud arenevad läbi operatsioonisüsteemide ja tarkvara ärakasutamise, nii et ärge laske neil viibida.

    Trendikas

    Enim vaadatud

    Laadimine...