Multi-License Discount Quote
Uhatietokanta Backdoors Kazuar

Kazuar

Vuonna GoldSparrow vuonna Backdoors
Käännä:
Suomi

Tutkijat ovat löytäneet takaoven troijalaisen nimeltä Kazuar. Kazuarin havaittiin liittyvän vakoilukampanjaan, ja se näyttää olevan kirjoitettu Microsoft .NET Frameworkilla. Kazuarin avulla hyökkääjät voivat saada täydellisen pääsyn vaarantuneeseen järjestelmään.

Kazuarilla on useita mahdollisia toimintoja ja komentoja, mukaan lukien mahdollisuus ladata laajennuksia etänä. Nämä lisäosat antavat troijalaiselle enemmän ominaisuuksia ja tekevät siitä enemmän uhkaa. Havaitussa kannassa oli myös koodia, joka viittasi siihen, että Kazuarista oli Linux- ja Mac-versioita maailmassa. Yksi Kazuarissa erottuva asia on se, että se toimii verkkopalvelimeen yhdistetyn sovellusohjelmointirajapinnan (API) kautta, ja se saattaa olla ensimmäinen – ja ainoa – virus, joka toimii tällä tavalla.

Kuka on Kazuarin takana?

Tutkijat uskovat, että Kazuar liittyy Turlaan , APT (Advanced Persistent Threat) -ryhmään, jonka tiedetään toimivan myös nimillä Snake ja Uroburos . Turla tunnetaan edistyneistä kyvyistään ja on pitkäaikainen venäläinen kyberuhkaryhmä, jolla väitetään olevan yhteyksiä Venäjän liittovaltion turvallisuuspalveluun (FSB). Ryhmä kohdistaa hyökkäyksillään suurlähetystöjä, oppilaitoksia, puolustusalan urakoitsijoita ja tutkimusorganisaatioita. Turlan koodissa on sellainen allekirjoitus, joka tunnistaa työkalut heidän omakseen, ja Kazuarissa käytetty koodi voidaan jäljittää ainakin vuoteen 2005.

Turla on käyttänyt aikanaan useita työkaluja, joista suurin osa on otettu käyttöön hyökkäysten toisessa vaiheessa vaarantuneissa ympäristöissä. Kazuar voisi olla yksi uusi tapa, jolla Turla-konserni hoitaa toimintaansa.

Mitä Kazuar tekee?

Kazuar on takaoven troijalainen, joka on yksi suurimmista digitaalisten uhkien luokista. Backdoor-troijalaiset voivat olla kalliita ja kattavia ohjelmia, joissa on erilaisia ominaisuuksia, tai ne voivat olla yksinkertaisia ohjelmia, jotka eivät tee muuta kuin ping-koivaa palvelimelle. Erityisesti Kaakkois-Aasian kasuarilinnun mukaan nimetty Kazuar on enemmän perinteinen takaoven troijalainen. Vaikka Kazuar on suhteellisen yksinkertainen, siinä on joitain piilotettuja ominaisuuksia, jotka tekevät siitä enemmän uhkaa kuin tyypilliset takaoven troijalaiset, kuten PowerStallion tai Neuron .

Kazuar pyrkii välttämään sen havaitsemisen, kun Turlan hakkerit keräävät tiedustelutietoja kohteistaan. Vaikka Kazuar on .NET Framework -sovellus, siinä on myös ominaisuuksia, jotka tekevät siitä yhteensopivan Mac- ja Unix/Linux-järjestelmien kanssa. Toistaiseksi luonnossa on kuitenkin havaittu vain Windows-versioita.

Katso Kazuarin koodia, niin näet kuinka paljon työtä tämän viruksen eteen on tehty. Kazuarilla on parannettu asennusrutiini, ja se pystyy mukautumaan haavoittuviin tietokoneisiin varmistamalla pysyvyyden useilla menetelmillä. Virus luo DLL-tiedostoja ja hyödyntää Windowsin palveluita ja .NET Frameworkin toimintoja pysyäkseen tietokoneella. Kun virus on käynnistynyt, se antaa hyökkääjälle tietoja kohdetietokoneesta ja antaa heidän ottaa hallintaansa. Hyökkääjät voivat ladata tiedostoja, ottaa kuvakaappauksia, aktivoida verkkokameroita, kopioida tietoja, käynnistää suoritettavia tiedostoja ja suorittaa muita tehtäviä valinnaisten moduulien kautta.

API-ominaisuus kannattaa huomioida. Tämänkaltaiset virukset muodostavat ensisijaisesti yhteyden Command and Control -palvelimiin (C2-palvelimet) ja odottavat ohjeita. Kazuar erottuu edukseen, koska se voi luoda aina kuuntelevan verkkopalvelimen, joka auttaa viruksia välttämään palomuureja ja haittaohjelmien torjuntaa.

Kuinka Kazuar saastuttaa tietokoneet?

Kazuar-haittaohjelma saastuttaa tietokoneet useilla eri tavoilla. Yleisimpiä ovat haittaohjelmapaketit, sähköpostiroskaposti, verkon jakaminen, haitalliset linkit ja tartunnan saaneiden flash-asemien käyttö. Kazuar aiheuttaa varmasti valtavan määrän vahinkoa, kun se pääsee tietokoneellesi.

Uhrit ovat raportoineet joutuneensa käsittelemään kiintolevyvikoja, toistuvia kaatumisia, vioittuneita sovelluksia ja paljon muuta. Se ei tarkoita todellista vahinkoa, jota se voi aiheuttaa taloudellisen menetyksen tai identiteettivarkauden vuoksi. Sinun tulee ryhtyä toimiin suojautuaksesi Kazuaria vastaan ja poistaaksesi kaikki infektiot mahdollisimman pian.

Tartuntaessaan kohteena olevan laitteen Kazuar-haittaohjelma kerää tietoja tartunnan saaneen isännän ohjelmistoista ja laitteistoista. Lisäksi Kazuar-uhka luo ainutlaatuisen mutexin kiintolevyn sarjatunnuksen ja aktiivisen käyttäjän käyttäjätunnuksen perusteella. Tämän hyökkäyksen vaiheen tarkoituksena on havaita, onko tartunnan saaneessa tietokoneessa käynnissä kaksi Kazuar-haittaohjelmaversiota. Kun tämä on valmis, Kazuar-haittaohjelma jatkaa hyökkäystä saamalla isännässä pysyvyyden. Tämä saavutetaan muokkaamalla järjestelmän Windows-rekisteriä. Seuraavaksi Kazuar-haittaohjelma muodostaisi yhteyden operaattoreidensa C&C (Command & Control) -palvelimeen ja odotti heidän antamiaan komentoja. Kazuar-haittaohjelman tärkeimpiä ominaisuuksia ovat:

  • Kuvakaappausten ottaminen käyttäjän aktiivisista ikkunoista ja työpöydästä.
  • Tiedostojen lataaminen.
  • Tiedostojen lataaminen.
  • Tallennusmateriaalia järjestelmän kameran kautta.
  • Käynnissä olevien prosessien hallinta.
  • Etäkomentojen suorittaminen.
  • Uhan aktiivisten lisäosien luettelointi ja hallinta.
  • Päivitetään itseään ja sen C&C-palvelimien luetteloa.
  • Itseään tuhoava.

    • Tämän pitkän ominaisuuksien luettelon ansiosta Kazuar-haittaohjelma voi aiheuttaa merkittäviä vahinkoja kaikille järjestelmille, joihin se onnistuu tunkeutumaan. Koska on todennäköistä, että Kazuar-uhan luojat työskentelevät tämän haittaohjelman OSX-yhteensopivan iteroinnin parissa, entistä useammat käyttäjät ovat vaarassa. Suojaa järjestelmääsi tuholaisilta, kuten Kazuar-uhat, lataa ja asenna aito haittaohjelmien torjuntaohjelmistopaketti, joka huolehtii kyberturvallisuudestasi ja pitää tietosi turvassa.

    Turla ottaa käyttöön uuden Kazuar-variantin Targetsia vastaan Ukrainassa

    Alkuperäisestä havaitsemisestaan vuonna 2017 lähtien Kazuar on esiintynyt satunnaisesti luonnossa, ja se on vaikuttanut ensisijaisesti Euroopan hallinto- ja sotilaselämän organisaatioihin. Sen yhteys Sunburstin takaoveen, josta on osoituksena koodin yhtäläisyydet, korostaa sen hienostuneisuutta. Vaikka uusia Kazuar-näytteitä ei ole ilmestynyt vuoden 2020 lopun jälkeen, raportit ehdottivat jatkuvaa kehitystyötä varjossa.

    Päivitetyn Kazuar-koodin analyysi korostaa sen tekijöiden yhteistä pyrkimystä parantaa sen salailukykyä, kiertää havaitsemismekanismeja ja estää analysointipyrkimykset. Tämä saavutetaan monilla kehittyneillä anti-analyysimenetelmillä yhdistettynä vankoihin salaus- ja hämärätekniikoihin haittaohjelmakoodin eheyden turvaamiseksi.

    Uuden Kazuar-haittaohjelmaversion ydintoiminnot

    Tyypilliseen Turlan tapaan Kazuar käyttää strategiaa hyödyntää kaapattuja laillisia verkkosivustoja Command and Control (C2) -infrastruktuurissaan ja välttää näin poistot. Lisäksi Kazuar helpottaa kommunikaatiota nimettyjen putkien kautta hyödyntäen molempia menetelmiä etäkomentojen tai -tehtävien vastaanottamiseen.

    Kazuar tukee 45 erillistä tehtävää C2-kehyksessään, mikä edustaa huomattavaa edistystä sen toimivuudessa aiempiin versioihin verrattuna. Aiemmat tutkimukset eivät olleet dokumentoineet kaikkia näistä tehtävistä. Sitä vastoin vuonna 2017 analysoitu Kazuarin alkuperäinen versio tuki vain 26 C2-komentoa.

    Kazuarin tunnistettujen komentojen luettelo kattaa useita luokkia, mukaan lukien:

    • Isäntätietojen kerääminen
    • Laajennettu rikosteknisten tietojen kerääminen
    • Tiedostojen käsittely
    • Mielivaltaisten komentojen suorittaminen
    • Vuorovaikutus Kazuarin asetusten kanssa
  • Windowsin rekisterin kyselyt ja käsittely
  • Skriptien suorittaminen (VBS, PowerShell, JavaScript)
  • Mukautettujen verkkopyyntöjen lähettäminen
  • Tunnusten ja arkaluonteisten tietojen varastaminen

    • Tietovarkaukset ovat edelleen Turlan tärkeimpiä prioriteetteja

    Kazuarilla on kyky kerätä valtuustietoja erilaisista artefakteista vaarantuneen tietokoneen sisällä komentojen, kuten 'varasta' tai 'unattend', laukaisemiseksi Command-and-Control (C2) -palvelimelta. Nämä artefaktit sisältävät lukuisia tunnettuja pilvisovelluksia.

    Lisäksi Kazuar voi kohdistaa arkaluonteisiin tiedostoihin, jotka sisältävät näihin sovelluksiin liittyviä tunnistetietoja. Kohdistettuja esineitä ovat Git SCM (suosittu lähteenhallintajärjestelmä kehittäjien keskuudessa) ja Signal (salattu viestintäalusta yksityiseen viestintään).

    Luotuaan ainutlaatuisen ratkaisijaketjun Kazuar aloittaa automaattisesti laajan järjestelmän profilointitehtävän, jonka luojat ovat kutsuneet nimellä "first_systeminfo_do". Tämä tehtävä sisältää kohdejärjestelmän perusteellisen keräämisen ja profiloinnin. Kazuar kerää kattavat tiedot tartunnan saaneesta koneesta, mukaan lukien tiedot käyttöjärjestelmästä, laitteiston tiedoista ja verkkokokoonpanosta.

    Kerätyt tiedot tallennetaan "info.txt"-tiedostoon, kun taas suorituslokit tallennetaan "logs.txt"-tiedostoon. Lisäksi osana tätä tehtävää haittaohjelma kaappaa kuvakaappauksen käyttäjän näytöstä. Kaikki kerätyt tiedostot niputetaan yhdeksi arkistoon, salataan ja lähetetään C2:een.

    Kazuar perustaa useita automaattisia tehtäviä tartunnan saaneille laitteille

    Kazuarilla on kyky luoda automatisoituja toimenpiteitä, jotka suoritetaan ennalta määrätyin väliajoin tietojen hakemiseksi vaarantuneista järjestelmistä. Nämä automatisoidut tehtävät sisältävät useita toimintoja, mukaan lukien kattavien järjestelmätietojen keräämisen, kuten on kuvattu kattavaa järjestelmän profilointia koskevassa osiossa, kuvakaappausten ottaminen, valtuustietojen poimiminen, rikosteknisten tietojen hakeminen, automaattisten suoritteiden tietojen hankkiminen, tiedostojen hankkiminen määritetyistä kansioista, luettelon laatiminen LNK-tiedostot ja sähköpostien varastaminen MAPI:n avulla.

    Näiden toimintojen avulla Kazuar voi suorittaa systemaattista valvontaa ja tietojen poimimista tartunnan saaneista koneista, mikä antaa haitallisille toimijoille joukon arkaluonteisia tietoja. Hyödyntämällä näitä automatisoituja tehtäviä, Kazuar virtaviivaistaa tiedustelu- ja tietojen suodatusprosessia ja tehostaa sen tehokkuutta kybervakoilun ja haitallisen toiminnan työkaluna.

    Päivitetty Kazuar-haittaohjelma on varustettu laajoilla anti-analyysiominaisuuksilla

    Kazuar käyttää useita kehittyneitä anti-analyysitekniikoita, jotka on huolellisesti suunniteltu välttämään havaitsemista ja tarkastuksia. Luojiensa ohjelmoima Kazuar säätää käyttäytymistään dynaamisesti analyysitoimintojen läsnäolon perusteella. Kun se toteaa, ettei analyysiä ole käynnissä, Kazuar jatkaa toimintaansa. Jos se kuitenkin havaitsee virheenkorjauksen tai analyysin merkkejä, se siirtyy välittömästi lepotilaan ja keskeyttää kaiken tiedonsiirron komento- ja ohjauspalvelimensa (C2) kanssa.

    Polkumyynnin vastainen

    Ottaen huomioon, että Kazuar toimii injektoituna komponenttina toisessa prosessissa eikä itsenäisenä kokonaisuutena, on mahdollisuus poimia sen koodi isäntäprosessin muistista. Tämän haavoittuvuuden torjumiseksi Kazuar käyttää taitavasti .NET:n vahvaa ominaisuutta, System.Reflection Namespacea. Tämä ominaisuus antaa Kazuarille ketteryyden noutaa sen kokoonpanoon, menetelmiin ja muihin kriittisiin elementteihin liittyvää metadataa dynaamisesti reaaliajassa, mikä vahvistaa sen puolustusta mahdollisia koodinpoistoyrityksiä vastaan.

    Lisäksi Kazuar toteuttaa suojatoimenpiteen tarkastamalla, onko antidump_methods-asetus käytössä. Tällaisissa tapauksissa se ohittaa osoittimet sen räätälöityihin menetelmiin ja jättää huomiotta yleiset .NET-menetelmät ja poistaa ne tehokkaasti muistista. Kuten Kazuarin kirjattu viesti osoittaa, tämä ennakoiva lähestymistapa estää tutkijoita poimimasta vahingoittumatonta versiota haittaohjelmasta, mikä parantaa sen sietokykyä analysointia ja havaitsemista vastaan.

    Honeypot Check

    Alkutehtäviensä joukossa Kazuar etsii ahkerasti merkkejä hunajaruukun esineistä kohdekoneessa. Tämän saavuttamiseksi se viittaa ennalta määritettyyn luetteloon prosessinimistä ja tiedostonimistä käyttäen kovakoodattua lähestymistapaa. Jos Kazuar kohtaa enemmän kuin viisi esiintymää näistä määritetyistä tiedostoista tai prosesseista, se kirjaa havainnon viipymättä osoituksena hunajapotista.

    Analyysityökalujen tarkistus

    Kazuar ylläpitää luetteloa ennalta määritellyistä nimistä, jotka edustavat erilaisia laajalti käytettyjä analyysityökaluja. Se tarkistaa järjestelmällisesti listan järjestelmän aktiivisiin prosesseihin verrattuna. Kun Kazuar havaitsee jonkin näistä työkaluista toiminnan, se rekisteröi havainnon viipymättä, mikä osoittaa analyysityökalujen olemassaolon.

    Hiekkalaatikon tarkistus

    Kazuarilla on joukko ennalta määrättyjä hiekkalaatikkokirjastoja, jotka on koodattu sen järjestelmään. Se suorittaa tarkistuksia tunnistaakseen tiettyjä DLL-tiedostoja, jotka liittyvät erilaisiin hiekkalaatikkopalveluihin. Tapattuaan nämä tiedostot Kazuar päättelee, että se toimii laboratorioympäristössä, mikä kehottaa sitä lopettamaan toimintansa.

    Tapahtumalokin valvonta

    Kazuar kerää ja tulkitsee järjestelmällisesti Windowsin tapahtumalokiin tallennettuja tapahtumia. Se kohdistuu erityisesti tapahtumiin, jotka ovat peräisin valituilta haittaohjelmien torjunta- ja tietoturvatoimittajilta. Tämä tietoinen keskittyminen on linjassa sen strategian kanssa, jossa se valvoo laajalti käytettyihin tietoturvatuotteisiin liittyviä toimia sillä uskottavalla oletuksella, että nämä työkalut ovat yleisiä mahdollisten kohteiden joukossa.

    Kazuar-haittaohjelma edustaa edelleen suurta uhkaa digitaalisessa tilassa

    Viimeisin versio Kazuar-haittaohjelmasta, joka on äskettäin tunnistettu luonnosta, esittelee useita merkittäviä ominaisuuksia. Se sisältää vankat koodin ja merkkijonojen hämärtämistekniikat sekä monisäikeinen malli suorituskyvyn parantamiseksi. Lisäksi joukko salausjärjestelmiä on toteutettu suojaamaan Kazuarin koodia analyysiltä ja salaamaan sen tiedot joko muistissa, lähetyksen aikana tai levyllä. Nämä ominaisuudet yhdessä pyrkivät antamaan Kazuar-takaovelle korkeamman tason varkain.

    Lisäksi tässä haittaohjelman iteraatiossa on kehittyneitä anti-analyysitoimintoja ja laajat järjestelmän profilointiominaisuudet. Sen erityinen pilvisovellusten kohdistaminen on huomionarvoista. Lisäksi tämä Kazuar-versio tukee laajaa yli 40 eri komennon valikoimaa, joista puolet kyberturvallisuustutkijat eivät ole aiemmin dokumentoineet.

    Kuinka suojautua Kazuaria vastaan

    Kuten kaikenlaisten uhkien kohdalla, tärkein asia, jonka voit tehdä suojellaksesi tietokonettasi, on välttää sähköpostin liitteiden ja linkkien avaamista. Älä ole vuorovaikutuksessa sähköpostin kanssa, jos et tiedä, mistä se on tullut. Muista myös varmuuskopioida tärkeimmät tiedot säännöllisesti. Myös useiden varmuuskopioiden tekeminen auttaa, sillä mitä enemmän varmuuskopioita sinulla on, sitä suurempi on mahdollisuus saada asiat takaisin normaaliksi Kazuarin tai muun haittaohjelman sattuessa.

    Viimeisenä mutta ei vähäisimpänä, haluat varmistaa, että kaikki ohjelmasi ja sovelluksesi ovat ajan tasalla. Älä unohda päivittää käyttöjärjestelmääsi liian säännöllisesti. Tietokoneuhat kukoistavat käyttöjärjestelmien ja ohjelmistojen hyväksikäytön kautta, joten älä anna niiden viipyä.

    Trendaavat

    Eniten katsottu

    Ladataan...