Multi-License Discount Quote
Veszély-adatbázis Backdoors Kazuar

Kazuar

GoldSparrow -ra Backdoors-ben
Fordítás ide:
Magyar

A kutatók felfedezték a Kazuar nevű hátsó ajtós trójai programot. A Kazuarról kiderült, hogy kapcsolatban áll egy kémkampánnyal, és úgy tűnik, hogy a Microsoft .NET-keretrendszerrel írták. A Kazuar lehetővé teszi a támadók számára, hogy teljes hozzáférést kapjanak a feltört rendszerhez.

A Kazuar számos lehetséges funkcióval és paranccsal rendelkezik, beleértve a bővítmények távoli betöltésének lehetőségét. Ezek a bővítmények nagyobb képességeket adnak a trójainak, és nagyobb veszélyt jelentenek. A megfigyelt törzsben olyan kód is volt, amely arra utalt, hogy a Kazuar Linux és Mac verziói léteznek a világon. A Kazuarban egy dolog kiemelkedik, hogy egy webszerverhez csatlakoztatott alkalmazásprogramozási felületen (API) keresztül működik, és ez lehet az első – és egyetlen – vírus, amely így viselkedik.

Ki áll Kazuar mögött?

A kutatók úgy vélik, hogy a Kazuar kapcsolatban áll a Turlával , egy APT (Advanced Persistent Threat) csoporttal, amely Snake és Uroburos néven is működik. A Turla fejlett képességeiről ismert, és egy régóta orosz székhelyű kiberfenyegető csoport, amely állítólagos kapcsolatban áll az Orosz Szövetségi Biztonsági Szolgálattal (FSB). A csoport nagykövetségeket, oktatási intézményeket, védelmi vállalkozókat és kutatószervezeteket céloz támadásaikkal. A Turla kódjában van valami olyan aláírás, amely az eszközöket az övékként azonosítja, és a Kazuarhoz használt kód legalább 2005-ig vezethető vissza.

A Turla a maga idejében számos eszközt használt, amelyek többségét a támadások második szakaszában telepítik feltört környezetben. A Kazuar lehet az egyik új módja annak, ahogy a Turla csoport kezeli a műveleteket.

Mit csinál Kazuar?

A Kazuar egy hátsó ajtós trójai, amely a digitális fenyegetések egyik legnagyobb kategóriája. A Backdoor trójaiak lehetnek drága és átfogó programok, amelyek számos képességgel rendelkeznek, vagy lehetnek egyszerű programok, amelyek nem tesznek mást, mint a kiszolgáló pingelését. A délkelet-ázsiai kazuármadárról elnevezett Kazuar inkább egy hagyományos hátsó ajtós trójai. Noha a Kazuar viszonylag alap, van néhány rejtett funkciója, amelyek nagyobb veszélyt jelentenek, mint a tipikus hátsó ajtós trójaiak, mint például a PowerStallion vagy a Neuron .

Kazuar megpróbálja elkerülni, hogy észleljék, amint a Turla hackerei hírszerzési információkat gyűjtenek célpontjaiktól. Annak ellenére, hogy a Kazuar egy .NET-keretrendszer-alkalmazás, olyan funkciókkal is rendelkezik, amelyek kompatibilissé teszik a Mac és Unix/Linux rendszerekkel. Eddig azonban csak Windows-változatokat észleltek a vadonban.

Vessen egy pillantást a Kazuar kódjára, és látni fogja, mennyi munkát fektettek bele a vírusba. A Kazuar továbbfejlesztett beállítási rutinnal rendelkezik, és képes alkalmazkodni a sebezhető számítógépekhez azáltal, hogy számos módszerrel biztosítja a tartósságot. A vírus DLL-eket hoz létre, és kihasználja a Windows-szolgáltatásokat és a .NET-keretrendszer funkcióit, hogy a számítógépen maradjon. Amint a vírus elindult, információt ad a támadónak a célszámítógépről, és átveheti az irányítást. A támadók az opcionális modulokon keresztül fájlokat tölthetnek fel, képernyőképeket készíthetnek, webkamerákat aktiválhatnak, adatokat másolhatnak, futtatható fájlokat indíthatnak el, és egyéb feladatokat hajthatnak végre.

Érdemes megjegyezni az API funkciót. Az ehhez hasonló vírusok elsősorban a Command and Control szerverekhez (C2 szerverekhez) csatlakoznak, és várják az utasításokat. A Kazuar azért tűnik ki, mert képes egy mindig figyelő webszervert létrehozni, amely segít a vírusnak elkerülni a tűzfalakat és a rosszindulatú szoftverek észlelését.

Hogyan fertőzi meg a Kazuar a számítógépeket?

A Kazuar rosszindulatú program többféle módon fertőzi meg a számítógépeket. A leggyakoribbak a rosszindulatú szoftvercsomagok, az e-mail spam, a hálózati megosztás, a rosszindulatú hivatkozások és a fertőzött flash meghajtók elérése. A Kazuar biztosan hatalmas mennyiségű kárt okoz, ha a számítógépére kerül.

Az áldozatok arról számoltak be, hogy merevlemez meghibásodása, gyakori összeomlása, sérült alkalmazások stb. Ez nem mond semmit a tényleges kárról, amelyet anyagi veszteség vagy személyazonosság-lopás miatt okozhat. Tegyen lépéseket a Kazuar elleni védekezés érdekében, és a lehető leghamarabb távolítsa el a fertőzést.

A megcélzott eszköz megfertőzésekor a Kazuar malware bizonyos információkat gyűjt a fertőzött gazdagép szoftveréről és hardveréről. Ezenkívül a Kazuar fenyegetés egyedi mutexet generálna a merevlemez sorozatazonosítója és az aktív felhasználó felhasználóneve alapján. A támadás ezen lépése annak megállapítására szolgál, hogy a Kazuar malware két változata fut-e a fertőzött számítógépen. Ha ez megtörtént, a Kazuar rosszindulatú program folytatja a támadást azáltal, hogy kitart a gazdagépen. Ez a rendszer Windows rendszerleíró adatbázisának módosításával érhető el. Ezután a Kazuar rosszindulatú program csatlakozik üzemeltetői C&C (Command & Control) szerveréhez, és várja, hogy parancsokat adjanak neki. A Kazuar rosszindulatú program főbb jellemzői közé tartozik:

  • Képernyőképek készítése a felhasználó aktív ablakairól és asztaláról.
  • Fájlok letöltése.
  • Fájlok feltöltése.
  • Felvételek rögzítése a rendszer kamerájával.
  • Futó folyamatok kezelése.
  • Távoli parancsok végrehajtása.
  • A fenyegetés aktív bővítményeinek listázása és kezelése.
  • Frissíti magát és a C&C szerverek listáját.
  • Önpusztító.

    • A képességek ezen hosszú listája lehetővé teszi, hogy a Kazuar kártevő jelentős károkat okozzon minden olyan rendszerben, amelybe behatol. Mivel valószínű, hogy a Kazuar fenyegetés alkotói a kártevő OSX-kompatibilis iterációján dolgoznak, még több felhasználó kerül veszélybe. Ahhoz, hogy megvédje rendszerét a kártevőktől, például a Kazuar-fenyegetéstől, töltsön le és telepítsen egy valódi kártevő-elhárító szoftvercsomagot, amely gondoskodik az Ön kiberbiztonságáról és adatai biztonságáról.

    A Turla új Kazuar Variantot telepít a Targets ellen Ukrajnában

    A Kazuar 2017-es első észlelése óta szórványosan felbukkan a vadonban, elsősorban az európai kormányzati és katonai szférán belüli szervezeteket érintve. A Sunburst hátsó ajtóhoz fűződő kapcsolata, amelyet kódhasonlóságok bizonyítanak, aláhúzza kifinomult természetét. Noha 2020 vége óta nem jelentek meg új Kazuar minták, a jelentések folyamatos fejlesztési erőfeszítéseket sugalltak az árnyékban.

    A frissített Kazuar kód elemzése rávilágít arra, hogy az alkotók összehangolt erőfeszítéseket tettek a titkosítási képességek javítására, az észlelési mechanizmusok elkerülésére és az elemzési törekvések meghiúsítására. Ezt számos fejlett anti-analízis módszerrel, robusztus titkosítási és obfuszkációs technikákkal párosítva érik el a rosszindulatú programkód integritásának megőrzése érdekében.

    Az új Kazuar malware-változat alapvető funkciói

    A tipikus turlai módra a Kazuar azt a stratégiát alkalmazza, hogy a parancsnoki és vezérlési (C2) infrastruktúrájához felhasználja az eltérített, legális webhelyeket, elkerülve ezzel az eltávolítást. Ezenkívül a Kazuar megkönnyíti a kommunikációt az elnevezett csöveken keresztül, mindkét módszert felhasználva távoli parancsok vagy feladatok fogadására.

    A Kazuar 45 különálló feladat támogatásával büszkélkedhet a C2 keretrendszerében, ami jelentős előrelépést jelent a funkcionalitás terén a korábbi verziókhoz képest. A korábbi kutatások nem dokumentálták ezeket a feladatokat. Ezzel szemben a Kazuar 2017-ben elemzett kezdeti változata csak 26 C2 parancsot támogatott.

    A Kazuar felismert parancsainak listája különböző kategóriákat ölel fel, többek között:

    • Gazda adatgyűjtés
    • Kibővített kriminalisztikai adatgyűjtés
    • Fájlkezelés
    • Tetszőleges parancsok végrehajtása
    • Kölcsönhatás a Kazuar konfigurációs beállításaival
  • A Windows rendszerleíró adatbázis lekérdezése és kezelése
  • Szkriptek végrehajtása (VBS, PowerShell, JavaScript)
  • Egyéni hálózati kérések küldése
  • Hitelesítési adatok és érzékeny információk ellopása

    • Az adatlopás továbbra is a Turla legfontosabb prioritásai közé tartozik

    A Kazuar képes a feltört számítógépen belüli különféle műtermékek hitelesítő adatainak begyűjtésére, amelyeket a Command-and-Control (C2) szervertől kapott parancsok (például „lopás” vagy „unattend”) indítanak el. Ezek a műtermékek számos jól ismert felhőalkalmazást tartalmaznak.

    Ezenkívül a Kazuar megcélozhatja az ezekhez az alkalmazásokhoz kapcsolódó hitelesítő adatokat tartalmazó érzékeny fájlokat. A megcélzott műtermékek közé tartozik a Git SCM (a fejlesztők körében népszerű forrásvezérlő rendszer) és a Signal (titkosított üzenetküldő platform a privát kommunikációhoz).

    Egyedülálló megoldószál létrehozásakor a Kazuar automatikusan elindít egy kiterjedt rendszerprofil-alkotási feladatot, amelyet az alkotók "first_systeminfo_do"-nak neveztek el. Ez a feladat magában foglalja a célrendszer alapos összegyűjtését és profilalkotását. A Kazuar átfogó információkat gyűjt a fertőzött gépről, beleértve az operációs rendszer részleteit, a hardver specifikációit és a hálózati konfigurációt.

    Az összegyűjtött adatok egy „info.txt” fájlban, míg a végrehajtási naplók „logs.txt” fájlban tárolódnak. Ezenkívül e feladat részeként a rosszindulatú program képernyőképet készít a felhasználó képernyőjéről. Az összes összegyűjtött fájl ezután egyetlen archívumba kerül, titkosítva és elküldve a C2-re.

    A Kazuar több automatizált feladatot hoz létre a fertőzött eszközökön

    A Kazuar rendelkezik azzal a képességgel, hogy olyan automatizált eljárásokat hozzon létre, amelyek előre meghatározott időközönként futnak le adatok visszanyerése céljából a feltört rendszerekből. Ezek az automatizált feladatok egy sor funkciót magukban foglalnak, beleértve az átfogó rendszerinformációk összegyűjtését az Átfogó rendszerprofilozás című részben részletezettek szerint, képernyőképek rögzítését, hitelesítő adatok kinyerését, kriminalisztikai adatok lekérését, automatikus futtatási adatok beszerzését, fájlok beszerzését a kijelölt mappákból, listák összeállítását. LNK-fájlok és e-mailek ellopása a MAPI használatával.

    Ezek a funkciók lehetővé teszik a Kazuar számára, hogy szisztematikus megfigyelést és adatkinyerést végezzen a fertőzött gépekről, így a rosszindulatú szereplőket rengeteg érzékeny információval láthassa el. Az automatizált feladatok kihasználásával a Kazuar leegyszerűsíti a felderítés és az adatok kiszűrésének folyamatát, növelve annak hatékonyságát a kiberkémkedés és a rosszindulatú tevékenységek eszközeként.

    A frissített Kazuar rosszindulatú program kiterjedt anti-elemzési képességekkel van felszerelve

    A Kazuar számos kifinomult analitikus technikát alkalmaz, amelyeket aprólékosan úgy terveztek, hogy elkerüljék az észlelést és az ellenőrzést. Az alkotók által programozott Kazuar dinamikusan módosítja viselkedését az elemzési tevékenységek jelenléte alapján. Amikor megállapítja, hogy nincs folyamatban elemzés, a Kazuar folytatja tevékenységét. Ha azonban hibakeresésre vagy elemzésre utaló jelet észlel, azonnal készenléti állapotba lép, leállítva minden kommunikációt a Command and Control (C2) szerverével.

    Dömpingellenes

    Tekintettel arra, hogy a Kazuar egy másik folyamaton belül injektált komponensként működik, nem pedig autonóm entitásként, felmerül a lehetőség, hogy kódját kinyerje a gazdafolyamat memóriájából. A sérülékenység ellensúlyozására a Kazuar a .NET egy robusztus funkcióját, a System.Reflection névteret használja. Ez a képesség biztosítja a Kazuar számára azt a gyorsaságot, hogy az összeállításához, a metódusaihoz és más kritikus elemeihez kapcsolódó metaadatokat dinamikusan, valós időben lekérje, ezzel megerősítve védekezését a lehetséges kódkivonási törekvésekkel szemben.

    Ezenkívül a Kazuar egy védekező intézkedést is végrehajt azáltal, hogy alaposan megvizsgálja, hogy az antidump_methods beállítás engedélyezve van-e. Ilyen esetekben felülírja az egyedi metódusaira mutató mutatókat, miközben figyelmen kívül hagyja az általános .NET-metódusokat, hatékonyan törli azokat a memóriából. Amint azt Kazuar naplózott üzenete is bizonyítja, ez a proaktív megközelítés megakadályozza a kutatókat a rosszindulatú program sértetlen verziójának kinyerésében, ezáltal növelve annak elemzéssel és észleléssel szembeni ellenálló képességét.

    Honeypot csekk

    Kezdeti feladatai között a Kazuar szorgalmasan keresi a mézesedény műtermékek jeleit a célgépen. Ennek eléréséhez a folyamatnevek és fájlnevek előre meghatározott listájára hivatkozik, kemény kódolású megközelítést alkalmazva. Ha a Kazuar ötnél több példányával találkozik ezekből a megadott fájlokból vagy folyamatokból, azonnal rögzíti a felfedezést, mint egy honeypot jelenlétét.

    Az elemzőeszközök ellenőrzése

    A Kazuar előre definiált nevek listáját vezeti, amelyek különféle széles körben használt elemző eszközöket képviselnek. Szisztematikusan felülvizsgálja a névsort a rendszer aktív folyamataihoz viszonyítva. Ezen eszközök bármelyikének működését észlelve a Kazuar azonnal regisztrálja a leletet, jelezve az elemző eszközök jelenlétét.

    Sandbox Check

    A Kazuar rendelkezik egy sor előre meghatározott sandbox könyvtárral, amely a rendszerébe van bekódolva. Vizsgálatokat végez, hogy azonosítsa a különféle sandbox-szolgáltatásokhoz kapcsolódó DLL-eket. Amikor találkozott ezekkel a fájlokkal, Kazuar arra a következtetésre jut, hogy azok laboratóriumi környezetben futnak, ami arra készteti, hogy abbahagyja működését.

    Eseménynapló-figyelő

    A Kazuar szisztematikusan összegyűjti és értelmezi a Windows eseménynaplóiban rögzített eseményeket. Kifejezetten olyan eseményeket céloz meg, amelyek rosszindulatú szoftver-elhárító és biztonsági gyártóktól származnak. Ez a szándékos összpontosítás összhangban van a széles körben használt biztonsági termékekkel kapcsolatos tevékenységek megfigyelésére vonatkozó stratégiájával, azzal a valószínű feltételezéssel, hogy ezek az eszközök elterjedtek a potenciális célpontok között.

    A Kazuar malware továbbra is komoly fenyegetést jelent a digitális térben

    A Kazuar rosszindulatú program legújabb változata, amelyet nemrégiben azonosítottak a vadonban, számos figyelemre méltó tulajdonságot mutat be. Robusztus kód- és karakterlánc-elfojtási technikákat tartalmaz, valamint egy többszálas modellt a fokozott teljesítmény érdekében. Ezenkívül számos titkosítási sémát alkalmaznak a Kazuar kódjának az elemzéstől való megóvása és az adatok elrejtése érdekében, akár a memóriában, akár az átvitel során, akár a lemezen. Ezek a tulajdonságok együttesen azt a célt szolgálják, hogy a Kazuar hátsó ajtót fokozott lopakodással ruházzák fel.

    Ezenkívül a rosszindulatú program ezen iterációja kifinomult anti-elemzési funkciókat és kiterjedt rendszerprofil-készítési lehetőségeket kínál. Figyelemre méltó a felhőalkalmazások speciális célzása. Ezen túlmenően a Kazuar ezen verziója több mint 40 különálló parancs széles skáláját támogatja, amelyek felét korábban nem dokumentálták a kiberbiztonsági kutatók.

    Hogyan védekezzünk Kazuar ellen

    Mint minden fenyegetés esetében, a számítógépe védelmében a legfontosabb, hogy elkerülje az e-mail mellékletek és hivatkozások megnyitását. Ne használja az e-mailt, ha nem tudja, honnan érkezett. Ezenkívül rendszeresen készítsen biztonsági másolatot a legfontosabb adatairól. Hasznos a többszörös biztonsági mentés is, mivel minél több biztonsági másolat van, annál nagyobb az esélye, hogy a Kazuar vagy más rosszindulatú program esetén a dolgok visszaálljanak a normális kerékvágásba.

    Végül, de nem utolsósorban szeretné megbizonyosodni arról, hogy minden programja és alkalmazása naprakész. Ne felejtse el túl rendszeresen frissíteni operációs rendszerét. A számítógépes fenyegetések az operációs rendszerek és szoftverek kihasználásán keresztül fejlődnek, ezért ne hagyja, hogy elhúzódjanak.

    Felkapott

    Legnézettebb

    Betöltés...