Multi-License Discount Quote
Grėsmių duomenų bazė Backdoors Kazuar

Kazuar

Autorius GoldSparrow, Backdoors
Versti į:
Lietuvių

Tyrėjai atrado užpakalinių durų Trojos arklys, vadinamas Kazuar. Nustatyta, kad „Kazuar“ yra susijęs su šnipinėjimo kampanija ir, atrodo, parašytas naudojant „Microsoft .NET Framework“. Kazuar leidžia užpuolikams gauti visišką prieigą prie pažeistos sistemos.

„Kazuar“ turi keletą galimų funkcijų ir komandų, įskaitant galimybę nuotoliniu būdu įkelti papildinius. Šie papildiniai suteikia Trojos arkliui daugiau galimybių ir kelia jam didesnę grėsmę. Stebėtoje padermėje taip pat buvo kodas, rodantis, kad pasaulyje yra „Linux“ ir „Mac“ Kazuar versijos. „Kazuar“ išsiskiria tuo, kad jis veikia per programų programavimo sąsają (API), prijungtą prie žiniatinklio serverio, ir tai gali būti pirmasis – ir vienintelis – virusas, veikiantis tokiu būdu.

Kas yra už Kazuaro?

Tyrėjai mano, kad Kazuar yra susijęs su Turla , APT (Advanced Persistent Threat) grupe, taip pat žinoma, kad ji veikia pavadinimais Snake ir Uroburos . „Turla“ yra žinoma dėl savo pažangių pajėgumų ir yra ilgametė Rusijoje įsikūrusi kibernetinių grėsmių grupė, turinti tariamų ryšių su Rusijos federaline saugumo tarnyba (FSB). Grupė savo atakomis taikosi į ambasadas, švietimo įstaigas, gynybos rangovus ir mokslinių tyrimų organizacijas. „Turla“ kode turi parašą, kuris identifikuoja įrankius kaip jų, o „Kazuar“ naudojamas kodas gali būti atsektas bent jau 2005 m.

„Turla“ savo laiku naudojo daugybę įrankių, kurių dauguma yra naudojami antrajame atakų etape pažeistose aplinkose. „Kazuar“ galėtų būti vienas iš naujų būdų, kaip „Turla“ grupė vykdo operacijas.

Ką veikia Kazuaras?

Kazuar yra užpakalinių durų Trojos arklys, kuris yra viena didžiausių skaitmeninių grėsmių kategorijų. Backdoor Trojos arklys gali būti brangios ir išsamios programos, turinčios daugybę galimybių, arba tai gali būti paprastos programos, kurios nieko nedaro, tik siunčia serverio ping. Visų pirma Kazuar, pavadintas Pietryčių Azijos kazuarinio paukščio vardu, yra labiau tradicinis užpakalinis Trojos arklys. Nors „Kazuar“ yra gana paprastas, jis turi tam tikrų paslėptų funkcijų, dėl kurių jis kelia daugiau grėsmės nei tipiniai „backdoor“ Trojos arklys, tokie kaip „PowerStallion “ ar „Neuron“ .

Kazuaras siekia, kad nebūtų aptiktas, nes Turla įsilaužėliai renka žvalgybos informaciją iš savo taikinių. Nors „Kazuar“ yra .NET Framework programa, ji taip pat turi funkcijų, leidžiančių ją suderinti su „Mac“ ir „Unix“ / „Linux“ sistemomis. Tačiau iki šiol laukinėje gamtoje buvo pastebėti tik „Windows“ variantai.

Pažvelkite į Kazuar kodą ir pamatysite, kiek daug darbo buvo įdėta siekiant šio viruso. „Kazuar“ turi patobulintą sąrankos tvarką ir gali prisitaikyti prie pažeidžiamų kompiuterių, nustatydama patvarumą įvairiais būdais. Virusas kuria DLL ir išnaudoja Windows paslaugas bei .NET Framework funkcijas, kad liktų kompiuteryje. Kai virusas pradės veikti, jis pateiks užpuolikui informaciją apie tikslinį kompiuterį ir leis jam valdyti. Užpuolikai gali įkelti failus, daryti ekrano kopijas, suaktyvinti žiniatinklio kameras, kopijuoti duomenis, paleisti vykdomuosius failus ir atlikti kitas užduotis naudodami pasirenkamus modulius.

Verta atkreipti dėmesį į API funkciją. Tokie virusai pirmiausia jungiasi prie komandų ir valdymo serverių (C2 serverių) ir laukia instrukcijų. „Kazuar“ išsiskiria tuo, kad gali sukurti nuolat besiklausantį žiniatinklio serverį, kuris padeda virusui išvengti ugniasienės ir kenkėjiškų programų aptikimo.

Kaip Kazuar užkrečia kompiuterius?

Kenkėjiška „Kazuar“ programa užkrečia kompiuterius keliais skirtingais būdais. Dažniausiai pasitaikantys yra kenkėjiškos programinės įrangos paketai, el. pašto šiukšlės, bendrinimas tinkle, kenkėjiškos nuorodos ir prieiga užkrėstų „flash drives“. „Kazuar“ tikrai padarys didžiulę žalą, kai tik pateks į jūsų kompiuterį.

Aukos pranešė, kad turi susidurti su kietojo disko gedimu, dažnomis gedimais, sugadintomis programomis ir kt. Tai nereiškia, kad faktinė žala gali būti padaryta dėl finansinių nuostolių ar tapatybės vagystės. Turėtumėte imtis priemonių, kad apsisaugotumėte nuo Kazuar ir kuo greičiau pašalintumėte bet kokią infekciją.

Užkrėsdama tikslinį įrenginį, „Kazuar“ kenkėjiška programa rinks tam tikrą informaciją apie užkrėsto pagrindinio kompiuterio programinę ir aparatinę įrangą. Be to, „Kazuar“ grėsmė sugeneruotų unikalų „mutex“, pagrįstą standžiojo disko serijos ID ir aktyvaus vartotojo vartotojo vardu. Šis atakos veiksmas skirtas nustatyti, ar užkrėstame kompiuteryje veikia du Kazuar kenkėjiškos programos variantai. Kai tai bus baigta, Kazuar kenkėjiška programa tęs ataką, įgydama atkaklumą pagrindiniame kompiuteryje. Tai pasiekiama pakeitus sistemos Windows registrą. Tada „Kazuar“ kenkėjiška programa prisijungtų prie savo operatorių C&C (Command & Control) serverio ir lauktų, kol jie duos komandas. Tarp pagrindinių Kazuar kenkėjiškų programų savybių yra:

  • Vartotojo aktyvių langų ir darbalaukio ekrano kopijų darymas.
  • Failų atsisiuntimas.
  • Failų įkėlimas.
  • Vaizdo įrašymas per sistemos kamerą.
  • Vykdomų procesų valdymas.
  • Nuotolinių komandų vykdymas.
  • Aktyvių grėsmės įskiepių sąrašas ir valdymas.
  • Atnaujina save ir savo C&C serverių sąrašą.
  • Save naikinantis.

Šis ilgas galimybių sąrašas leidžia Kazuar kenkėjiškajai programai padaryti didelę žalą bet kuriai sistemai, į kurią pavyksta įsiskverbti. Kadangi tikėtina, kad „Kazuar“ grėsmės kūrėjai kuria su OSX suderinamą šios kenkėjiškos programos iteraciją, rizikuos dar daugiau vartotojų. Norėdami apsaugoti savo sistemą nuo kenkėjų, tokių kaip Kazuar grėsmė, būtinai atsisiųskite ir įdiekite autentišką anti-kenkėjiškų programų programinės įrangos rinkinį, kuris pasirūpins jūsų kibernetiniu saugumu ir saugos jūsų duomenis.

„Turla“ diegia naują „Kazuar“ variantą prieš taikinius Ukrainoje

Nuo pirminio aptikimo 2017 m., Kazuar sporadiškai pasirodė laukinėje gamtoje, pirmiausia paveikdamas organizacijas Europos vyriausybinėje ir karinėje sferoje. Jo ryšys su „Sunburst“ užpakalinėmis durimis, kurį patvirtina kodų panašumai, pabrėžia jo sudėtingumą. Nors nuo 2020 m. pabaigos neatsirado naujų „Kazuar“ pavyzdžių, pranešimai rodo, kad vykstančios plėtros pastangos yra šešėlyje.

Atnaujinto „Kazuar“ kodo analizė pabrėžia bendras jo kūrėjų pastangas pagerinti jo slaptumo galimybes, išvengti aptikimo mechanizmų ir sužlugdyti analizės pastangas. Tai pasiekiama naudojant įvairius pažangius antianalizės metodus kartu su patikimais šifravimo ir užmaskavimo metodais, siekiant apsaugoti kenkėjiškų programų kodo vientisumą.

Pagrindinės naujojo Kazuar kenkėjiškų programų varianto funkcijos

Įprastu „Turla“ būdu „Kazuar“ naudoja užgrobtas teisėtas svetaines savo valdymo ir valdymo (C2) infrastruktūrai, taip išvengdamas panaikinimų. Be to, Kazuar palengvina ryšį per pavadintus vamzdžius, naudodamas abu metodus nuotolinėms komandoms ar užduotims gauti.

„Kazuar“ gali pasigirti 45 skirtingų užduočių palaikymu savo C2 sistemoje, o tai reiškia reikšmingą jo funkcionalumo pažangą, palyginti su ankstesnėmis versijomis. Ankstesni tyrimai nebuvo dokumentuoti kai kurių iš šių užduočių. Priešingai, 2017 m. analizuotas pradinis Kazuar variantas palaikė tik 26 C2 komandas.

Kazuaro pripažintų komandų sąrašas apima įvairias kategorijas, įskaitant:

  • Prieglobos duomenų rinkimas
  • Išplėstas teismo ekspertizės duomenų rinkimas
  • Failų manipuliavimas
  • Savavališkų komandų vykdymas
  • Sąveika su Kazuar konfigūracijos nustatymais
  • „Windows“ registro užklausos ir manipuliavimas
  • Scenarijų vykdymas (VBS, PowerShell, JavaScript)
  • Pasirinktinių tinklo užklausų siuntimas
  • Kredencialų ir slaptos informacijos vagystė

Duomenų vagystės tebėra vienas svarbiausių „Turla“ prioritetų

„Kazuar“ turi galimybę paimti kredencialus iš įvairių artefaktų pažeistame kompiuteryje, suaktyvinant tokias komandas kaip „steal“ arba „neattend“, gautos iš komandų ir valdymo (C2) serverio. Šie artefaktai apima daugybę gerai žinomų debesų programų.

Be to, „Kazuar“ gali nukreipti į slaptus failus, kuriuose yra su šiomis programomis susiję kredencialai. Tarp tikslinių artefaktų yra „Git SCM“ (populiari šaltinio valdymo sistema tarp kūrėjų) ir „Signal“ (šifruota pranešimų siuntimo platforma privačiam bendravimui).

Sukūręs unikalią sprendimo giją, „Kazuar“ automatiškai pradeda išsamią sistemos profiliavimo užduotį, kurią kūrėjai pavadino „first_systeminfo_do“. Ši užduotis apima išsamų tikslinės sistemos rinkimą ir profiliavimą. „Kazuar“ renka išsamią informaciją apie užkrėstą įrenginį, įskaitant informaciją apie operacinę sistemą, techninės įrangos specifikacijas ir tinklo konfigūraciją.

Surinkti duomenys saugomi „info.txt“ faile, o vykdymo žurnalai – „logs.txt“ faile. Be to, kaip šios užduoties dalis, kenkėjiška programa užfiksuoja vartotojo ekrano ekrano kopiją. Tada visi surinkti failai sujungiami į vieną archyvą, užšifruojami ir siunčiami į C2.

„Kazuar“ nustato kelias automatizuotas užduotis užkrėstuose įrenginiuose

„Kazuar“ turi galimybę nustatyti automatizuotas procedūras, kurios vykdomos iš anksto nustatytais intervalais, siekiant gauti duomenis iš pažeistų sistemų. Šios automatizuotos užduotys apima daugybę funkcijų, įskaitant išsamios sistemos informacijos rinkimą, kaip aprašyta skyriuje „Išsamus sistemos profiliavimas“, ekrano kopijų fiksavimą, kredencialų ištraukimą, teismo ekspertizės duomenų gavimą, automatinio paleidimo duomenų gavimą, failų gavimą iš nurodytų aplankų, sąrašo sudarymą. LNK failai ir el. laiškų klastojimas naudojant MAPI.

Šios funkcijos leidžia Kazuar vykdyti sistemingą stebėjimą ir duomenų išgavimą iš užkrėstų mašinų, suteikdama piktybiniams veikėjams daug slaptos informacijos. Naudodamas šias automatizuotas užduotis, Kazuar supaprastina žvalgybos ir duomenų išfiltravimo procesą, padidindamas jo, kaip kibernetinio šnipinėjimo ir kenkėjiškos veiklos įrankio, veiksmingumą.

Atnaujinta Kazuar kenkėjiška programa aprūpinta plačiomis antianalizės funkcijomis

Kazuar naudoja įvairius sudėtingus antianalizės metodus, kruopščiai sukurtus, kad išvengtų aptikimo ir patikrinimo. Kūrėjų užprogramuotas „Kazuar“ dinamiškai koreguoja savo elgesį, atsižvelgdamas į analizės veiklą. Nustačius, kad jokia analizė neatliekama, „Kazuar“ tęsia savo veiklą. Tačiau jei aptinka bet kokius derinimo ar analizės požymius, jis iš karto pereina į neveikimo būseną ir sustabdo visą ryšį su savo komandų ir valdymo (C2) serveriu.

Antidempingas

Atsižvelgiant į tai, kad „Kazuar“ veikia kaip įterptas komponentas kitame procese, o ne kaip savarankiškas subjektas, kyla galimybė išgauti savo kodą iš pagrindinio proceso atminties. Siekdama neutralizuoti šį pažeidžiamumą, Kazuar puikiai naudoja patikimą .NET funkciją – System.Reflection vardų erdvę. Ši galimybė suteikia „Kazuar“ judrumą realiuoju laiku dinamiškai nuskaityti metaduomenis, susijusius su jo surinkimu, metodais ir kitais svarbiais elementais, taip sustiprinant jo apsaugą nuo galimų kodo išgavimo pastangų.

Be to, Kazuar įgyvendina gynybinę priemonę, patikrindama, ar įjungtas antidump_methods nustatymas. Tokiais atvejais jis nepaiso nuorodų į pagal užsakymą sukurtus metodus ir nepaiso bendrųjų .NET metodų, veiksmingai ištrindamas juos iš atminties. Kaip rodo Kazuaro užregistruotas pranešimas, šis iniciatyvus požiūris trukdo tyrėjams išgauti nepažeistos kenkėjiškos programos versijos, taip padidindamas jos atsparumą analizei ir aptikimui.

Honeypot čekis

Tarp pradinių užduočių „Kazuar“ kruopščiai nuskaito, ar tiksliniame įrenginyje nėra medaus puodo artefaktų požymių. Norėdami tai padaryti, jis nurodo iš anksto apibrėžtą procesų pavadinimų ir failų pavadinimų sąrašą, naudojant koduotą metodą. Jei „Kazuar“ aptiktų daugiau nei penkis šių nurodytų failų ar procesų atvejus, jis nedelsdamas užfiksuos atradimą, rodantį medaus puodo buvimą.

Analizės įrankių patikrinimas

„Kazuar“ tvarko iš anksto nustatytų pavadinimų sąrašą, atspindintį įvairius plačiai naudojamus analizės įrankius. Ji sistemingai peržiūri sąrašą pagal aktyvius sistemos procesus. Aptikęs bet kurio iš šių įrankių veikimą, Kazuar nedelsdamas užregistruoja radinį, nurodydamas, kad yra analizės įrankių.

Smėlio dėžės patikrinimas

Kazuar turi iš anksto nustatytų smėlio dėžės bibliotekų rinkinį, užkoduotą į savo sistemą. Jis atlieka nuskaitymą, kad nustatytų konkrečius DLL, susijusius su įvairiomis smėlio dėžės paslaugomis. Susidūręs su šiais failais, Kazuar daro išvadą, kad jis veikia laboratorijos aplinkoje, todėl jis nutraukia savo veiklą.

Įvykių žurnalo monitorius

„Kazuar“ sistemingai renka ir interpretuoja „Windows“ įvykių žurnaluose įrašytus įvykius. Jis konkrečiai skirtas įvykiams, kuriuos sukelia tam tikri apsaugos nuo kenkėjiškų programų ir saugos tiekėjai. Šis apgalvotas dėmesys atitinka jos veiklos, susijusios su plačiai naudojamais saugos produktais, stebėjimo strategiją, darant tikėtiną prielaidą, kad šios priemonės yra paplitusios tarp galimų taikinių.

Kenkėjiška „Kazuar“ programa ir toliau kelia didelę grėsmę skaitmeninėje erdvėje

Naujausias Kazuar kenkėjiškos programos variantas, neseniai identifikuotas laukinėje gamtoje, demonstruoja keletą svarbių savybių. Jis apima tvirtus kodo ir eilučių užmaskavimo būdus kartu su kelių gijų modeliu, kad pagerintų našumą. Be to, įdiegta daugybė šifravimo schemų, siekiant apsaugoti Kazuaro kodą nuo analizės ir paslėpti jo duomenis atmintyje, perdavimo metu ar diske. Šiomis savybėmis bendrai siekiama suteikti Kazuar užpakalinėms durims padidintą slaptumo lygį.

Be to, ši kenkėjiškos programos iteracija pasižymi sudėtingomis antianalizės funkcijomis ir plačiomis sistemos profiliavimo galimybėmis. Pažymėtinas konkretus taikymas debesų programoms. Be to, ši Kazuar versija palaiko daugybę daugiau nei 40 skirtingų komandų, iš kurių pusė iš jų anksčiau nebuvo dokumentuota kibernetinio saugumo tyrinėtojų.

Kaip apsisaugoti nuo Kazuaro

Kaip ir bet kokios grėsmės atveju, pagrindinis dalykas, kurį galite padaryti norėdami apsaugoti savo kompiuterį, yra neatidaryti el. pašto priedų ir nuorodų. Nesinaudokite el. paštu, jei nežinote, iš kur jis atėjo. Be to, reguliariai kurkite atsargines svarbiausių duomenų kopijas. Taip pat naudinga turėti kelias atsargines kopijas, nes kuo daugiau atsarginių kopijų turėsite, tuo didesnė tikimybė, kad „Kazuar“ ar kita kenkėjiška programa viskas normalizuosis.

Paskutinis, bet ne mažiau svarbus dalykas – norite įsitikinti, kad visos jūsų programos ir programos yra atnaujintos. Nepamirškite per dažnai atnaujinti operacinės sistemos. Kompiuterių grėsmės klesti dėl operacinių sistemų ir programinės įrangos išnaudojimo, todėl neleiskite joms užsitęsti.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
36,927
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...