Multi-License Discount Quote
Draudu datu bāze Backdoors Kazuar

Kazuar

Līdz GoldSparrow. gadam Backdoors. gadā
Tulkot uz:
Latviešu

Pētnieki ir atklājuši aizmugures Trojas zirgu ar nosaukumu Kazuar. Tika konstatēts, ka Kazuar ir saistīts ar spiegošanas kampaņu, un šķiet, ka tas ir rakstīts ar Microsoft .NET Framework. Kazuar ļauj uzbrucējiem iegūt pilnīgu piekļuvi apdraudētai sistēmai.

Kazuar ir vairākas iespējamās funkcijas un komandas, tostarp iespēja ielādēt spraudņus attālināti. Šie spraudņi piešķir Trojas zirgam lielākas iespējas un padara to par lielāku apdraudējumu. Novērotajā celmā bija arī kods, kas liecināja, ka pasaulē ir Kazuar Linux un Mac versijas. Viena lieta, kas izceļas Kazuar, ir tā, ka tas darbojas, izmantojot lietojumprogrammu saskarni (API), kas savienota ar tīmekļa serveri, un tas var būt pirmais un vienīgais vīruss, kas darbojas šādi.

Kas stāv aiz Kazuāra?

Pētnieki uzskata, ka Kazuars ir saistīts ar Turlu , APT (Advanced Persistent Threat) grupu, kas darbojas arī ar nosaukumiem Snake un Uroburos . Turla ir pazīstama ar savām progresīvajām spējām un ir ilgstoši Krievijā bāzēta kiberdraudu grupa, kas, iespējams, ir saistīta ar Krievijas Federālo drošības dienestu (FSB). Grupa ar saviem uzbrukumiem vēršas pret vēstniecībām, izglītības iestādēm, aizsardzības darbuzņēmējiem un pētniecības organizācijām. Turla kodā ir kaut kas līdzīgs parakstam, kas identificē rīkus kā viņu pašus, un Kazuar izmantoto kodu var izsekot vismaz līdz 2005. gadam.

Turla savā laikā ir izmantojis vairākus rīkus, no kuriem lielākā daļa tiek izvietoti uzbrukumu otrajā posmā apdraudētās vidēs. Kazuar varētu būt viens jauns veids, kā Turla grupa veic darbības.

Ko dara Kazuārs?

Kazuar ir aizmugures Trojas zirgs, kas ir viena no lielākajām digitālo draudu kategorijām. Backdoor Trojas zirgi var būt dārgas un visaptverošas programmas ar virkni iespēju, vai arī tās var būt vienkāršas programmas, kas nedara neko citu kā ping serveri. Jo īpaši Kazuar, kas nosaukts par Dienvidaustrumāzijas kazuāra putnu, vairāk ir tradicionāls aizmugures Trojas zirgs. Lai gan Kazuar ir salīdzinoši vienkāršs, tam ir dažas slēptas funkcijas, kas padara to par lielāku apdraudējumu nekā parastie aizmugures Trojas zirgi, piemēram, PowerStallion vai Neuron .

Kazuārs cenšas izvairīties no atklāšanas, kad Turlas hakeri vāc izlūkdatus no saviem mērķiem. Lai gan Kazuar ir .NET Framework lietojumprogramma, tai ir arī funkcijas, kas padara to saderīgu ar Mac un Unix/Linux sistēmām. Tomēr līdz šim savvaļā ir pamanīti tikai Windows varianti.

Apskatiet Kazuar kodu, un jūs redzēsiet, cik daudz darba tika ieguldīts šī vīrusa izstrādē. Kazuar ir uzlabota iestatīšanas rutīna, un tas spēj pielāgoties neaizsargātiem datoriem, nodrošinot noturību, izmantojot vairākas metodes. Vīruss izveido DLL un izmanto Windows pakalpojumus un .NET Framework funkcijas, lai paliktu datorā. Kad vīruss ir izveidots un darbojas, tas sniegs uzbrucējam informāciju par mērķa datoru un ļaus viņam pārņemt kontroli. Uzbrucēji var augšupielādēt failus, uzņemt ekrānuzņēmumus, aktivizēt tīmekļa kameras, kopēt datus, palaist izpildāmos failus un veikt citus uzdevumus, izmantojot papildu moduļus.

Ir vērts ņemt vērā API funkciju. Šādi vīrusi galvenokārt savienojas ar Command and Control serveriem (C2 serveriem) un gaida norādījumus. Kazuar izceļas ar to, ka tas var izveidot vienmēr klausošu tīmekļa serveri, kas palīdz vīrusam izvairīties no ugunsmūru un pretļaundabīgo programmu atklāšanas.

Kā Kazuar inficē datorus?

Kazuar ļaunprātīgā programmatūra inficē datorus, izmantojot vairākas dažādas metodes. Visizplatītākie ir ļaunprātīgas programmatūras komplekti, e-pasta surogātpasts, tīkla koplietošana, ļaunprātīgas saites un piekļuve inficētiem zibatmiņas diskiem. Kazuar noteikti radīs milzīgus bojājumus, tiklīdz tas nonāks jūsu datorā.

Cietušie ir ziņojuši par cietā diska kļūmēm, biežām avārijām, bojātām lietojumprogrammām un citām problēmām. Tas nenozīmē faktisko kaitējumu, ko tas varētu nodarīt finansiālu zaudējumu vai identitātes zādzības ziņā. Jums ir jāveic pasākumi, lai pasargātu sevi no Kazuar un pēc iespējas ātrāk novērstu jebkādu infekciju.

Inficējot mērķa ierīci, Kazuar ļaunprātīgā programmatūra apkopos informāciju par inficētā resursdatora programmatūru un aparatūru. Turklāt Kazuar draudi radītu unikālu mutex, pamatojoties uz cietā diska sērijas ID un aktīvā lietotāja lietotājvārdu. Šis uzbrukuma solis kalpo, lai noteiktu, vai inficētajā datorā nedarbojas divi Kazuar ļaunprogrammatūras varianti. Kad tas būs pabeigts, Kazuar ļaunprogrammatūra turpinās uzbrukumu, saglabājot resursdatora noturību. Tas tiek panākts, pārveidojot sistēmas Windows reģistru. Pēc tam Kazuar ļaunprogrammatūra izveidos savienojumu ar savu operatoru C&C (Command & Control) serveri un gaida, kad viņi saņems komandas. Viena no galvenajām Kazuar ļaunprātīgās programmatūras iezīmēm ir:

  • Lietotāja aktīvo logu un darbvirsmas ekrānuzņēmumu uzņemšana.
  • Failu lejupielāde.
  • Failu augšupielāde.
  • Videoierakstu ierakstīšana, izmantojot sistēmas kameru.
  • Darbojošo procesu pārvaldība.
  • Tālvadības komandu izpilde.
  • Aktīvo draudu spraudņu uzskaitīšana un pārvaldība.
  • Pašas un tā C&C serveru saraksta atjaunināšana.
  • Pašiznīcinošs.

Šis garais iespēju saraksts ļauj Kazuar ļaunprātīgajai programmatūrai nodarīt būtisku kaitējumu jebkurai sistēmai, kurā tai izdodas iefiltrēties. Tā kā, visticamāk, Kazuar draudu radītāji strādā pie šīs ļaunprogrammatūras OSX saderīgas iterācijas, vēl vairāk lietotāju būs apdraudēti. Lai aizsargātu savu sistēmu no kaitēkļiem, piemēram, Kazuar draudiem, noteikti lejupielādējiet un instalējiet īstu pretļaundabīgo programmu programmatūras komplektu, kas parūpēsies par jūsu kiberdrošību un pasargās jūsu datus.

Turla izvieto jaunu Kazuar variantu pret Targets Ukrainā

Kopš sākotnējās atklāšanas 2017. gadā, Kazuar ir sporādiski parādījies savvaļā, galvenokārt ietekmējot organizācijas Eiropas valdības un militārajā jomā. Tā saistība ar Sunburst aizmugures durvīm, par ko liecina kodu līdzības, uzsver tās izsmalcināto raksturu. Lai gan kopš 2020. gada beigām nav parādījušies jauni Kazuar paraugi, ziņojumi liecina par notiekošiem attīstības centieniem ēnā.

Atjauninātā Kazuar koda analīze izceļ tā veidotāju saskaņotos centienus uzlabot tā slepenās iespējas, izvairīties no atklāšanas mehānismiem un kavēt analīzes centienus. Tas tiek panākts, izmantojot virkni progresīvu pretanalīzes metožu, kas apvienotas ar stingrām šifrēšanas un neskaidrības metodēm, lai aizsargātu ļaunprātīgas programmatūras koda integritāti.

Jaunā Kazuar ļaunprātīgas programmatūras varianta galvenā funkcionalitāte

Tipiskā Turla stilā Kazuar izmanto stratēģiju, kas izmanto nolaupītu likumīgu vietņu izmantošanu vadības un kontroles (C2) infrastruktūrai, tādējādi izvairoties no noņemšanas. Turklāt Kazuar atvieglo saziņu pa nosauktajām caurulēm, izmantojot abas metodes, lai saņemtu attālās komandas vai uzdevumus.

Kazuar lepojas ar atbalstu 45 atšķirīgiem uzdevumiem savā C2 sistēmā, kas ir ievērojams tā funkcionalitātes uzlabojums salīdzinājumā ar iepriekšējām versijām. Iepriekšējie pētījumi dažus no šiem uzdevumiem nebija dokumentējuši. Turpretim 2017. gadā analizētais sākotnējais Kazuar variants atbalstīja tikai 26 C2 komandas.

Kazuar atpazīto komandu saraksts aptver dažādas kategorijas, tostarp:

  • Uzņēmēja datu vākšana
  • Paplašināta kriminālistikas datu vākšana
  • Failu manipulācijas
  • Patvaļīgu komandu izpilde
  • Mijiedarbība ar Kazuar konfigurācijas iestatījumiem
  • Vaicājumi un manipulācijas ar Windows reģistru
  • Skriptu izpilde (VBS, PowerShell, JavaScript)
  • Pielāgotu tīkla pieprasījumu sūtīšana
  • Akreditācijas datu un sensitīvas informācijas zādzība

Datu zādzība joprojām ir viena no galvenajām Turlas prioritātēm

Kazuar spēj ievākt akreditācijas datus no dažādiem artefaktiem apdraudētajā datorā, ko aktivizē komandas, piemēram, "zagt" vai "neuzraudzīt", kas saņemtas no Command-and-Control (C2) servera. Šie artefakti ietver daudzas labi zināmas mākoņa lietojumprogrammas.

Turklāt Kazuar var atlasīt sensitīvus failus, kas satur ar šīm lietojumprogrammām saistītos akreditācijas datus. Starp mērķtiecīgiem artefaktiem ir Git SCM (izstrādātāju vidū populāra avotu kontroles sistēma) un Signal (šifrēta ziņojumapmaiņas platforma privātai saziņai).

Izveidojot unikālu risinātāja pavedienu, Kazuar automātiski uzsāk plašu sistēmas profilēšanas uzdevumu, ko tā veidotāji nodēvējuši par “first_systeminfo_do”. Šis uzdevums ir saistīts ar mērķa sistēmas rūpīgu apkopošanu un profilēšanu. Kazuar apkopo visaptverošu informāciju par inficēto mašīnu, tostarp informāciju par operētājsistēmu, aparatūras specifikācijām un tīkla konfigurāciju.

Apkopotie dati tiek glabāti failā “info.txt”, savukārt izpildes žurnāli tiek saglabāti failā “logs.txt”. Turklāt, veicot šo uzdevumu, ļaunprātīgā programmatūra tver lietotāja ekrāna ekrānuzņēmumu. Pēc tam visi savāktie faili tiek apvienoti vienā arhīvā, šifrēti un nosūtīti uz C2.

Kazuar inficētajās ierīcēs izveido vairākus automatizētus uzdevumus

Kazuar spēj izveidot automatizētas procedūras, kas tiek izpildītas ar iepriekš noteiktiem intervāliem, lai izgūtu datus no apdraudētām sistēmām. Šie automatizētie uzdevumi ietver virkni funkciju, tostarp visaptverošas sistēmas informācijas apkopošanu, kā aprakstīts sadaļā Visaptveroša sistēmas profilēšana, ekrānuzņēmumu tveršanu, akreditācijas datu izvilkšanu, kriminālistikas datu izgūšanu, automātiskās palaišanas datu iegūšanu, failu iegūšanu no norādītajām mapēm, failu saraksta sastādīšanu. LNK faili un e-pasta ziņojumu zagšana, izmantojot MAPI.

Šīs funkcijas ļauj Kazuar veikt sistemātisku uzraudzību un datu ieguvi no inficētām iekārtām, nodrošinot ļaunprātīgiem dalībniekiem daudz sensitīvas informācijas. Izmantojot šos automatizētos uzdevumus, Kazuar racionalizē izlūkošanas un datu eksfiltrācijas procesu, uzlabojot tā kā kiberspiegošanas un ļaunprātīgas darbības instrumenta efektivitāti.

Atjauninātā Kazuar ļaunprogrammatūra ir aprīkota ar plašām pretanalīzes iespējām

Kazuar izmanto dažādas sarežģītas pretanalīzes metodes, kas ir rūpīgi izstrādātas, lai izvairītos no atklāšanas un pārbaudes. Tā veidotāju programmētais Kazuar dinamiski pielāgo savu uzvedību, pamatojoties uz analīzes darbību klātbūtni. Kad tiek konstatēts, ka analīze netiek veikta, Kazuar turpina savu darbību. Tomēr, ja tas konstatē jebkādas atkļūdošanas vai analīzes pazīmes, tas nekavējoties pāriet dīkstāves stāvoklī, apturot visus saziņu ar savu komandu un vadības (C2) serveri.

Antidempings

Ņemot vērā, ka Kazuar darbojas kā injicēts komponents citā procesā, nevis kā autonoma vienība, pastāv iespēja izvilkt savu kodu no resursdatora procesa atmiņas. Lai novērstu šo ievainojamību, Kazuar lietpratīgi izmanto .NET spēcīgu līdzekli System.Reflection Namespace. Šī iespēja nodrošina Kazuar veiklību, lai dinamiski izgūtu metadatus, kas attiecas uz tā montāžu, metodēm un citiem kritiskiem elementiem reāllaikā, nostiprinot tā aizsardzību pret iespējamiem koda ekstrakcijas centieniem.

Turklāt Kazuar ievieš aizsardzības pasākumu, rūpīgi pārbaudot, vai ir iespējots iestatījums antidump_methods. Šādos gadījumos tas ignorē norādes uz savām individuālajām metodēm, vienlaikus neņemot vērā vispārīgās .NET metodes, efektīvi izdzēšot tās no atmiņas. Kā liecina Kazuar reģistrētais ziņojums, šī proaktīvā pieeja neļauj pētniekiem iegūt neskartu ļaunprātīgas programmatūras versiju, tādējādi uzlabojot tās noturību pret analīzi un atklāšanu.

Honeypot pārbaude

Viens no sākotnējiem uzdevumiem, Kazuar rūpīgi skenē, vai mērķa mašīnā nav redzamas medus poda artefaktu pazīmes. Lai to paveiktu, tas atsaucas uz iepriekš definētu procesu nosaukumu un failu nosaukumu sarakstu, izmantojot cieto kodu. Ja Kazuar sastopas ar vairāk nekā pieciem šo norādīto failu vai procesu gadījumiem, tas nekavējoties reģistrē atklājumu kā norādi uz medus poda klātbūtni.

Analīzes rīku pārbaude

Kazuar uztur sarakstu ar iepriekš definētiem nosaukumiem, kas pārstāv dažādus plaši izmantotus analīzes rīkus. Tas sistemātiski pārskata sarakstu, salīdzinot ar sistēmas aktīvajiem procesiem. Konstatējot kāda no šiem rīkiem darbību, Kazuar nekavējoties reģistrē atradumu, norādot uz analīzes rīku klātbūtni.

Smilškastes pārbaude

Kazuar rīcībā ir iepriekš noteiktu smilškastes bibliotēku kopums, kas ir iekodēts tā sistēmā. Tas veic skenēšanu, lai identificētu konkrētus DLL, kas saistīti ar dažādiem smilškastes pakalpojumiem. Saskaroties ar šiem failiem, Kazuar secina, ka tas darbojas laboratorijas vidē, liekot tam pārtraukt savu darbību.

Notikumu žurnāla monitors

Kazuar sistemātiski apkopo un interpretē Windows notikumu žurnālos ierakstītos notikumus. Tas ir īpaši vērsts uz notikumiem, kuru pamatā ir ļaunprātīgas programmatūras un drošības pārdevēji. Šis apzinātais fokuss atbilst tās stratēģijai, lai uzraudzītu darbības, kas saistītas ar plaši izmantotiem drošības produktiem, pamatojoties uz ticamu pieņēmumu, ka šie rīki ir izplatīti starp potenciālajiem mērķiem.

Ļaunprātīgā programmatūra Kazuar joprojām rada nopietnus draudus digitālajā telpā

Jaunākais Kazuar ļaunprātīgās programmatūras variants, kas nesen tika identificēts savvaļā, demonstrē vairākus ievērojamus atribūtus. Tajā ir iekļautas stabilas koda un virkņu aptumšošanas metodes, kā arī daudzpavedienu modelis uzlabotai veiktspējai. Turklāt ir ieviestas vairākas šifrēšanas shēmas, lai aizsargātu Kazuar kodu no analīzes un slēptu tā datus gan atmiņā, gan pārraides laikā, gan diskā. Šo funkciju mērķis ir nodrošināt Kazuar aizmugures durvis ar paaugstinātu slepenības līmeni.

Turklāt šajā ļaunprātīgās programmatūras atkārtojumā ir izsmalcinātas pretanalīzes funkcijas un plašas sistēmas profilēšanas iespējas. Ievērības cienīga ir tā īpašā mērķauditorijas atlase uz mākoņa lietojumprogrammām. Turklāt šī Kazuar versija lepojas ar atbalstu plašam vairāk nekā 40 atšķirīgu komandu klāstam, un pusi no tām iepriekš nav dokumentējuši kiberdrošības pētnieki.

Kā aizsargāties pret Kazuar

Tāpat kā jebkura veida draudu gadījumā, galvenais, ko varat darīt, lai aizsargātu datoru, ir izvairīties no e-pasta pielikumu un saišu atvēršanas. Neizmantojiet e-pastu, ja nezināt, no kurienes tas ir nācis. Regulāri dublējiet arī svarīgākos datus. Palīdz arī vairāku dublējumkopiju izveide, jo, jo vairāk dublējumkopiju jums ir, jo lielākas ir jūsu iespējas atgriezties normālā stāvoklī Kazuar vai citas ļaunprātīgas programmatūras gadījumā.

Visbeidzot, jūs vēlaties pārliecināties, vai visas jūsu programmas un lietojumprogrammas ir atjauninātas. Neaizmirstiet pārāk regulāri atjaunināt operētājsistēmu. Datoru apdraudējumi uzplaukst, izmantojot operētājsistēmu un programmatūras ekspluatāciju, tāpēc neļaujiet tiem kavēties.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
36,927
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...