Multi-License Discount Quote
Pangkalan Data Ancaman Backdoors Kazuar

Kazuar

Menjelang GoldSparrow pada Backdoors
Terjemahkan ke
بهاس ملايو

Penyelidik telah menemui Trojan pintu belakang yang dipanggil Kazuar. Kazuar didapati dikaitkan dengan kempen pengintipan dan nampaknya ditulis dengan Microsoft .NET Framework. Kazuar membenarkan penyerang mendapat akses lengkap kepada sistem yang terjejas.

Kazuar mempunyai beberapa fungsi dan arahan yang berpotensi, termasuk keupayaan untuk memuatkan pemalam dari jauh. Pemalam ini memberikan Trojan keupayaan yang lebih besar dan menjadikannya lebih ancaman. Terdapat juga kod dalam ketegangan yang diperhatikan yang mencadangkan terdapat versi Linux dan Mac Kazuar di luar sana di dunia. Satu perkara yang menonjol tentang Kazuar ialah ia berfungsi melalui Antara Muka Pengaturcaraan Aplikasi (API) yang disambungkan ke pelayan web, dan ia mungkin virus pertama – dan satu-satunya – bertindak sedemikian.

Siapa di Sebalik Kazuar?

Penyelidik percaya bahawa Kazuar dikaitkan dengan Turla , kumpulan APT (Advanced Persistent Threat), yang juga dikenali beroperasi di bawah nama Snake dan Uroburos . Turla terkenal dengan keupayaan canggihnya dan menjadi kumpulan ancaman siber yang berpangkalan di Rusia sejak sekian lama yang didakwa mempunyai hubungan dengan Perkhidmatan Keselamatan Persekutuan Rusia (FSB). Kumpulan itu menyasarkan kedutaan, institusi pendidikan, kontraktor pertahanan, dan organisasi penyelidikan dengan serangan mereka. Turla mempunyai sesuatu tandatangan dalam kod mereka yang mengenal pasti alat sebagai milik mereka, dan kod yang digunakan untuk Kazuar boleh dikesan kembali ke 2005, sekurang-kurangnya.

Turla telah menggunakan beberapa alatan pada zaman mereka, kebanyakannya digunakan pada peringkat kedua serangan dalam persekitaran yang terjejas. Kazuar boleh menjadi salah satu cara baharu kumpulan Turla mengendalikan operasi.

Apa yang Kazuar Lakukan?

Kazuar ialah Trojan pintu belakang, yang merupakan salah satu kategori ancaman digital terbesar. Trojan Pintu Belakang boleh menjadi program yang mahal dan komprehensif dengan pelbagai keupayaan, atau ia boleh menjadi program mudah yang tidak melakukan apa-apa selain ping pelayan. Kazuar, khususnya, dinamakan untuk burung kasuari Asia Tenggara, lebih kepada Trojan pintu belakang tradisional. Walaupun Kazuar agak asas, ia mempunyai beberapa ciri tersembunyi yang menjadikannya lebih ancaman daripada Trojan pintu belakang biasa seperti PowerStallion atau Neuron .

Kazuar berusaha untuk mengelak daripada dikesan ketika penggodam Turla mengumpulkan risikan daripada sasaran mereka. Walaupun Kazuar ialah aplikasi Rangka Kerja .NET, ia juga mempunyai ciri yang menjadikannya serasi dengan sistem Mac dan Unix/Linux. Setakat ini, bagaimanapun, hanya varian Windows telah dikesan di alam liar.

Lihat kod untuk Kazuar, dan anda akan melihat betapa banyak usaha telah dimasukkan ke dalam virus ini. Kazuar mempunyai rutin persediaan yang dipertingkatkan dan mampu menyesuaikan diri dengan komputer yang terdedah dengan mewujudkan kegigihan melalui beberapa kaedah. Virus ini mencipta DLL dan mengeksploitasi perkhidmatan Windows dan .NET Framework berfungsi untuk kekal pada komputer. Sebaik sahaja virus itu berfungsi dan berjalan, ia akan memberikan maklumat penyerang tentang komputer sasaran dan membiarkan mereka mengawal. Penyerang boleh memuat naik fail, mengambil tangkapan skrin, mengaktifkan kamera web, menyalin data, melancarkan fail boleh laku dan melaksanakan tugas lain melalui modul pilihan.

Perlu mengambil perhatian tentang ciri API. Virus seperti ini terutamanya menyambung ke pelayan Perintah dan Kawalan (pelayan C2) dan menunggu arahan. Kazuar menyerlah kerana ia boleh mencipta pelayan Web yang sentiasa mendengar yang membantu virus mengelakkan tembok api dan pengesanan anti-malware.

Bagaimana Kazuar Menjangkiti Komputer?

Malware Kazuar menjangkiti komputer melalui beberapa kaedah berbeza. Yang paling biasa ialah berkas perisian berniat jahat, spam e-mel, perkongsian rangkaian, pautan berniat jahat dan mengakses pemacu kilat yang dijangkiti. Kazuar pasti akan menyebabkan sejumlah besar kerosakan sebaik sahaja ia terkena pada komputer anda.

Mangsa telah melaporkan terpaksa berhadapan dengan kegagalan cakera keras, ranap yang kerap, aplikasi rosak dan banyak lagi. Itu tidak bermakna bahaya sebenar yang boleh dilakukannya dari segi kerugian kewangan atau kecurian identiti. Anda harus mengambil langkah untuk melindungi diri anda daripada Kazuar dan membuang sebarang jangkitan secepat mungkin.

Apabila menjangkiti peranti yang disasarkan, perisian hasad Kazuar akan mengumpul beberapa maklumat mengenai perisian dan perkakasan hos yang dijangkiti. Tambahan pula, ancaman Kazuar akan menghasilkan mutex unik berdasarkan ID siri cakera keras dan nama pengguna pengguna aktif. Langkah serangan ini berfungsi untuk mengesan sama ada terdapat dua varian malware Kazuar yang berjalan pada komputer yang dijangkiti. Sebaik sahaja ini selesai, perisian hasad Kazuar akan meneruskan serangan dengan mendapatkan kegigihan pada hos. Ini dicapai dengan mengubah suai Windows Registry sistem. Seterusnya, perisian hasad Kazuar akan menyambung ke pelayan C&C (Perintah & Kawalan) pengendalinya dan menunggu untuk diberi arahan oleh mereka. Antara ciri utama perisian hasad Kazuar ialah:

  • Mengambil tangkapan skrin tetingkap dan desktop aktif pengguna.
  • Memuat turun fail.
  • Memuat naik fail.
  • Merakam rakaman melalui kamera sistem.
  • Menguruskan proses berjalan.
  • Melaksanakan arahan jauh.
  • Menyenaraikan dan mengurus pemalam aktif ancaman itu.
  • Mengemas kini dirinya dan senarai pelayan C&Cnya.
  • Memusnahkan diri sendiri.

    • Senarai panjang keupayaan ini membolehkan perisian hasad Kazuar menyebabkan kerosakan yang ketara kepada mana-mana sistem yang berjaya menyusup. Memandangkan kemungkinan pencipta ancaman Kazuar sedang mengusahakan lelaran perisian hasad ini yang serasi dengan OSX, lebih ramai pengguna akan berisiko. Untuk melindungi sistem anda daripada perosak seperti ancaman Kazuar, pastikan anda memuat turun dan memasang suite perisian anti-malware tulen yang akan menjaga keselamatan siber anda dan memastikan data anda selamat.

    Turla Mengerahkan Varian Kazuar Baharu terhadap Sasaran di Ukraine

    Sejak pengesanan awalnya pada 2017, Kazuar telah muncul secara sporadis di alam liar, terutamanya mempengaruhi organisasi dalam bidang kerajaan dan ketenteraan Eropah. Sambungannya dengan pintu belakang Sunburst , yang dibuktikan oleh persamaan kod, menggariskan sifatnya yang canggih. Walaupun tiada sampel Kazuar baharu telah muncul sejak akhir 2020, laporan mencadangkan usaha pembangunan berterusan dalam bayang-bayang.

    Analisis kod Kazuar yang dikemas kini menyerlahkan usaha bersepadu oleh penciptanya untuk meningkatkan keupayaan senyapnya, mengelak mekanisme pengesanan dan menggagalkan usaha analisis. Ini dicapai melalui pelbagai kaedah anti-analisis lanjutan ditambah dengan penyulitan yang teguh dan teknik pengeliruan untuk melindungi integriti kod perisian hasad.

    Fungsi Teras Varian Hasad Kazuar Baharu

    Dalam fesyen Turla biasa, Kazuar menggunakan strategi menggunakan tapak web sah yang dirampas untuk infrastruktur Perintah dan Kawalan (C2), sekali gus mengelak alih keluar. Selain itu, Kazuar memudahkan komunikasi melalui paip yang dinamakan, menggunakan kedua-dua kaedah untuk menerima arahan atau tugas jauh.

    Kazuar menawarkan sokongan untuk 45 tugasan yang berbeza dalam rangka kerja C2nya, mewakili kemajuan ketara dalam fungsinya berbanding versi terdahulu. Penyelidikan sebelumnya tidak mendokumenkan beberapa tugas ini. Sebaliknya, varian awal Kazuar yang dianalisis pada 2017 hanya menyokong 26 arahan C2.

    Senarai arahan Kazuar yang diiktiraf merangkumi pelbagai kategori, termasuk:

    • Pengumpulan data hos
    • Pengumpulan data forensik lanjutan
    • Manipulasi fail
    • Pelaksanaan arahan sewenang-wenangnya
    • Berinteraksi dengan tetapan konfigurasi Kazuar
  • Menyoal dan memanipulasi pendaftaran Windows
  • Pelaksanaan skrip (VBS, PowerShell, JavaScript)
  • Menghantar permintaan rangkaian tersuai
  • Kecurian bukti kelayakan dan maklumat sensitif

    • Kecurian Data Kekal Antara Keutamaan Tertinggi untuk Turla

    Kazuar mempunyai keupayaan untuk menuai kelayakan daripada pelbagai artifak dalam komputer yang terjejas, yang dicetuskan oleh arahan seperti 'mencuri' atau 'tidak menjaga' yang diterima daripada pelayan Command-and-Control (C2). Artifak ini merangkumi banyak aplikasi awan yang terkenal.

    Tambahan pula, Kazuar boleh menyasarkan fail sensitif yang mengandungi bukti kelayakan yang dikaitkan dengan aplikasi ini. Antara artifak yang disasarkan ialah Git SCM (sistem kawalan sumber yang popular di kalangan pembangun) dan Signal (platform pemesejan yang disulitkan untuk komunikasi peribadi).

    Setelah menghasilkan benang penyelesai yang unik, Kazuar secara automatik memulakan tugas pemprofilan sistem yang luas, yang digelar 'first_systeminfo_do' oleh penciptanya. Tugas ini memerlukan pengumpulan dan pemprofilan menyeluruh sistem yang disasarkan. Kazuar mengumpulkan maklumat menyeluruh tentang mesin yang dijangkiti, termasuk butiran tentang sistem pengendalian, spesifikasi perkakasan dan konfigurasi rangkaian.

    Data yang dikumpul disimpan dalam fail 'info.txt', manakala log pelaksanaan disimpan dalam fail 'logs.txt'. Selain itu, sebagai sebahagian daripada tugas ini, perisian hasad menangkap tangkapan skrin skrin pengguna. Semua fail yang dikumpul kemudiannya digabungkan ke dalam satu arkib, disulitkan dan dihantar ke C2.

    Kazuar Menubuhkan Pelbagai Tugas Automatik pada Peranti Yang Dijangkiti

    Kazuar mempunyai keupayaan untuk mewujudkan prosedur automatik yang dilaksanakan pada selang masa yang telah ditetapkan untuk tujuan mendapatkan semula data daripada sistem yang terjejas. Tugas automatik ini merangkumi pelbagai fungsi, termasuk mengumpul maklumat sistem yang komprehensif seperti yang diperincikan dalam bahagian mengenai Pemprofilan Sistem Komprehensif, menangkap tangkapan skrin, mengekstrak bukti kelayakan, mendapatkan semula data forensik, memperoleh data yang dikendalikan secara automatik, mendapatkan fail daripada folder yang ditetapkan, menyusun senarai Fail LNK, dan merompak e-mel melalui penggunaan MAPI.

    Fungsi ini membolehkan Kazuar menjalankan pengawasan sistematik dan pengekstrakan data daripada mesin yang dijangkiti, memperkasakan pelaku berniat jahat dengan pelbagai maklumat sensitif. Dengan memanfaatkan tugas automatik ini, Kazuar memperkemas proses peninjauan dan penyingkiran data, meningkatkan keberkesanannya sebagai alat untuk pengintipan siber dan aktiviti berniat jahat.

    Perisian Hasad Kazuar yang Dikemas kini Dilengkapi dengan Keupayaan Anti-Analisis yang Luas

    Kazuar menggunakan pelbagai teknik anti-analisis canggih yang direka dengan teliti untuk mengelakkan pengesanan dan penelitian. Diprogramkan oleh penciptanya, Kazuar menyesuaikan tingkah lakunya secara dinamik berdasarkan kehadiran aktiviti analisis. Apabila ia menentukan bahawa tiada analisis sedang dijalankan, Kazuar meneruskan operasinya. Walau bagaimanapun, jika ia mengesan sebarang tanda penyahpepijatan atau analisis, ia serta-merta memasuki keadaan terbiar, menghentikan semua komunikasi dengan pelayan Perintah dan Kawalan (C2)nya.

    Anti-Lambakan

    Memandangkan Kazuar beroperasi sebagai komponen yang disuntik dalam proses lain dan bukannya sebagai entiti autonomi, prospek untuk mengekstrak kodnya daripada ingatan proses hos muncul. Untuk mengatasi kelemahan ini, Kazuar menggunakan ciri yang mantap dalam .NET, Ruang Nama Refleksi Sistem. Keupayaan ini memberikan Kazuar ketangkasan untuk mendapatkan semula metadata yang berkaitan dengan pemasangannya, kaedah secara dinamik dan elemen kritikal lain dalam masa nyata, mengukuhkan pertahanannya terhadap usaha pengekstrakan kod yang berpotensi.

    Selain itu, Kazuar melaksanakan langkah pertahanan dengan meneliti sama ada tetapan antidump_methods didayakan. Dalam kes sedemikian, ia mengatasi penunjuk kepada kaedah yang dipesan lebih dahulu sambil mengabaikan kaedah .NET generik, dengan berkesan memadamkannya daripada ingatan. Seperti yang dibuktikan oleh mesej log Kazuar, pendekatan proaktif ini berfungsi untuk menghalang penyelidik daripada mengekstrak versi utuh perisian hasad, dengan itu meningkatkan daya tahannya terhadap analisis dan pengesanan.

    Semak Honeypot

    Antara tugas awalnya, Kazuar rajin mengimbas sebarang tanda artifak honeypot pada mesin sasaran. Untuk mencapai matlamat ini, ia merujuk senarai nama proses dan nama fail yang telah ditetapkan, menggunakan pendekatan berkod keras. Sekiranya Kazuar menemui lebih daripada lima contoh fail atau proses yang dinyatakan ini, ia segera merekodkan penemuan itu sebagai petunjuk kehadiran honeypot.

    Pemeriksaan Alat Analisis

    Kazuar mengekalkan senarai nama yang telah ditetapkan yang mewakili pelbagai alat analisis yang digunakan secara meluas. Ia menyemak senarai secara sistematik terhadap proses aktif pada sistem. Setelah mengesan operasi mana-mana alat ini, Kazuar segera mendaftarkan penemuan, menunjukkan kehadiran alat analisis.

    Semak Kotak Pasir

    Kazuar mempunyai satu set perpustakaan kotak pasir yang telah ditetapkan yang dikodkan keras ke dalam sistemnya. Ia menjalankan imbasan untuk mengenal pasti DLL tertentu yang dikaitkan dengan pelbagai perkhidmatan kotak pasir. Apabila menemui fail ini, Kazuar membuat kesimpulan bahawa ia berjalan dalam persekitaran makmal, mendorongnya untuk menghentikan operasinya.

    Pemantau Log Peristiwa

    Kazuar secara sistematik mengumpulkan dan mentafsir peristiwa yang direkodkan dalam log peristiwa Windows. Ia secara khusus menyasarkan acara yang berasal daripada pilihan vendor anti-perisian hasad dan keselamatan. Tumpuan yang disengajakan ini sejajar dengan strategi pemantauan aktiviti yang dikaitkan dengan produk keselamatan yang digunakan secara meluas di bawah andaian munasabah bahawa alat ini lazim di kalangan sasaran yang berpotensi.

    Perisian Hasad Kazuar Terus Mewakili Ancaman Utama dalam Ruang Digital

    Varian terbaru perisian hasad Kazuar, baru-baru ini dikenal pasti di alam liar, mempamerkan beberapa atribut yang ketara. Ia menggabungkan teknik kod dan rentetan yang mantap bersama model berbilang benang untuk prestasi yang dipertingkatkan. Tambahan pula, pelbagai skim penyulitan dilaksanakan untuk melindungi kod Kazuar daripada analisis dan untuk menyembunyikan datanya, sama ada dalam ingatan, semasa penghantaran atau pada cakera. Ciri-ciri ini secara kolektif bertujuan untuk memberikan pintu belakang Kazuar dengan tahap tersembunyi yang lebih tinggi.

    Selain itu, lelaran perisian hasad ini mempamerkan fungsi anti-analisis yang canggih dan keupayaan pemprofilan sistem yang luas. Penyasaran khusus aplikasi awannya patut diberi perhatian. Lebih-lebih lagi, versi Kazuar ini mempunyai sokongan untuk pelbagai lebih daripada 40 arahan berbeza, dengan separuh daripadanya sebelum ini tidak didokumentasikan oleh penyelidik keselamatan siber.

    Bagaimana untuk Melindungi daripada Kazuar

    Seperti mana-mana jenis ancaman, perkara utama yang boleh anda lakukan untuk melindungi komputer anda adalah untuk mengelakkan daripada membuka lampiran dan pautan e-mel. Jangan berinteraksi dengan e-mel jika anda tidak tahu dari mana ia datang. Selain itu, pastikan anda menyandarkan data paling penting anda dengan kerap. Ia juga membantu untuk mempunyai berbilang sandaran, kerana lebih banyak sandaran yang anda miliki, lebih tinggi peluang anda untuk memulihkan keadaan semula sekiranya berlaku Kazuar atau perisian hasad yang lain.

    Akhir sekali, anda ingin memastikan bahawa semua program dan aplikasi anda dikemas kini. Jangan lupa untuk mengemas kini sistem pengendalian anda terlalu kerap. Ancaman komputer berkembang pesat melalui eksploitasi dalam sistem pengendalian dan perisian, jadi jangan biarkan ia berlarutan.

    Trending

    Paling banyak dilihat

    Memuatkan...