Kazuar

Raziskovalci so odkrili zakulisnega trojanca, imenovanega Kazuar. Ugotovljeno je bilo, da je Kazuar povezan z vohunsko kampanjo in zdi se, da je napisan z Microsoft .NET Framework. Kazuar omogoča napadalcem popoln dostop do ogroženega sistema.

Kazuar ima več možnih funkcij in ukazov, vključno z možnostjo nalaganja vtičnikov na daljavo. Ti vtičniki dajejo trojancu večje zmogljivosti in ga naredijo večjo grožnjo. V opazovanem sevu je bila tudi koda, ki je nakazovala, da na svetu obstajajo različici Kazuarja za Linux in Mac. Ena stvar, ki izstopa pri Kazuarju, je, da deluje prek aplikacijskega programskega vmesnika (API), povezanega s spletnim strežnikom, in je morda prvi – in edini – virus, ki deluje na tak način.

Kdo stoji za Kazuarjem?

Raziskovalci verjamejo, da je Kazuar povezan s Turlo , skupino APT (Advanced Persistent Threat), ki deluje tudi pod imeni Snake in Uroburos . Turla je znana po svojih naprednih zmogljivostih in je dolgoletna skupina za kibernetsko grožnjo s sedežem v Rusiji in domnevno povezana z rusko zvezno varnostno službo (FSB). Skupina s svojimi napadi cilja na veleposlaništva, izobraževalne ustanove, obrambne izvajalce in raziskovalne organizacije. Turla ima nekaj podpisa v svoji kodi, ki identificira orodja kot njihova, in kodo, uporabljeno za Kazuar, je mogoče izslediti vsaj do leta 2005.

Turla je v svojem času uporabil številna orodja, ki so večinoma uporabljena na drugi stopnji napadov v ogroženih okoljih. Kazuar bi lahko bil nov način, kako skupina Turla upravlja operacije.

Kaj počne Kazuar?

Kazuar je zakulisni trojanec, ki je ena največjih kategorij digitalnih groženj. Zakulisni trojanci so lahko dragi in obsežni programi z vrsto zmogljivosti ali pa so preprosti programi, ki ne naredijo nič drugega kot pinganje strežnika. Zlasti Kazuar, imenovan po ptici kazuarju iz jugovzhodne Azije, je bolj tradicionalen trojanski konj. Čeprav je Kazuar razmeroma preprost, ima nekaj skritih funkcij, zaradi katerih predstavlja večjo grožnjo kot tipični zakulisni trojanci, kot sta PowerStallion ali Neuron .

Kazuar se želi izogniti temu, da bi ga odkrili, medtem ko hekerji Turla zbirajo obveščevalne podatke od svojih tarč. Čeprav je Kazuar aplikacija .NET Framework, ima tudi funkcije, zaradi katerih je združljiv s sistemi Mac in Unix/Linux. Vendar so bile doslej v naravi opažene le različice sistema Windows.

Oglejte si kodo za Kazuar in videli boste, koliko dela je bilo vloženega v ta virus. Kazuar ima izboljšano namestitveno rutino in se lahko prilagodi ranljivim računalnikom z vzpostavitvijo obstojnosti s številnimi metodami. Virus ustvarja DLL-je in izkorišča storitve Windows in funkcije .NET Framework, da ostane v računalniku. Ko se virus zažene in deluje, bo napadalcu dal informacije o ciljnem računalniku in mu dovolil, da prevzame nadzor. Napadalci lahko naložijo datoteke, naredijo posnetke zaslona, aktivirajo spletne kamere, kopirajo podatke, zaženejo izvedljive datoteke in izvajajo druga opravila prek izbirnih modulov.

Vredno je upoštevati funkcijo API. Virusi, kot je ta, se predvsem povežejo s strežniki za ukaze in nadzor (strežniki C2) in čakajo na navodila. Kazuar izstopa, ker lahko ustvari spletni strežnik, ki vedno posluša, in pomaga virusu, da se izogne požarnim zidom in zaznavam proti zlonamerni programski opremi.

Kako Kazuar okuži računalnike?

Zlonamerna programska oprema Kazuar okuži računalnike na več različnih načinov. Najpogostejši so paketi zlonamerne programske opreme, vsiljena elektronska pošta, skupna raba omrežja, zlonamerne povezave in dostop do okuženih bliskovnih pogonov. Kazuar bo zagotovo povzročil ogromno škode, ko pride v vaš računalnik.

Žrtve so poročale o okvari trdega diska, pogostih zrušitvah, poškodovanih aplikacijah in še več. To ne pomeni ničesar o dejanski škodi, ki bi jo lahko povzročil v smislu finančne izgube ali kraje identitete. Ukrepati morate, da se zaščitite pred Kazuarjem in čim prej odstranite kakršno koli okužbo.

Po okužbi ciljne naprave bi zlonamerna programska oprema Kazuar zbrala nekaj informacij o programski in strojni opremi okuženega gostitelja. Poleg tega bi grožnja Kazuar ustvarila edinstven mutex na podlagi serijskega ID-ja trdega diska in uporabniškega imena aktivnega uporabnika. Ta korak napada služi odkrivanju, ali se na okuženem računalniku izvajata dve različici zlonamerne programske opreme Kazuar. Ko je to končano, bo zlonamerna programska oprema Kazuar nadaljevala z napadom in pridobila vztrajnost na gostitelju. To se doseže s spremembo sistemskega registra Windows. Nato bi se zlonamerna programska oprema Kazuar povezala s strežnikom C&C (Command & Control) svojih operaterjev in čakala, da ji ti izdajo ukaze. Med glavnimi značilnostmi zlonamerne programske opreme Kazuar je:

• Posnetek zaslona uporabnikovih aktivnih oken in namizja.
• Prenašanje datotek.
• Nalaganje datotek.
• Snemanje posnetkov preko kamere sistema.
• Upravljanje tekočih procesov.
• Izvajanje oddaljenih ukazov.
• Seznam in upravljanje aktivnih vtičnikov grožnje.

Ta dolg seznam zmogljivosti omogoča zlonamerni programski opremi Kazuar, da povzroči znatno škodo vsakemu sistemu, v katerega se uspe infiltrirati. Ker je verjetno, da ustvarjalci grožnje Kazuar delajo na različici te zlonamerne programske opreme, združljivi z OSX, bo ogroženih še več uporabnikov. Če želite zaščititi svoj sistem pred škodljivci, kot je grožnja Kazuar, prenesite in namestite pristen paket programske opreme proti zlonamerni programski opremi, ki bo poskrbel za vašo kibernetsko varnost in varoval vaše podatke.

Turla uporablja novo različico Kazuar proti ciljem v Ukrajini

Od začetnega odkritja leta 2017 se je Kazuar občasno pojavil v divjini, pri čemer je prizadel predvsem organizacije v evropskih vladnih in vojaških sferah. Njegova povezava z zadnjimi vrati Sunburst , ki jo dokazujejo podobnosti kode, poudarja njegovo prefinjeno naravo. Čeprav se od konca leta 2020 niso pojavili novi vzorci Kazuarja, so poročila nakazovala stalna razvojna prizadevanja v senci.

Analiza posodobljene kode Kazuar poudarja usklajeno prizadevanje njenih ustvarjalcev, da bi izboljšali njene prikrite zmogljivosti, se izognili mehanizmom zaznavanja in preprečili poskuse analize. To dosežemo z vrsto naprednih metod proti-analize, skupaj z robustnimi tehnikami šifriranja in zamegljevanja, da zaščitimo celovitost kode zlonamerne programske opreme.

Osnovna funkcionalnost nove različice zlonamerne programske opreme Kazuar

Na tipičen turlaški način Kazuar uporablja strategijo uporabe ugrabljenih zakonitih spletnih mest za svojo infrastrukturo za poveljevanje in nadzor (C2), s čimer se izogne odstranitvam. Poleg tega Kazuar olajša komunikacijo prek poimenovanih cevi z uporabo obeh metod za prejemanje ukazov ali opravil na daljavo.

Kazuar se ponaša s podporo za 45 različnih nalog znotraj svojega okvira C2, kar predstavlja pomemben napredek v njegovi funkcionalnosti v primerjavi s prejšnjimi različicami. Prejšnje raziskave nekaterih od teh nalog niso dokumentirale. V nasprotju s tem je začetna različica Kazuarja, analizirana leta 2017, podpirala le 26 ukazov C2.

Kazuarjev seznam priznanih ukazov zajema različne kategorije, vključno z:

• Zbiranje podatkov gostitelja
• Razširjeno zbiranje forenzičnih podatkov
• Manipulacija datotek
• Izvajanje poljubnih ukazov
• Interakcija s konfiguracijskimi nastavitvami Kazuarja

Kraja podatkov ostaja med glavnimi prioritetami za Turlo

Kazuar ima zmožnost pridobivanja poverilnic iz različnih artefaktov v ogroženem računalniku, ki jih sprožijo ukazi, kot sta »ukradel« ali »unattend«, prejeti iz strežnika za ukazovanje in nadzor (C2). Ti artefakti zajemajo številne dobro znane aplikacije v oblaku.

Poleg tega lahko Kazuar cilja na občutljive datoteke, ki vsebujejo poverilnice, povezane s temi aplikacijami. Med ciljnimi artefakti sta Git SCM (priljubljen sistem za nadzor vira med razvijalci) in Signal (šifrirana platforma za sporočanje za zasebno komunikacijo).

Ko ustvari edinstveno nit reševalnika, Kazuar samodejno sproži obsežno nalogo profiliranja sistema, ki so jo njegovi ustvarjalci poimenovali 'first_systeminfo_do'. Ta naloga vključuje temeljito zbiranje in profiliranje ciljnega sistema. Kazuar zbere izčrpne informacije o okuženem računalniku, vključno s podrobnostmi o operacijskem sistemu, specifikacijah strojne opreme in konfiguraciji omrežja.

Zbrani podatki so shranjeni v datoteki 'info.txt', medtem ko so dnevniki izvajanja shranjeni v datoteki 'logs.txt'. Poleg tega kot del te naloge zlonamerna programska oprema zajame posnetek zaslona uporabnika. Vse zbrane datoteke se nato združijo v en sam arhiv, šifrirajo in pošljejo v C2.

Kazuar na okuženih napravah vzpostavi več avtomatiziranih nalog

Kazuar ima zmožnost vzpostavitve avtomatiziranih postopkov, ki se izvajajo v vnaprej določenih intervalih z namenom pridobivanja podatkov iz ogroženih sistemov. Te avtomatizirane naloge zajemajo vrsto funkcij, vključno z zbiranjem obsežnih informacij o sistemu, kot je podrobno opisano v razdelku o celovitem profiliranju sistema, zajemanje posnetkov zaslona, pridobivanje poverilnic, pridobivanje forenzičnih podatkov, pridobivanje podatkov o samodejnem zagonu, pridobivanje datotek iz določenih map, sestavljanje seznama datoteke LNK in krajo e-pošte z uporabo MAPI.

Te funkcionalnosti omogočajo Kazuarju izvajanje sistematičnega nadzora in pridobivanje podatkov iz okuženih strojev, kar zlonamerne akterje opolnomoči z množico občutljivih informacij. Z izkoriščanjem teh avtomatiziranih nalog Kazuar poenostavi proces izvidovanja in izločanja podatkov ter tako poveča svojo učinkovitost kot orodje za kibernetsko vohunjenje in zlonamerno dejavnost.

Posodobljena zlonamerna programska oprema Kazuar je opremljena z obsežnimi zmožnostmi protianalize

Kazuar uporablja vrsto sofisticiranih tehnik proti analizi, natančno zasnovanih za izogibanje odkrivanju in nadzoru. Kazuar, ki so ga programirali njegovi ustvarjalci, dinamično prilagaja svoje vedenje glede na prisotnost analitičnih dejavnosti. Ko ugotovi, da analiza ni v teku, Kazuar nadaljuje s svojimi operacijami. Če pa zazna kakršne koli znake odpravljanja napak ali analize, takoj preide v stanje mirovanja in prekine vso komunikacijo s svojim strežnikom za ukaze in nadzor (C2).

Protidampinški

Glede na to, da Kazuar deluje kot vbrizgana komponenta znotraj drugega procesa in ne kot avtonomna entiteta, obstaja možnost, da svojo kodo izvleče iz pomnilnika gostiteljskega procesa. Da bi preprečil to ranljivost, Kazuar spretno uporablja robustno funkcijo znotraj .NET, System.Reflection Namespace. Ta zmožnost daje Kazuarju agilnost za pridobivanje metapodatkov, ki se nanašajo na njegovo sestavo, dinamične metode in druge kritične elemente v realnem času, s čimer krepi svojo obrambo pred morebitnimi poskusi ekstrakcije kode.

Poleg tega Kazuar izvaja obrambni ukrep tako, da natančno preveri, ali je nastavitev antidump_methods omogočena. V takih primerih preglasi kazalce na svoje prilagojene metode, medtem ko ne upošteva generičnih metod .NET in jih dejansko izbriše iz pomnilnika. Kot je razvidno iz Kazuarjevega zabeleženega sporočila, ta proaktivni pristop služi za oviranje raziskovalcev pri pridobivanju nedotaknjene različice zlonamerne programske opreme, s čimer se poveča njena odpornost proti analizi in odkrivanju.

Honeypot Check

Med svojimi začetnimi nalogami je Kazuar pridno skeniranje kakršnih koli znakov honeypot artefaktov na ciljnem računalniku. Da bi to dosegel, se sklicuje na vnaprej določen seznam imen procesov in imen datotek z uporabo trdo kodiranega pristopa. Če Kazuar naleti na več kot pet primerkov teh določenih datotek ali procesov, nemudoma zabeleži odkritje kot znak prisotnosti honeypot.

Orodja za analizo Preverjanje

Kazuar vzdržuje seznam vnaprej določenih imen, ki predstavljajo različna široko uporabljena orodja za analizo. Sistematično pregleduje seznam glede na aktivne procese v sistemu. Ko zazna delovanje katerega koli od teh orodij, Kazuar nemudoma registrira ugotovitev, kar nakazuje prisotnost orodij za analizo.

Preverjanje peskovnika

Kazuar ima v svojem sistemu nabor vnaprej določenih knjižnic peskovnika. Izvaja preglede za identifikacijo določenih DLL-jev, povezanih z različnimi storitvami peskovnika. Ko Kazuar naleti na te datoteke, ugotovi, da deluje v laboratorijskem okolju, zaradi česar je prenehal delovati.

Nadzornik dnevnika dogodkov

Kazuar sistematično zbira in razlaga dogodke, zabeležene v dnevnikih dogodkov Windows. Posebej cilja na dogodke, ki izvirajo iz izbora prodajalcev zaščite pred zlonamerno programsko opremo in varnosti. To namerno osredotočanje se ujema z njegovo strategijo spremljanja dejavnosti, povezanih s široko uporabljenimi varnostnimi izdelki, ob verjetni predpostavki, da so ta orodja prevladujoča med potencialnimi tarčami.

Zlonamerna programska oprema Kazuar še naprej predstavlja veliko grožnjo v digitalnem prostoru

Najnovejša različica zlonamerne programske opreme Kazuar, ki je bila nedavno identificirana v naravi, prikazuje več pomembnih lastnosti. Vključuje robustno kodo in tehnike zakrivanja nizov skupaj z večnitnim modelom za izboljšano zmogljivost. Poleg tega je implementirana vrsta šifrirnih shem za zaščito Kazuarjeve kode pred analizo in za prikrivanje njenih podatkov, bodisi v pomnilniku, med prenosom ali na disku. Te funkcije so skupaj namenjene temu, da zadnja vrata Kazuar opremijo z višjo stopnjo prikritosti.

Poleg tega ima ta ponovitev zlonamerne programske opreme sofisticirane funkcije proti analizi in obsežne zmožnosti profiliranja sistema. Omembe vredno je njegovo specifično ciljanje na aplikacije v oblaku. Poleg tega se ta različica Kazuarja ponaša s podporo za obsežno paleto več kot 40 različnih ukazov, pri čemer jih polovica raziskovalcev kibernetske varnosti prej ni dokumentirala.

Kako se zaščititi pred Kazuarjem

Kot pri vsaki vrsti grožnje je glavna stvar, ki jo lahko naredite za zaščito svojega računalnika, da se izognete odpiranju e-poštnih prilog in povezav. Ne komunicirajte z e-pošto, če ne veste, od kod prihaja. Poskrbite tudi za redno varnostno kopiranje najpomembnejših podatkov. Pomaga tudi, če imate več varnostnih kopij, saj več kot imate varnostnih kopij, večje so vaše možnosti, da se stvari vrnejo v normalno stanje v primeru Kazuarja ali druge zlonamerne programske opreme.

Nenazadnje se želite prepričati, da so vsi vaši programi in aplikacije posodobljeni. Ne pozabite redno posodabljati svojega operacijskega sistema. Računalniške grožnje uspevajo zaradi izkoriščanja v operacijskih sistemih in programski opremi, zato ne dovolite, da ostanejo.