Multi-License Discount Quote
Тхреат Датабасе Backdoors Kazuar

Kazuar

До GoldSparrow. у Backdoors
Преведи на:
Српски

Истраживачи су открили бацкдоор тројанца под називом Казуар. Утврђено је да је Казуар повезан са кампањом шпијунаже и изгледа да је написан помоћу Мицрософт .НЕТ Фрамеворк-а. Казуар омогућава нападачима да добију потпуни приступ компромитованом систему.

Казуар има неколико потенцијалних функција и команди, укључујући могућност даљинског учитавања додатака. Ови додаци дају Тројанцу веће могућности и чине га већом претњом. Такође је постојао код у посматраном соју који сугерише да постоје Линук и Мац верзије Казуара у свету. Једна ствар која се истиче код Казуара је то што ради преко интерфејса за програмирање апликација (АПИ) повезаног са веб сервером, и то је можда први – и једини – вирус који делује на такав начин.

Ко стоји иза Казуара?

Истраживачи верују да је Казуар повезан са Турлом , групом АПТ (Адванцед Персистент Тхреат), за коју се такође зна да ради под именима Снаке и Уробурос . Турла је позната по својим напредним способностима и по томе што је дугогодишња група за сајбер претње са седиштем у Русији са наводним везама са руском Федералном службом безбедности (ФСБ). Група својим нападима циља на амбасаде, образовне институције, извођаче радова у сектору одбране и истраживачке организације. Турла има нешто попут потписа у свом коду који идентификује алате као њихове, а код који се користи за Казуар може се пратити у најмању руку до 2005. године.

Турла је у своје време користио бројне алате, од којих је већина распоређена у другој фази напада унутар угрожених окружења. Казуар би могао бити један нови начин на који група Турла управља операцијама.

Шта Казуар ради?

Казуар је бацкдоор тројанац, који је једна од највећих категорија дигиталних претњи. Бацкдоор Тројанци могу бити скупи и свеобухватни програми са низом могућности, или могу бити једноставни програми који не раде ништа осим пинговања сервера. Казуар, посебно, назван по птици казуар у југоисточној Азији, је више традиционални бацкдоор тројанац. Иако је Казуар релативно једноставан, он има неке скривене карактеристике које га чине већом претњом од типичних бацкдоор тројанаца као што су ПоверСталлион или Неурон .

Казуар покушава да избегне да буде откривен док Турла хакери прикупљају обавештајне податке од својих мета. Иако је Казуар .НЕТ Фрамеворк апликација, она такође има карактеристике које је чине компатибилном са Мац и Уник/Линук системима. До сада су, међутим, у дивљини примећене само варијанте Виндовс-а.

Погледајте код за Казуар и видећете колико је труда уложено у овај вирус. Казуар има побољшану рутину подешавања и способан је да се прилагоди рањивим рачунарима успостављањем постојаности путем бројних метода. Вирус креира ДЛЛ-ове и искоришћава Виндовс услуге и функције .НЕТ Фрамеворк-а да би остао на рачунару. Када се вирус покрене, он ће нападачу дати информације о циљном рачунару и дозволити му да преузме контролу. Нападачи могу да отпремају датотеке, праве снимке екрана, активирају веб камере, копирају податке, покрећу извршне датотеке и обављају друге задатке преко опционих модула.

Вреди обратити пажњу на АПИ функцију. Овакви вируси се првенствено повезују са командним и контролним серверима (Ц2 сервери) и чекају упутства. Казуар се истиче по томе што може да створи веб сервер који увек слуша и који помаже вирусу да избегне заштитне зидове и откривање малвера.

Како Казуар инфицира рачунаре?

Малвер Казуар инфицира рачунаре на неколико различитих метода. Најчешћи су пакети злонамерног софтвера, нежељена е-пошта, дељење мреже, злонамерне везе и приступ зараженим флеш дисковима. Казуар ће сигурно изазвати огромну штету када дође на ваш рачунар.

Жртве су пријавиле да се суочавају са кваром чврстог диска, честим падовима, оштећеним апликацијама и још много тога. То не значи ништа о стварној штети коју би то могло учинити у смислу финансијског губитка или крађе идентитета. Требало би да предузмете кораке да се заштитите од Казуара и уклоните сваку инфекцију што је пре могуће.

Након заразе циљаног уређаја, Казуар малвер би прикупио неке информације у вези са софтвером и хардвером зараженог хоста. Штавише, Казуар претња би генерисала јединствени мутекс заснован на серијском ИД-у хард диска и корисничком имену активног корисника. Овај корак напада служи за откривање да ли постоје две варијанте злонамерног софтвера Казуар који раде на зараженом рачунару. Када се ово заврши, злонамерни софтвер Казуар ће наставити са нападом тако што ће постати упоран на хосту. Ово се постиже изменом Виндовс регистра система. Затим би се злонамерни софтвер Казуар повезао са Ц&Ц (Цомманд & Цонтрол) сервером својих оператера и чекао да му дају команде. Међу главним карактеристикама злонамерног софтвера Казуар је:

  • Прављење снимака екрана активних прозора и радне површине корисника.
  • Преузимање датотека.
  • Отпремање датотека.
  • Снимање снимака преко камере система.
  • Управљање текућим процесима.
  • Извршавање даљинских команди.
  • Навођење и управљање активним додацима претње.
  • Ажурира себе и своју листу Ц&Ц сервера.
  • Самоуништење.

Ова дуга листа могућности омогућава злонамерном софтверу Казуар да изазове значајну штету сваком систему у који успе да се инфилтрира. Пошто је вероватно да креатори Казуар претње раде на ОСКС компатибилној итерацији овог малвера, још више корисника ће бити у опасности. Да бисте заштитили свој систем од штеточина као што је претња Казуар, обавезно преузмите и инсталирајте оригинални софтверски пакет за заштиту од малвера који ће се побринути за вашу сајбер безбедност и чувати ваше податке.

Турла користи нову Казуар варијанту против циљева у Украјини

Од свог првобитног откривања 2017. године, Казуар се спорадично појављује у дивљини, првенствено погађајући организације унутар европских владиних и војних сфера. Његова веза са бацкдоором Сунбурста , о чему сведоче сличности кода, наглашава његову софистицирану природу. Иако се ниједан нови примерак Казуара није појавио од краја 2020. године, извештаји сугеришу да се развојни напори који су у току у сенци.

Анализа ажурираног Казуар кода наглашава заједнички напор његових креатора да побољшају његове могућности прикривености, избегну механизме откривања и осујети покушаје анализе. Ово се постиже низом напредних метода анти-анализе у комбинацији са робусним техникама шифровања и замагљивања како би се заштитио интегритет кода злонамерног софтвера.

Основна функционалност нове варијанте злонамерног софтвера Казуар

На типичан Турла начин, Казуар користи стратегију коришћења отетих легитимних веб локација за своју инфраструктуру за команду и контролу (Ц2), чиме избегава уклањање. Поред тога, Казуар олакшава комуникацију преко именованих цеви, користећи обе методе за примање даљинских команди или задатака.

Казуар се може похвалити подршком за 45 различитих задатака у оквиру свог Ц2 оквира, што представља значајан напредак у његовој функционалности у поређењу са ранијим верзијама. Претходна истраживања нису документовала неке од ових задатака. Насупрот томе, почетна варијанта Казуара анализирана 2017. подржавала је само 26 Ц2 команди.

Казуарова листа признатих команди обухвата различите категорије, укључујући:

  • Хост прикупљање података
  • Проширено прикупљање форензичких података
  • Манипулација датотекама
  • Извршавање произвољних команди
  • Интеракција са поставкама конфигурације Казуара
  • Упити и манипулисати Виндовс регистром
  • Извршавање скрипти (ВБС, ПоверСхелл, ЈаваСцрипт)
  • Слање прилагођених мрежних захтева
  • Крађа акредитива и осетљивих информација

Крађа података остаје међу главним приоритетима за Турлу

Казуар поседује способност прикупљања акредитива из различитих артефаката унутар компромитованог рачунара, покренутих командама као што су 'крађи' или 'непослуживање' примљеним са сервера за команду и контролу (Ц2). Ови артефакти обухватају бројне познате апликације у облаку.

Штавише, Казуар може циљати осетљиве датотеке које садрже акредитиве повезане са овим апликацијама. Међу циљаним артефактима су Гит СЦМ (популарни систем контроле извора међу програмерима) и Сигнал (шифрована платформа за размену порука за приватну комуникацију).

Након што створи јединствену нит решавача, Казуар аутоматски покреће опсежан задатак профилисања система, који су његови креатори назвали 'фирст_системинфо_до'. Овај задатак подразумева темељно прикупљање и профилисање циљаног система. Казуар прикупља свеобухватне информације о зараженој машини, укључујући детаље о оперативном систему, спецификацијама хардвера и конфигурацији мреже.

Прикупљени подаци се чувају у датотеци 'инфо.ткт', док се евиденција извршавања чува у датотеци 'логс.ткт'. Поред тога, као део овог задатка, злонамерни софтвер снима снимак екрана корисника. Све прикупљене датотеке се затим спајају у једну архиву, шифрују и шаљу на Ц2.

Казуар успоставља вишеструке аутоматизоване задатке на зараженим уређајима

Казуар поседује способност да успостави аутоматизоване процедуре које се извршавају у унапред дефинисаним интервалима у сврху преузимања података из компромитованих система. Ови аутоматизовани задаци обухватају низ функција, укључујући прикупљање свеобухватних информација о систему као што је детаљно описано у одељку о Свеобухватном профилисању система, прављење снимака екрана, издвајање акредитива, преузимање форензичких података, прибављање аутоматски покренутих података, добијање датотека из одређених фасцикли, састављање листе ЛНК датотеке и крађу е-поште коришћењем МАПИ-ја.

Ове функционалности омогућавају Казуару да спроводи систематски надзор и екстракцију података са заражених машина, дајући злонамерним актерима мноштво осетљивих информација. Користећи ове аутоматизоване задатке, Казуар поједностављује процес извиђања и ексфилтрације података, побољшавајући његову ефикасност као алата за сајбер шпијунажу и злонамерне активности.

Ажурирани злонамерни софтвер Казуар је опремљен опсежним анти-аналитичким могућностима

Казуар користи разне софистициране технике антианализе које су пажљиво осмишљене да избегну откривање и испитивање. Програмиран од стране његових креатора, Казуар динамички прилагођава своје понашање на основу присуства активности анализе. Када утврди да анализа није у току, Казуар наставља са својим операцијама. Међутим, ако открије било какву индикацију отклањања грешака или анализе, одмах улази у стање мировања, заустављајући сву комуникацију са својим сервером за команду и контролу (Ц2).

Анти-дампинг

С обзиром на то да Казуар ради као убризгана компонента унутар другог процеса, а не као аутономни ентитет, изгледи за издвајање његовог кода из меморије процеса домаћина су све већи. Да би се супротставио овој рањивости, Казуар вешто користи робусну функцију унутар .НЕТ-а, Систем.Рефлецтион Намеспаце. Ова способност даје Казуару агилност да преузме метаподатке који се односе на његово склапање, динамичке методе и друге критичне елементе у реалном времену, јачајући његову одбрану од потенцијалних покушаја екстракције кода.

Поред тога, Казуар примењује одбрамбену меру тако што испитује да ли је омогућена поставка антидумп_метходс. У таквим случајевима, он надјачава показиваче на своје прилагођене методе док занемарује генеричке .НЕТ методе, ефикасно их бришећи из меморије. Као што сведочи Казуарова забележена порука, овај проактивни приступ служи да спречи истраживаче да извуку нетакнуту верзију малвера, чиме се повећава његова отпорност на анализу и откривање.

Хонеипот Цхецк

Међу својим почетним задацима, Казуар марљиво скенира да ли има било каквих знакова артефаката меда на циљној машини. Да би се ово постигло, он се позива на унапред дефинисану листу назива процеса и имена датотека, користећи чврсто кодирани приступ. Ако Казуар наиђе на више од пет инстанци ових одређених датотека или процеса, он одмах бележи откриће као показатељ присуства меда.

Провера алата за анализу

Казуар одржава листу унапред дефинисаних имена која представљају различите широко коришћене алате за анализу. Систематски прегледа списак у односу на активне процесе у систему. Када открије рад било ког од ових алата, Казуар одмах региструје налаз, указујући на присуство алата за анализу.

Провера сандбок-а

Казуар поседује скуп унапред одређених сандбок библиотека чврсто кодираних у његов систем. Он спроводи скенирање да би идентификовао специфичне ДЛЛ-ове повезане са различитим сандбок услугама. Када је наишао на ове датотеке, Казуар закључује да ради у лабораторијском окружењу, што га је навело да престане са радом.

Монитор евиденције догађаја

Казуар систематски прикупља и тумачи догађаје забележене у Виндовс евиденцијама догађаја. Посебно циља на догађаје који потичу од избора добављача за заштиту од малвера и безбедности. Овај намерни фокус је у складу са његовом стратегијом праћења активности повезаних са широко коришћеним безбедносним производима под веродостојном претпоставком да ови алати преовлађују међу потенцијалним метама.

Малвер Казуар и даље представља велику претњу у дигиталном простору

Најновија варијанта злонамерног софтвера Казуар, недавно идентификована у дивљини, показује неколико значајних атрибута. Укључује робусне технике замамљивања кода и стрингова заједно са вишенитним моделом за побољшане перформансе. Штавише, имплементиран је низ шема за шифровање да би се Казуаров код заштитио од анализе и да би се сакрили његови подаци, било у меморији, током преноса или на диску. Ове карактеристике заједно имају за циљ да Казуар бацкдоор дају повећан ниво скривености.

Поред тога, ова итерација малвера показује софистициране функције против анализе и опсежне могућности профилисања система. Вреди пажње је његово специфично циљање апликација у облаку. Штавише, ова верзија Казуара може се похвалити подршком за широку лепезу од преко 40 различитих команди, од којих половина претходно није документована од стране истраживача сајбер безбедности.

Како се заштитити од Казуара

Као и код сваке врсте претњи, главна ствар коју можете да урадите да заштитите свој рачунар је да избегнете отварање прилога и линкова е-поште. Немојте комуницирати са е-поштом ако не знате одакле је дошла. Такође, редовно правите резервне копије најважнијих података. Такође помаже имати више резервних копија, јер што више резервних копија имате, веће су шансе да се ствари врате у нормалу у случају Казуара или другог малвера.

На крају, али не и најмање важно, желите да будете сигурни да су сви ваши програми и апликације ажурирани. Не заборавите да ажурирате свој оперативни систем превише редовно. Рачунарске претње напредују кроз експлоатације у оперативним системима и софтверу, тако да не дозволите да се задржавају.

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
36,927
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...