Kazuar
นักวิจัยได้ค้นพบโทรจันลับๆ ที่เรียกว่า Kazuar พบว่า Kazuar เชื่อมโยงกับแคมเปญจารกรรม และดูเหมือนว่าจะเขียนด้วย Microsoft .NET Framework Kazuar ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้อย่างสมบูรณ์
Kazuar มีฟังก์ชันและคำสั่งที่เป็นไปได้หลายประการ รวมถึงความสามารถในการโหลดปลั๊กอินจากระยะไกล ปลั๊กอินเหล่านี้ทำให้โทรจันมีความสามารถมากขึ้นและทำให้เป็นภัยคุกคามมากขึ้น นอกจากนี้ยังมีโค้ดในสายพันธุ์ที่สังเกตได้ซึ่งแนะนำว่า Kazuar เวอร์ชัน Linux และ Mac มีอยู่ทั่วโลก สิ่งหนึ่งที่โดดเด่นเกี่ยวกับ Kazuar ก็คือมันทำงานผ่าน Application Programming Interface (API) ที่เชื่อมต่อกับเว็บเซิร์ฟเวอร์ และอาจเป็นไวรัสตัวแรกและตัวเดียวที่กระทำในลักษณะดังกล่าว
สารบัญ
ใครอยู่เบื้องหลังคาซัว?
นักวิจัยเชื่อว่า Kazuar มีความเชื่อมโยงกับ Turla ซึ่งเป็นกลุ่ม APT (Advanced Persistent Threat) ซึ่งเป็นที่รู้จักว่าปฏิบัติการภายใต้ชื่อ Snake และ Uroburos Turla เป็นที่รู้จักในด้านความสามารถขั้นสูงและเป็นกลุ่มภัยคุกคามทางไซเบอร์ที่มีฐานอยู่ในรัสเซียมายาวนาน โดยถูกกล่าวหาว่ามีความเกี่ยวข้องกับ Russian Federal Security Service (FSB) กลุ่มนี้มุ่งเป้าไปที่สถานทูต สถาบันการศึกษา ผู้รับเหมาด้านกลาโหม และองค์กรวิจัยด้วยการโจมตีของพวกเขา Turla มีลายเซ็นบางอย่างในโค้ดที่ระบุเครื่องมือว่าเป็นของพวกเขา และโค้ดที่ใช้สำหรับ Kazuar สามารถย้อนกลับไปได้ถึงปี 2005 เป็นอย่างน้อย
Turla ใช้เครื่องมือจำนวนหนึ่งในช่วงเวลานั้น ซึ่งส่วนใหญ่ใช้งานในการโจมตีขั้นที่สองภายในสภาพแวดล้อมที่ถูกบุกรุก Kazuar อาจเป็นวิธีใหม่วิธีหนึ่งที่กลุ่ม Turla จัดการการปฏิบัติงาน
คาซัวร์ มีอะไรทำ?
Kazuar เป็นโทรจันลับๆ ซึ่งเป็นหนึ่งในประเภทภัยคุกคามทางดิจิทัลที่ใหญ่ที่สุด โทรจันแบ็คดอร์อาจเป็นโปรแกรมที่มีราคาแพงและครอบคลุมพร้อมความสามารถที่หลากหลาย หรืออาจเป็นโปรแกรมง่ายๆ ที่ไม่ทำอะไรเลยนอกจากส่ง Ping ไปยังเซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่ง Kazuar ซึ่งตั้งชื่อตามนกแคสโซวารีในเอเชียตะวันออกเฉียงใต้ นั้นเป็นโทรจันประตูหลังแบบดั้งเดิมมากกว่า แม้ว่า Kazuar จะค่อนข้างพื้นฐาน แต่ก็มีคุณสมบัติบางอย่างที่ซ่อนอยู่ซึ่งทำให้เป็นภัยคุกคามมากกว่าโทรจันลับๆ ทั่วไป เช่น PowerStallion หรือ Neuron
Kazuar ตั้งใจที่จะหลีกเลี่ยงการถูกตรวจพบในขณะที่แฮ็กเกอร์ของ Turla รวบรวมข้อมูลจากเป้าหมายของพวกเขา แม้ว่า Kazuar จะเป็นแอปพลิเคชัน .NET Framework แต่ก็ยังมีคุณสมบัติที่ทำให้เข้ากันได้กับระบบ Mac และ Unix/Linux อย่างไรก็ตาม จนถึงขณะนี้มีเพียงรุ่น Windows เท่านั้นที่ถูกค้นพบในป่า
ดูโค้ดของ Kazuar แล้วคุณจะเห็นว่าไวรัสตัวนี้ทำงานหนักแค่ไหน Kazuar มีขั้นตอนการตั้งค่าที่ได้รับการปรับปรุง และสามารถปรับให้เข้ากับคอมพิวเตอร์ที่มีช่องโหว่โดยสร้างความคงอยู่ผ่านวิธีการต่างๆ มากมาย ไวรัสสร้าง DLL และใช้ประโยชน์จากบริการ Windows และฟังก์ชัน .NET Framework เพื่อให้คงอยู่ในคอมพิวเตอร์ เมื่อไวรัสเริ่มทำงาน มันจะให้ข้อมูลผู้โจมตีเกี่ยวกับคอมพิวเตอร์เป้าหมายและปล่อยให้พวกเขาเข้าควบคุม ผู้โจมตีสามารถอัปโหลดไฟล์ จับภาพหน้าจอ เปิดใช้งานเว็บแคม คัดลอกข้อมูล เปิดไฟล์ปฏิบัติการ และทำงานอื่น ๆ ผ่านโมดูลเสริม
เราควรจดบันทึกฟีเจอร์ API ไว้ ไวรัสประเภทนี้จะเชื่อมต่อกับเซิร์ฟเวอร์ Command and Control (เซิร์ฟเวอร์ C2) เป็นหลัก และรอคำแนะนำ Kazuar มีความโดดเด่นเนื่องจากสามารถสร้างเว็บเซิร์ฟเวอร์ที่คอยรับฟังตลอดเวลาซึ่งช่วยให้ไวรัสหลีกเลี่ยงไฟร์วอลล์และการตรวจจับมัลแวร์
Kazuar แพร่เชื้อคอมพิวเตอร์ได้อย่างไร?
มัลแวร์ Kazuar แพร่ระบาดคอมพิวเตอร์ด้วยวิธีการต่างๆ มากมาย ที่พบบ่อยที่สุดคือชุดซอฟต์แวร์ที่เป็นอันตราย อีเมลขยะ การแชร์เครือข่าย ลิงก์ที่เป็นอันตราย และการเข้าถึงแฟลชไดรฟ์ที่ติดไวรัส Kazuar จะสร้างความเสียหายจำนวนมหาศาลอย่างแน่นอนเมื่อเข้าสู่คอมพิวเตอร์ของคุณ
ผู้ที่ตกเป็นเหยื่อรายงานว่าต้องจัดการกับความล้มเหลวของฮาร์ดไดรฟ์ การขัดข้องบ่อยครั้ง แอพพลิเคชั่นที่เสียหาย และอื่นๆ อีกมากมาย กล่าวคือไม่มีอันตรายใดๆ ที่เกิดขึ้นจริงในแง่ของการสูญเสียทางการเงินหรือการขโมยข้อมูลส่วนบุคคล คุณควรดำเนินการเพื่อป้องกันตนเองจาก Kazuar และกำจัดการติดเชื้อใดๆ โดยเร็วที่สุด
เมื่อติดไวรัสไปยังอุปกรณ์เป้าหมาย มัลแวร์ Kazuar จะรวบรวมข้อมูลบางอย่างเกี่ยวกับซอฟต์แวร์และฮาร์ดแวร์ของโฮสต์ที่ติดไวรัส นอกจากนี้ ภัยคุกคาม Kazuar จะสร้าง mutex ที่ไม่ซ้ำกันโดยอิงตามรหัสประจำเครื่องของฮาร์ดดิสก์และชื่อผู้ใช้ของผู้ใช้ที่ใช้งานอยู่ ขั้นตอนการโจมตีนี้ทำหน้าที่ตรวจจับว่ามีมัลแวร์ Kazuar สองรูปแบบที่ทำงานบนคอมพิวเตอร์ที่ติดไวรัสหรือไม่ เมื่อดำเนินการเสร็จสิ้น มัลแวร์ Kazuar จะดำเนินการโจมตีต่อไปโดยคงอยู่ในโฮสต์ สามารถทำได้โดยการแก้ไข Windows Registry ของระบบ ถัดไป มัลแวร์ Kazuar จะเชื่อมต่อกับเซิร์ฟเวอร์ C&C (Command & Control) ของผู้ปฏิบัติงาน และรอรับคำสั่งจากพวกเขา คุณสมบัติหลักของมัลแวร์ Kazuar คือ:
- ถ่ายภาพหน้าจอของหน้าต่างและเดสก์ท็อปที่ใช้งานอยู่ของผู้ใช้
- กำลังดาวน์โหลดไฟล์.
- กำลังอัพโหลดไฟล์.
- บันทึกภาพผ่านกล้องของระบบ
- การจัดการกระบวนการที่ทำงานอยู่
- การดำเนินการคำสั่งระยะไกล
- การแสดงรายการและการจัดการปลั๊กอินที่ใช้งานอยู่ของภัยคุกคาม
- การอัปเดตตัวเองและรายการเซิร์ฟเวอร์ C&C
- ทำลายตัวเอง.
รายการความสามารถอันยาวนานนี้ทำให้มัลแวร์ Kazuar สร้างความเสียหายอย่างมากต่อระบบใดๆ ที่มันจัดการเพื่อแทรกซึมได้ เนื่องจากมีแนวโน้มว่าผู้สร้างภัยคุกคาม Kazuar กำลังทำงานกับมัลแวร์นี้ที่เข้ากันได้กับ OSX ผู้ใช้จำนวนมากขึ้นก็จะตกอยู่ในความเสี่ยง เพื่อปกป้องระบบของคุณจากสัตว์รบกวน เช่น ภัยคุกคาม Kazuar อย่าลืมดาวน์โหลดและติดตั้งชุดซอฟต์แวร์ป้องกันมัลแวร์ของแท้ที่จะดูแลความปลอดภัยทางไซเบอร์ของคุณและรักษาข้อมูลของคุณให้ปลอดภัย
Turla ปรับใช้รุ่น Kazuar ใหม่กับเป้าหมายในยูเครน
นับตั้งแต่การตรวจพบครั้งแรกในปี 2560 คาซูอาร์ได้ปรากฏตัวในป่าเป็นระยะๆ โดยส่วนใหญ่ส่งผลกระทบต่อองค์กรภายในขอบเขตของรัฐบาลและการทหารของยุโรป การเชื่อมต่อกับแบ็คดอร์ Sunburst ซึ่งมีหลักฐานจากความคล้ายคลึงกันของโค้ด ตอกย้ำลักษณะที่ซับซ้อนของมัน แม้ว่าจะไม่มีตัวอย่าง Kazuar ใหม่เกิดขึ้นตั้งแต่ปลายปี 2020 แต่รายงานก็ชี้ให้เห็นถึงความพยายามในการพัฒนาที่กำลังดำเนินอยู่ในเงามืด
การวิเคราะห์โค้ด Kazuar ที่อัปเดตเน้นย้ำถึงความพยายามร่วมกันของผู้สร้างเพื่อเพิ่มความสามารถในการลักลอบ หลบเลี่ยงกลไกการตรวจจับ และขัดขวางความพยายามในการวิเคราะห์ ซึ่งสามารถทำได้ด้วยวิธีป้องกันการวิเคราะห์ขั้นสูงที่หลากหลาย ควบคู่ไปกับการเข้ารหัสที่มีประสิทธิภาพและเทคนิคการทำให้งงงวยเพื่อปกป้องความสมบูรณ์ของโค้ดมัลแวร์
ฟังก์ชันการทำงานหลักของมัลแวร์ Kazuar เวอร์ชันใหม่
ตามแบบฉบับของ Turla Kazuar ใช้กลยุทธ์ในการใช้เว็บไซต์ที่ถูกต้องตามกฎหมายที่ถูกแย่งชิงสำหรับโครงสร้างพื้นฐาน Command and Control (C2) ของตน ดังนั้นจึงหลีกเลี่ยงการลบเนื้อหาออก นอกจากนี้ Kazuar ยังอำนวยความสะดวกในการสื่อสารผ่านไปป์ที่มีชื่อ โดยใช้ทั้งสองวิธีเพื่อรับคำสั่งหรืองานจากระยะไกล
Kazuar รองรับงานที่แตกต่างกัน 45 งานภายในกรอบงาน C2 ซึ่งแสดงถึงความก้าวหน้าที่โดดเด่นในด้านฟังก์ชันการทำงานเมื่อเทียบกับเวอร์ชันก่อนหน้า การวิจัยก่อนหน้านี้ไม่ได้บันทึกงานเหล่านี้บางส่วน ในทางตรงกันข้าม ตัวแปรเริ่มต้นของ Kazuar ที่วิเคราะห์ในปี 2560 รองรับคำสั่ง C2 เพียง 26 คำสั่งเท่านั้น
รายการคำสั่งที่ได้รับการยอมรับของ Kazuar ครอบคลุมหลายประเภท ได้แก่:
- โฮสต์การรวบรวมข้อมูล
- ขยายการรวบรวมข้อมูลทางนิติวิทยาศาสตร์
- การจัดการไฟล์
- การดำเนินการตามคำสั่งโดยพลการ
- การโต้ตอบกับการตั้งค่าการกำหนดค่าของ Kazuar
- การสืบค้นและจัดการรีจิสทรีของ Windows
- การดำเนินการสคริปต์ (VBS, PowerShell, JavaScript)
- การส่งคำขอเครือข่ายที่กำหนดเอง
- การโจรกรรมข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อน
การขโมยข้อมูลยังคงมีความสำคัญสูงสุดสำหรับ Turla
Kazuar มีความสามารถในการรวบรวมข้อมูลประจำตัวจากสิ่งประดิษฐ์ต่างๆ ภายในคอมพิวเตอร์ที่ถูกบุกรุก ซึ่งถูกกระตุ้นโดยคำสั่ง เช่น 'ขโมย' หรือ 'ไม่ต้องดูแล' ที่ได้รับจากเซิร์ฟเวอร์ Command-and-Control (C2) สิ่งประดิษฐ์เหล่านี้ครอบคลุมแอปพลิเคชันระบบคลาวด์ที่มีชื่อเสียงมากมาย
นอกจากนี้ Kazuar ยังสามารถกำหนดเป้าหมายไฟล์ละเอียดอ่อนที่มีข้อมูลรับรองที่เกี่ยวข้องกับแอปพลิเคชันเหล่านี้ได้ สิ่งประดิษฐ์เป้าหมาย ได้แก่ Git SCM (ระบบควบคุมแหล่งที่มายอดนิยมในหมู่นักพัฒนา) และ Signal (แพลตฟอร์มการรับส่งข้อความที่เข้ารหัสสำหรับการสื่อสารส่วนตัว)
เมื่อสร้างเธรดตัวแก้ปัญหาที่ไม่ซ้ำใคร Kazuar จะเริ่มงานโปรไฟล์ระบบที่ครอบคลุมโดยอัตโนมัติ ซึ่งผู้สร้างเรียกว่า 'first_systeminfo_do' งานนี้เกี่ยวข้องกับการรวบรวมและการทำโปรไฟล์ของระบบเป้าหมายอย่างละเอียด Kazuar รวบรวมข้อมูลที่ครอบคลุมเกี่ยวกับเครื่องที่ติดไวรัส รวมถึงรายละเอียดเกี่ยวกับระบบปฏิบัติการ ข้อมูลจำเพาะของฮาร์ดแวร์ และการกำหนดค่าเครือข่าย
ข้อมูลที่รวบรวมจะถูกจัดเก็บไว้ในไฟล์ 'info.txt' ในขณะที่บันทึกการดำเนินการจะถูกบันทึกไว้ในไฟล์ 'logs.txt' นอกจากนี้ มัลแวร์จะจับภาพหน้าจอของหน้าจอของผู้ใช้ซึ่งเป็นส่วนหนึ่งของงานนี้ ไฟล์ที่รวบรวมทั้งหมดจะถูกรวมเป็นไฟล์เก็บถาวรเดียว เข้ารหัส และส่งไปยัง C2
Kazuar สร้างงานอัตโนมัติหลายงานบนอุปกรณ์ที่ติดไวรัส
Kazuar มีความสามารถในการสร้างขั้นตอนอัตโนมัติที่ดำเนินการในช่วงเวลาที่กำหนดไว้ล่วงหน้าเพื่อวัตถุประสงค์ในการดึงข้อมูลจากระบบที่ถูกบุกรุก งานอัตโนมัติเหล่านี้ครอบคลุมฟังก์ชันต่างๆ รวมถึงการรวบรวมข้อมูลระบบที่ครอบคลุมตามรายละเอียดในส่วนการทำโปรไฟล์ระบบที่ครอบคลุม การจับภาพหน้าจอ การดึงข้อมูลประจำตัว การดึงข้อมูลทางนิติวิทยาศาสตร์ การได้มาซึ่งข้อมูลการทำงานอัตโนมัติ การได้รับไฟล์จากโฟลเดอร์ที่กำหนด การรวบรวมรายการ LNK และการขโมยอีเมลผ่านการใช้ MAPI
ฟังก์ชันเหล่านี้ช่วยให้ Kazuar ดำเนินการเฝ้าระวังอย่างเป็นระบบและดึงข้อมูลจากเครื่องที่ติดไวรัส เพิ่มศักยภาพให้กับผู้ประสงค์ร้ายด้วยข้อมูลที่ละเอียดอ่อนมากมาย ด้วยการใช้ประโยชน์จากงานอัตโนมัติเหล่านี้ Kazuar ปรับปรุงกระบวนการลาดตระเวนและขโมยข้อมูล เพิ่มประสิทธิภาพในฐานะเครื่องมือสำหรับการจารกรรมทางไซเบอร์และกิจกรรมที่เป็นอันตราย
มัลแวร์ Kazuar ที่ได้รับการอัปเดตมาพร้อมกับความสามารถในการป้องกันการวิเคราะห์ที่ครอบคลุม
Kazuar ใช้เทคนิคต่อต้านการวิเคราะห์ที่ซับซ้อนหลากหลาย ซึ่งออกแบบอย่างพิถีพิถันเพื่อหลีกเลี่ยงการตรวจจับและการตรวจสอบข้อเท็จจริง Kazuar ตั้งโปรแกรมโดยผู้สร้าง ปรับพฤติกรรมแบบไดนามิกตามกิจกรรมการวิเคราะห์ที่มีอยู่ เมื่อพิจารณาแล้วว่าไม่มีการวิเคราะห์ใดอยู่ Kazuar ก็ดำเนินการต่อไป อย่างไรก็ตาม หากตรวจพบข้อบ่งชี้ของการดีบักหรือการวิเคราะห์ ระบบจะเข้าสู่สถานะไม่ได้ใช้งานทันที และจะหยุดการสื่อสารทั้งหมดกับเซิร์ฟเวอร์ Command and Control (C2)
ต่อต้านการทุ่มตลาด
เนื่องจาก Kazuar ทำงานเป็นส่วนประกอบที่ถูกฉีดภายในกระบวนการอื่นแทนที่จะเป็นเอนทิตีที่เป็นอิสระ โอกาสในการแยกโค้ดออกจากหน่วยความจำของกระบวนการโฮสต์จึงมีอยู่ เพื่อแก้ไขช่องโหว่นี้ Kazuar ได้ใช้คุณลักษณะที่แข็งแกร่งภายใน .NET ซึ่งก็คือ System.Reflection Namespace อย่างเชี่ยวชาญ ความสามารถนี้ช่วยให้ Kazuar มีความคล่องตัวในการดึงข้อมูลเมตาที่เกี่ยวข้องกับการประกอบ วิธีการแบบไดนามิก และองค์ประกอบสำคัญอื่นๆ ในแบบเรียลไทม์ เสริมการป้องกันจากความพยายามในการแยกโค้ดที่อาจเกิดขึ้น
นอกจากนี้ Kazuar ยังใช้มาตรการป้องกันโดยพิจารณาว่าการตั้งค่า antidump_methods ถูกเปิดใช้งานหรือไม่ ในกรณีเช่นนี้ ระบบจะลบล้างพอยน์เตอร์ไปยังวิธีการที่กำหนดโดยเฉพาะ โดยไม่สนใจวิธีการ .NET ทั่วไป ซึ่งจะลบออกจากหน่วยความจำอย่างมีประสิทธิภาพ ตามที่เห็นได้จากข้อความที่บันทึกไว้ของ Kazuar วิธีการเชิงรุกนี้ทำหน้าที่ขัดขวางนักวิจัยจากการแยกมัลแวร์เวอร์ชันที่ไม่บุบสลาย ซึ่งจะเป็นการเพิ่มความยืดหยุ่นต่อการวิเคราะห์และการตรวจจับ
ตรวจสอบฮันนี่พอท
ในบรรดางานเริ่มแรก Kazuar พยายามสแกนหาสัญญาณของสิ่งประดิษฐ์ honeypot บนเครื่องเป้าหมายอย่างขยันขันแข็ง เพื่อให้บรรลุเป้าหมายนี้ จะมีการอ้างถึงรายการชื่อกระบวนการและชื่อไฟล์ที่กำหนดไว้ล่วงหน้า โดยใช้วิธีฮาร์ดโค้ด หาก Kazuar พบไฟล์หรือกระบวนการที่ระบุเหล่านี้มากกว่าห้าอินสแตนซ์ ระบบจะบันทึกการค้นพบทันทีเพื่อบ่งชี้ถึงการมีอยู่ของ honeypot
ตรวจสอบเครื่องมือวิเคราะห์
Kazuar เก็บรักษารายชื่อที่กำหนดไว้ล่วงหน้าซึ่งแสดงถึงเครื่องมือวิเคราะห์ต่างๆ ที่ใช้กันอย่างแพร่หลาย โดยจะตรวจสอบบัญชีรายชื่อกับกระบวนการที่ทำงานอยู่ในระบบอย่างเป็นระบบ เมื่อตรวจพบการทำงานของเครื่องมือเหล่านี้ Kazuar จะลงทะเบียนการค้นพบทันที ซึ่งบ่งชี้ว่ามีเครื่องมือวิเคราะห์อยู่
ตรวจสอบแซนด์บ็อกซ์
Kazuar มีชุดไลบรารีแซนด์บ็อกซ์ที่กำหนดไว้ล่วงหน้าซึ่งฮาร์ดโค้ดเข้าสู่ระบบ ทำการสแกนเพื่อระบุ DLL เฉพาะที่เกี่ยวข้องกับบริการแซนด์บ็อกซ์ต่างๆ เมื่อพบไฟล์เหล่านี้ Kazuar สรุปว่าไฟล์กำลังทำงานอยู่ในสภาพแวดล้อมของห้องปฏิบัติการ และแจ้งให้หยุดการทำงาน
การตรวจสอบบันทึกเหตุการณ์
Kazuar รวบรวมและตีความเหตุการณ์ที่บันทึกไว้ในบันทึกเหตุการณ์ของ Windows อย่างเป็นระบบ โดยกำหนดเป้าหมายเฉพาะเหตุการณ์ที่มาจากผู้จำหน่ายแอนตี้มัลแวร์และความปลอดภัยที่เลือกสรรมา การมุ่งเน้นโดยเจตนานี้สอดคล้องกับกลยุทธ์ในการตรวจสอบกิจกรรมที่เกี่ยวข้องกับผลิตภัณฑ์รักษาความปลอดภัยที่ใช้กันอย่างแพร่หลายภายใต้สมมติฐานที่เป็นไปได้ว่าเครื่องมือเหล่านี้แพร่หลายในหมู่เป้าหมายที่เป็นไปได้
มัลแวร์ Kazuar ยังคงแสดงถึงภัยคุกคามที่สำคัญในพื้นที่ดิจิทัล
มัลแวร์ Kazuar เวอร์ชันล่าสุด ที่เพิ่งพบในป่า แสดงให้เห็นคุณลักษณะที่โดดเด่นหลายประการ ประกอบด้วยโค้ดที่มีประสิทธิภาพและเทคนิคการทำให้สับสนของสตริงควบคู่ไปกับโมเดลแบบมัลติเธรดเพื่อประสิทธิภาพที่เพิ่มขึ้น นอกจากนี้ แผนการเข้ารหัสต่างๆ ยังถูกนำมาใช้เพื่อปกป้องโค้ดของ Kazuar จากการวิเคราะห์ และเพื่อปกปิดข้อมูล ไม่ว่าจะอยู่ในหน่วยความจำ ระหว่างการส่ง หรือบนดิสก์ คุณสมบัติเหล่านี้มีจุดมุ่งหมายร่วมกันเพื่อให้ประตูหลังของ Kazuar มีการลักลอบในระดับที่สูงขึ้น
นอกจากนี้ การทำซ้ำของมัลแวร์นี้ยังมีฟังก์ชันป้องกันการวิเคราะห์ที่ซับซ้อนและความสามารถในการจัดทำโปรไฟล์ระบบที่ครอบคลุม การกำหนดเป้าหมายเฉพาะของแอปพลิเคชันระบบคลาวด์เป็นสิ่งที่น่าสังเกต นอกจากนี้ Kazuar เวอร์ชันนี้ยังรองรับคำสั่งที่แตกต่างกันมากกว่า 40 คำสั่ง โดยครึ่งหนึ่งของคำสั่งนั้นก่อนหน้านี้ไม่มีเอกสารโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์
วิธีป้องกันคาซัวร์
เช่นเดียวกับภัยคุกคามประเภทอื่นๆ สิ่งสำคัญที่คุณสามารถทำได้เพื่อปกป้องคอมพิวเตอร์ของคุณคือการหลีกเลี่ยงการเปิดไฟล์แนบและลิงก์ในอีเมล อย่าโต้ตอบกับอีเมลหากคุณไม่รู้ว่ามันมาจากไหน นอกจากนี้อย่าลืมสำรองข้อมูลที่สำคัญที่สุดของคุณเป็นประจำ การมีข้อมูลสำรองหลายชุดก็ช่วยได้เช่นกัน เนื่องจากยิ่งคุณมีข้อมูลสำรองมากเท่าไร โอกาสที่คุณจะได้รับสิ่งต่าง ๆ กลับคืนสู่สภาวะปกติก็จะยิ่งสูงขึ้นในกรณีของ Kazuar หรือมัลแวร์อื่น ๆ
สุดท้ายแต่ไม่ท้ายสุด คุณต้องแน่ใจว่าโปรแกรมและแอปพลิเคชันทั้งหมดของคุณอัปเดตอยู่เสมอ อย่าลืมอัปเดตระบบปฏิบัติการของคุณเป็นประจำด้วย ภัยคุกคามทางคอมพิวเตอร์เจริญเติบโตผ่านการแสวงหาประโยชน์ในระบบปฏิบัติการและซอฟต์แวร์ ดังนั้นอย่าปล่อยให้พวกมันอยู่ต่อไป
