Multi-License Discount Quote
Tehdit Veritabanı Backdoors Kazuar

Kazuar

GoldSparrow'de Backdoors'de
Çevir:
Türkçe

Araştırmacılar Kazuar adında bir arka kapı Truva atı keşfettiler. Kazuar'ın bir casusluk kampanyasıyla bağlantılı olduğu ve Microsoft .NET Framework ile yazıldığı anlaşılıyor. Kazuar, saldırganların güvenliği ihlal edilmiş bir sisteme tam erişim elde etmesine olanak tanır.

Kazuar'ın, eklentileri uzaktan yükleme yeteneği de dahil olmak üzere çeşitli potansiyel işlevleri ve komutları vardır. Bu eklentiler Truva atına daha fazla yetenek kazandırır ve onu daha büyük bir tehdit haline getirir. Ayrıca gözlemlenen türde, dünyada Kazuar'ın Linux ve Mac versiyonlarının bulunduğunu öne süren bir kod da vardı. Kazuar'ın öne çıkan özelliklerinden biri, bir web sunucusuna bağlı Uygulama Programlama Arayüzü (API) üzerinden çalışmasıdır ve bu şekilde davranan ilk ve tek virüs olabilir.

Kazuar'ın Arkasında Kim Var?

Araştırmacılar, Kazuar'ın, Snake ve Uroburos isimleri altında faaliyet gösterdiği bilinen bir APT (Gelişmiş Kalıcı Tehdit) grubu olan Turla ile bağlantılı olduğuna inanıyor. Turla, gelişmiş yetenekleri ve Rusya Federal Güvenlik Servisi (FSB) ile bağları olduğu iddia edilen uzun süredir Rusya merkezli bir siber tehdit grubu olmasıyla tanınıyor. Grup, saldırılarıyla elçilikleri, eğitim kurumlarını, savunma yüklenicilerini ve araştırma kuruluşlarını hedef alıyor. Turla'nın kodunda, araçları kendilerine ait olduğunu belirten bir imza var ve Kazuar için kullanılan kodun izi en azından 2005'e kadar uzanabiliyor.

Turla, zamanında çoğu, güvenliği ihlal edilmiş ortamlardaki saldırıların ikinci aşamasında konuşlandırılan bir dizi araç kullanmıştı. Kazuar, Turla grubunun operasyonları yürütmesinin yeni bir yolu olabilir.

Kazuar Ne Yapar?

Kazuar, dijital tehditlerin en büyük kategorilerinden biri olan bir arka kapı Truva atıdır. Arka kapı Truva atları, çeşitli yeteneklere sahip pahalı ve kapsamlı programlar olabileceği gibi, sunucuya ping atmaktan başka hiçbir şey yapmayan basit programlar da olabilir. Adını Güneydoğu Asya'daki kasırga kuşundan alan Kazuar, daha çok geleneksel bir arka kapı Truva Atı'dır. Kazuar nispeten basit olmasına rağmen, onu PowerStallion veya Neuron gibi tipik arka kapı Truva atlarından daha fazla tehdit haline getiren bazı gizli özelliklere sahiptir.

Turla korsanları hedeflerinden istihbarat toplarken Kazuar, tespit edilmekten kaçınmak için yola çıkar. Kazuar bir .NET Framework uygulaması olmasına rağmen Mac ve Unix/Linux sistemleriyle uyumlu olmasını sağlayan özelliklere de sahiptir. Ancak şu ana kadar yalnızca Windows çeşitleri görüldü.

Kazuar'ın koduna bir göz atın ve bu virüse ne kadar emek verildiğini göreceksiniz. Kazuar'ın gelişmiş bir kurulum rutini var ve çeşitli yöntemlerle kalıcılık sağlayarak savunmasız bilgisayarlara uyum sağlayabiliyor. Virüs, bilgisayarda kalmak için DLL'ler oluşturur ve Windows hizmetlerinden ve .NET Framework işlevlerinden yararlanır. Virüs çalışır hale geldiğinde saldırgana hedef bilgisayar hakkında bilgi verecek ve kontrolü ele geçirmesine olanak tanıyacaktır. Saldırganlar, isteğe bağlı modüller aracılığıyla dosya yükleyebilir, ekran görüntüsü alabilir, web kameralarını etkinleştirebilir, verileri kopyalayabilir, yürütülebilir dosyaları başlatabilir ve diğer görevleri gerçekleştirebilir.

API özelliğini not etmeye değer. Bunun gibi virüsler öncelikle Komuta ve Kontrol sunucularına (C2 sunucuları) bağlanır ve talimatları bekler. Kazuar, virüsün güvenlik duvarlarından ve kötü amaçlı yazılım önleme algılamalarından kaçınmasına yardımcı olan, her zaman dinleyen bir Web sunucusu oluşturabilmesi nedeniyle öne çıkıyor.

Kazuar Bilgisayarlara Nasıl Bulaşır?

Kazuar kötü amaçlı yazılımı bilgisayarlara birkaç farklı yöntemle bulaşıyor. En yaygın olanları kötü amaçlı yazılım paketleri, e-posta spam'ı, ağ paylaşımı, kötü amaçlı bağlantılar ve virüslü flash sürücülere erişimdir. Kazuar bilgisayarınıza girdiğinde büyük miktarda hasara neden olacağından emin olabilirsiniz.

Mağdurlar sabit disk arızası, sık sık çökmeler, bozuk uygulamalar ve daha fazlasıyla uğraşmak zorunda kaldıklarını bildirdi. Bu, mali kayıp veya kimlik hırsızlığı açısından verebileceği gerçek zarar hakkında hiçbir şey söylememek demektir. Kendinizi Kazuar'a karşı korumak için adımlar atmalı ve mümkün olan en kısa sürede enfeksiyonu ortadan kaldırmalısınız.

Kazuar kötü amaçlı yazılımı, hedeflenen bir cihaza bulaştığında, etkilenen ana bilgisayarın yazılım ve donanımına ilişkin bazı bilgiler topluyor. Ayrıca Kazuar tehdidi, sabit diskin seri kimliğine ve aktif kullanıcının kullanıcı adına dayalı olarak benzersiz bir muteks üretecektir. Saldırının bu adımı, virüslü bilgisayarda Kazuar kötü amaçlı yazılımının iki çeşidinin çalışıp çalışmadığını tespit etmeye yarar. Bu tamamlandıktan sonra Kazuar kötü amaçlı yazılımı, ana bilgisayarda kalıcılık kazanarak saldırıya devam edecek. Bu, sistemin Windows Kayıt Defterini değiştirerek elde edilir. Daha sonra Kazuar kötü amaçlı yazılımı, operatörlerinin C&C (Komuta ve Kontrol) sunucusuna bağlanacak ve onlar tarafından komut verilmesini bekleyecektir. Kazuar kötü amaçlı yazılımının ana özellikleri arasında şunlar yer almaktadır:

  • Kullanıcının aktif pencerelerinin ve masaüstünün ekran görüntülerinin alınması.
  • Dosyalar indiriliyor.
  • Dosyalar yükleniyor.
  • Sistemin kamerası aracılığıyla görüntülerin kaydedilmesi.
  • Çalışan süreçleri yönetmek.
  • Uzaktan komutların yürütülmesi.
  • Tehdidin aktif eklentilerinin listelenmesi ve yönetilmesi.
  • Kendisini ve C&C sunucularının listesini güncelliyor.
  • Kendini yok eden.

    • Bu uzun yetenek listesi, Kazuar kötü amaçlı yazılımının sızmayı başardığı herhangi bir sisteme ciddi zarar vermesine olanak tanıyor. Kazuar tehdidinin yaratıcılarının bu kötü amaçlı yazılımın OSX uyumlu bir versiyonu üzerinde çalışıyor olması muhtemel olduğundan, daha fazla kullanıcı risk altında olacaktır. Sisteminizi Kazuar tehdidi gibi zararlılardan korumak için, siber güvenliğinizi sağlayacak ve verilerinizi güvende tutacak orijinal bir kötü amaçlı yazılımdan koruma yazılım paketi indirip yüklediğinizden emin olun.

    Turla, Ukrayna'daki Hedeflere Karşı Yeni Kazuar Varyantını Konuşlandırıyor

    Kazuar, 2017'deki ilk tespitinden bu yana ara sıra ortaya çıktı ve öncelikle Avrupa'daki hükümet ve askeri çevrelerdeki kuruluşları etkiledi. Kod benzerlikleriyle kanıtlanan Sunburst arka kapısıyla olan bağlantısı, karmaşık doğasının altını çiziyor. 2020'nin sonlarından bu yana yeni Kazuar örneği ortaya çıkmasa da raporlar, geliştirme çabalarının gölgede devam ettiğini öne sürüyor.

    Güncellenen Kazuar kodunun analizi, yaratıcılarının gizli yeteneklerini geliştirmek, tespit mekanizmalarından kaçınmak ve analiz çabalarını engellemek için ortak bir çaba gösterdiğini ortaya koyuyor. Bu, kötü amaçlı yazılım kodunun bütünlüğünü korumak için güçlü şifreleme ve gizleme teknikleriyle birleştirilmiş bir dizi gelişmiş anti-analiz yöntemiyle gerçekleştirilir.

    Yeni Kazuar Kötü Amaçlı Yazılım Varyantının Temel İşlevselliği

    Kazuar, tipik Turla tarzında, ele geçirilmiş meşru web sitelerini Komuta ve Kontrol (C2) altyapısı için kullanma ve böylece yayından kaldırma işlemlerinden kaçınma stratejisini kullanıyor. Ek olarak Kazuar, uzaktan komutları veya görevleri almak için her iki yöntemi de kullanarak adlandırılmış kanallar üzerinden iletişimi kolaylaştırır.

    Kazuar, C2 çerçevesinde 45 farklı görevi destekliyor ve bu da önceki sürümlerle karşılaştırıldığında işlevselliğinde dikkate değer bir ilerlemeyi temsil ediyor. Önceki araştırmalar bu görevlerin bazılarını belgelememişti. Buna karşılık Kazuar'ın 2017'de analiz edilen ilk versiyonu yalnızca 26 C2 komutunu destekliyordu.

    Kazuar'ın tanınan komutlar listesi aşağıdakiler de dahil olmak üzere çeşitli kategorileri kapsar:

    • Ana bilgisayar veri toplama
    • Genişletilmiş adli veri toplama
    • Dosya manipülasyonu
    • Rastgele komutların yürütülmesi
    • Kazuar'ın yapılandırma ayarlarıyla etkileşim kurma
  • Windows kayıt defterini sorgulama ve değiştirme
  • Komut dosyalarının yürütülmesi (VBS, PowerShell, JavaScript)
  • Özel ağ istekleri gönderme
  • Kimlik bilgilerinin ve hassas bilgilerin çalınması

    • Veri Hırsızlığı Turla'nın Öncelikli Konuları Arasında Yer Almaya Devam Ediyor

    Kazuar, Komuta ve Kontrol (C2) sunucusundan alınan 'çal' veya 'gözetimsiz bırak' gibi komutlarla tetiklenen, ele geçirilen bilgisayardaki çeşitli eserlerden kimlik bilgilerini toplama yeteneğine sahiptir. Bu yapılar çok sayıda iyi bilinen bulut uygulamasını kapsamaktadır.

    Ayrıca Kazuar, bu uygulamalarla ilişkili kimlik bilgilerini içeren hassas dosyaları da hedefleyebilir. Hedeflenen yapılar arasında Git SCM (geliştiriciler arasında popüler bir kaynak kontrol sistemi) ve Signal (özel iletişim için şifreli bir mesajlaşma platformu) yer alıyor.

    Benzersiz bir çözücü iş parçacığı oluşturduktan sonra Kazuar, yaratıcıları tarafından 'first_systeminfo_do' olarak adlandırılan kapsamlı bir sistem profili oluşturma görevini otomatik olarak başlatır. Bu görev, hedeflenen sistemin kapsamlı bir şekilde toplanmasını ve profilinin çıkarılmasını gerektirir. Kazuar, virüslü makine hakkında işletim sistemi, donanım özellikleri ve ağ yapılandırmasıyla ilgili ayrıntılar da dahil olmak üzere kapsamlı bilgiler toplar.

    Toplanan veriler 'info.txt' dosyasında, yürütme günlükleri ise 'logs.txt' dosyasında saklanır. Ayrıca, bu görevin bir parçası olarak kötü amaçlı yazılım, kullanıcının ekranının ekran görüntüsünü yakalar. Toplanan tüm dosyalar daha sonra tek bir arşivde paketlenir, şifrelenir ve C2'ye gönderilir.

    Kazuar, Etkilenen Cihazlarda Çoklu Otomatik Görevler Oluşturuyor

    Kazuar, güvenliği ihlal edilmiş sistemlerden veri almak amacıyla önceden tanımlanmış aralıklarla yürütülen otomatik prosedürler oluşturma yeteneğine sahiptir. Bu otomatik görevler, Kapsamlı Sistem Profili Oluşturma bölümünde ayrıntılı olarak açıklanan kapsamlı sistem bilgilerinin toplanması, ekran görüntülerinin alınması, kimlik bilgilerinin çıkarılması, adli tıp verilerinin alınması, otomatik çalıştırma verilerinin alınması, belirlenen klasörlerden dosyaların alınması, LNK dosyaları ve MAPI kullanımı yoluyla e-postaların çalınması.

    Bu işlevler, Kazuar'ın virüs bulaşmış makinelerden sistematik gözetim ve veri çıkarımı gerçekleştirmesine olanak tanıyarak, kötü niyetli aktörleri çok sayıda hassas bilgiyle güçlendiriyor. Kazuar, bu otomatikleştirilmiş görevlerden yararlanarak keşif ve veri sızdırma sürecini kolaylaştırarak siber casusluk ve kötü amaçlı faaliyetlere yönelik bir araç olarak etkinliğini artırıyor.

    Güncellenmiş Kazuar Kötü Amaçlı Yazılımı Kapsamlı Anti-Analiz Yetenekleriyle Donatılmıştır

    Kazuar, tespit ve incelemeden kaçınmak için titizlikle tasarlanmış çeşitli karmaşık anti-analiz tekniklerini kullanıyor. Yaratıcıları tarafından programlanan Kazuar, analiz etkinliklerinin varlığına göre davranışını dinamik olarak ayarlıyor. Kazuar herhangi bir analizin yapılmadığını tespit ettiğinde operasyonlarına devam eder. Ancak herhangi bir hata ayıklama veya analiz belirtisi tespit ederse, derhal boş duruma geçerek Komuta ve Kontrol (C2) sunucusuyla tüm iletişimi durdurur.

    Damping Önleme

    Kazuar'ın özerk bir varlık yerine başka bir süreç içinde enjekte edilmiş bir bileşen olarak çalıştığı göz önüne alındığında, kodunu ana bilgisayar sürecinin belleğinden çıkarma ihtimali ortaya çıkıyor. Bu güvenlik açığına karşı koymak için Kazuar, .NET içindeki güçlü bir özellik olan System.Reflection Ad Alanı'ndan ustaca yararlanıyor. Bu yetenek, Kazuar'a derlemesiyle, yöntemleriyle ve diğer kritik unsurlarla ilgili meta verileri gerçek zamanlı olarak alma çevikliği vererek potansiyel kod çıkarma çabalarına karşı savunmasını güçlendirir.

    Ek olarak Kazuar, antidump_methods ayarının etkin olup olmadığını inceleyerek bir savunma önlemi uyguluyor. Bu gibi durumlarda, genel .NET yöntemlerini göz ardı ederek, kendi özel yöntemlerine yönelik işaretçileri geçersiz kılar ve bunları etkili bir şekilde bellekten siler. Kazuar'ın günlüğe kaydedilen mesajından da anlaşılacağı üzere, bu proaktif yaklaşım, araştırmacıların kötü amaçlı yazılımın sağlam bir sürümünü çıkarmasını engellemeye hizmet ediyor ve böylece analiz ve tespite karşı dayanıklılığını artırıyor.

    Balküpü Kontrolü

    Kazuar, ilk görevleri arasında hedef makinede bal küpü yapılarına dair herhangi bir işaret olup olmadığını özenle tarar. Bunu başarmak için, sabit kodlanmış bir yaklaşım kullanarak önceden tanımlanmış işlem adları ve dosya adları listesine başvurur. Kazuar, belirtilen dosya veya süreçlerin beşten fazla örneğiyle karşılaşırsa, balküpünün varlığının göstergesi olarak keşfi derhal kaydeder.

    Analiz Araçları Kontrolü

    Kazuar, yaygın olarak kullanılan çeşitli analiz araçlarını temsil eden önceden tanımlanmış adların bir listesini tutar. Listeyi sistemdeki aktif süreçlere göre sistematik olarak inceler. Bu araçlardan herhangi birinin çalıştığını tespit eden Kazuar, analiz araçlarının varlığını belirterek bulguyu hemen kaydeder.

    Korumalı Alan Kontrolü

    Kazuar, sistemine sabit kodlanmış, önceden belirlenmiş bir dizi sanal alan kitaplığına sahiptir. Çeşitli sanal alan hizmetleriyle ilişkili belirli DLL'leri tanımlamak için taramalar gerçekleştirir. Bu dosyalarla karşılaşan Kazuar, cihazın bir laboratuvar ortamında çalıştığı sonucuna vararak faaliyetlerini durdurmasını ister.

    Olay Günlüğü Monitörü

    Kazuar, Windows olay günlüklerinde kayıtlı olayları sistematik olarak toplar ve yorumlar. Özellikle kötü amaçlı yazılımdan koruma ve güvenlik sağlayıcılarından oluşan bir seçkiden kaynaklanan olayları hedefler. Bu kasıtlı odaklanma, bu araçların potansiyel hedefler arasında yaygın olduğu yönündeki makul varsayım altında, yaygın olarak kullanılan güvenlik ürünleriyle ilişkili faaliyetleri izleme stratejisiyle uyumludur.

    Kazuar Kötü Amaçlı Yazılımı Dijital Alanda Büyük Bir Tehdit Temsil Etmeye Devam Ediyor

    Yakın zamanda ortalıkta tanımlanan Kazuar kötü amaçlı yazılımının en yeni çeşidi, birçok dikkate değer özellik sergiliyor. Gelişmiş performans için çok iş parçacıklı bir modelin yanı sıra sağlam kod ve dize gizleme tekniklerini içerir. Ayrıca Kazuar'ın kodunu analizden korumak ve verilerini bellekte, iletim sırasında veya diskte gizlemek için bir dizi şifreleme şeması uygulandı. Bu özelliklerin tümü Kazuar arka kapısına yüksek seviyede gizlilik kazandırmayı amaçlıyor.

    Ek olarak, kötü amaçlı yazılımın bu yinelemesi, gelişmiş analiz önleme işlevleri ve kapsamlı sistem profili oluşturma yetenekleri sergiliyor. Bulut uygulamalarını özel olarak hedeflemesi dikkat çekicidir. Üstelik Kazuar'ın bu sürümü, yarısı daha önce siber güvenlik araştırmacıları tarafından belgelenmemiş olan 40'tan fazla farklı komuttan oluşan geniş bir dizi desteği sunuyor.

    Kazuar'a Karşı Nasıl Korunulur?

    Her türlü tehditte olduğu gibi, bilgisayarınızı korumak için yapabileceğiniz en önemli şey, e-posta eklerini ve bağlantılarını açmaktan kaçınmaktır. Nereden geldiğini bilmiyorsanız e-postayla etkileşime girmeyin. Ayrıca en önemli verilerinizi düzenli olarak yedeklemeyi unutmayın. Birden fazla yedeğe sahip olmanız da yardımcı olur; çünkü ne kadar çok yedeğiniz varsa, Kazuar veya başka bir kötü amaçlı yazılım durumunda işleri normale döndürme şansınız o kadar yüksek olur.

    Son olarak, tüm programlarınızın ve uygulamalarınızın güncel olduğundan emin olmak istersiniz. İşletim sisteminizi düzenli aralıklarla güncellemeyi unutmayın. Bilgisayar tehditleri, işletim sistemleri ve yazılımlardaki açıklardan yararlanarak gelişir; bu nedenle onların oyalanmasına izin vermeyin.

    trend

    En çok görüntülenen

    Yükleniyor...