Kazuar
研究人员发现了一个名为 Kazuar 的后门木马。 Kazuar 被发现与间谍活动有关,并且似乎是用 Microsoft .NET Framework 编写的。 Kazuar 允许攻击者获得对受感染系统的完全访问权限。
Kazuar 有几个潜在的功能和命令,包括远程加载插件的能力。这些插件赋予了木马更强大的功能,并使其更具威胁性。观察到的菌株中的代码表明世界上存在 Linux 和 Mac 版本的 Kazuar。 Kazuar 的一个突出特点是它通过连接到 Web 服务器的应用程序编程接口 (API) 工作,并且它可能是第一个也是唯一一个以这种方式运行的病毒。
目录
卡祖尔背后是谁?
研究人员认为 Kazuar 与 APT(高级持续威胁)组织Turla有联系,该组织也以Snake和Uroburos的名义进行活动。 Turla 以其先进的能力而闻名,并且是一个长期存在的俄罗斯网络威胁组织,据称与俄罗斯联邦安全局 (FSB) 有联系。该组织的攻击目标包括大使馆、教育机构、国防承包商和研究组织。 Turla 在他们的代码中有一些签名,可以识别工具是他们的,而 Kazuar 使用的代码至少可以追溯到 2005 年。
Turla 曾使用过多种工具,其中大多数部署在受感染环境中的攻击第二阶段。 Kazuar 可能是 Turla 集团处理业务的一种新方式。
卡祖尔是做什么的?
Kazuar 是一种后门木马,是最大的数字威胁类别之一。后门特洛伊木马可能是昂贵且具有多种功能的综合程序,也可能是除了对服务器执行 ping 操作之外不执行任何操作的简单程序。尤其是 Kazuar,以东南亚的食火鸟命名,更像是一种传统的后门木马。虽然 Kazuar 相对基础,但它确实具有一些隐藏功能,使其比PowerStallion或Neuron等典型后门木马更具威胁。
当 Turla 黑客从目标收集情报时,Kazuar 着手避免被发现。尽管 Kazuar 是一个 .NET Framework 应用程序,但它也具有与 Mac 和 Unix/Linux 系统兼容的功能。然而,到目前为止,仅在野外发现了 Windows 变体。
看一下 Kazuar 的代码,您就会知道该病毒投入了多少精力。 Kazuar 具有增强的设置例程,并且能够通过多种方法建立持久性来适应易受攻击的计算机。该病毒会创建 DLL 并利用 Windows 服务和 .NET Framework 功能驻留在计算机上。一旦病毒启动并运行,它就会向攻击者提供有关目标计算机的信息并让他们控制。攻击者能够通过可选模块上传文件、截取屏幕截图、激活网络摄像头、复制数据、启动可执行文件以及执行其他任务。
值得注意的是 API 功能。此类病毒主要连接到命令和控制服务器(C2 服务器)并等待指令。 Kazuar 之所以脱颖而出,是因为它可以创建一个始终监听的 Web 服务器,帮助病毒避开防火墙和反恶意软件检测。
Kazuar 如何感染计算机?
Kazuar 恶意软件通过多种不同的方法感染计算机。最常见的是恶意软件包、垃圾邮件、网络共享、恶意链接以及访问受感染的闪存驱动器。 Kazuar 一旦进入您的计算机,肯定会造成巨大的损害。
受害者报告说,他们不得不应对硬盘故障、频繁崩溃、应用程序损坏等问题。这还不算它在经济损失或身份盗窃方面可能造成的实际危害。您应该采取措施保护自己免受卡祖尔感染,并尽快消除任何感染。
在感染目标设备后,Kazuar 恶意软件会收集有关受感染主机的软件和硬件的一些信息。此外,Kazuar 威胁会根据硬盘的序列 ID 和活动用户的用户名生成唯一的互斥体。此攻击步骤旨在检测受感染计算机上是否运行 Kazuar 恶意软件的两种变体。一旦完成,Kazuar 恶意软件将通过在主机上获得持久性来继续攻击。这是通过修改系统的Windows注册表来实现的。接下来,Kazuar 恶意软件将连接到其操作者的 C&C(命令与控制)服务器,并等待他们发出命令。 Kazuar 恶意软件的主要特征包括:
- 截取用户活动窗口和桌面的屏幕截图。
- 下载文件。
- 上传文件。
- 通过系统的摄像头录制镜头。
- 管理正在运行的进程。
- 执行远程命令。
- 列出和管理威胁的活动插件。
- 更新自身及其 C&C 服务器列表。
- 自毁。
如此长的功能列表使得 Kazuar 恶意软件能够对其设法渗透的任何系统造成重大损害。由于 Kazuar 威胁的创建者很可能正在开发该恶意软件的 OSX 兼容版本,因此更多用户将面临风险。为了保护您的系统免受 Kazuar 威胁等害虫的侵害,请务必下载并安装正版反恶意软件套件,该套件将保护您的网络安全并确保您的数据安全。
Turla 针对乌克兰目标部署新的 Kazuar 变体
自 2017 年首次被发现以来,Kazuar 偶尔在野外出现,主要影响欧洲政府和军事领域的组织。它与Sunburst后门的联系(通过代码相似性证明)强调了其复杂性。尽管自 2020 年底以来没有出现新的 Kazuar 样本,但有报告表明,开发工作仍在幕后进行。
对更新后的 Kazuar 代码的分析突显了其创建者为增强其隐身能力、逃避检测机制和阻止分析工作而共同努力的结果。这是通过一系列先进的反分析方法以及强大的加密和混淆技术来实现的,以保护恶意软件代码的完整性。
新 Kazuar 恶意软件变种的核心功能
按照典型的 Turla 风格,Kazuar 采用了一种策略,利用被劫持的合法网站作为其命令和控制 (C2) 基础设施,从而逃避攻击。此外,Kazuar 还可以利用这两种方法来接收远程命令或任务,从而促进通过命名管道进行通信。
Kazuar 声称其 C2 框架支持 45 种不同的任务,与早期版本相比,其功能有了显着的进步。之前的研究尚未记录其中一些任务。相比之下,2017 年分析的 Kazuar 初始变体仅支持 26 个 C2 命令。
Kazuar 的识别命令列表涵盖各个类别,包括:
- 主机数据采集
- 扩展法医数据收集
- 文件操作
- 执行任意命令
- 与 Kazuar 的配置设置交互
- 查询和操作 Windows 注册表
- 执行脚本(VBS、PowerShell、JavaScript)
- 发送自定义网络请求
- 凭证和敏感信息被盗
数据盗窃仍然是 Turla 的首要任务之一
Kazuar 能够从受感染计算机内的各种工件中获取凭证,这些凭证由从命令与控制 (C2) 服务器接收到的“窃取”或“无人值守”等命令触发。这些工件包含许多众所周知的云应用程序。
此外,Kazuar 还可以针对包含与这些应用程序关联的凭据的敏感文件。目标工件包括 Git SCM(开发人员中流行的源代码控制系统)和 Signal(用于私人通信的加密消息传递平台)。
在生成一个独特的求解器线程后,Kazuar 会自动启动一项广泛的系统分析任务,被其创建者称为“first_systeminfo_do”。此任务需要对目标系统进行彻底的收集和分析。 Kazuar 收集有关受感染计算机的全面信息,包括有关操作系统、硬件规格和网络配置的详细信息。
收集的数据存储在“info.txt”文件中,而执行日志保存在“logs.txt”文件中。此外,作为此任务的一部分,恶意软件会捕获用户屏幕的屏幕截图。然后,所有收集的文件都会捆绑到一个存档中,进行加密并发送到 C2。
Kazuar 在受感染的设备上建立多个自动化任务
Kazuar 拥有建立自动化程序的能力,这些程序以预定义的时间间隔执行,以便从受感染的系统中检索数据。这些自动化任务包含一系列功能,包括收集全面的系统信息(如综合系统分析部分所述)、捕获屏幕截图、提取凭据、检索取证数据、获取自动运行数据、从指定文件夹获取文件、编译列表LNK 文件,以及通过使用 MAPI 窃取电子邮件。
这些功能使 Kazuar 能够从受感染的机器中进行系统监视和数据提取,从而为恶意行为者提供大量敏感信息。通过利用这些自动化任务,Kazuar 简化了侦察和数据泄露的过程,增强了其作为网络间谍和恶意活动工具的有效性。
更新后的 Kazuar 恶意软件配备了广泛的反分析功能
Kazuar 采用了各种精心设计的复杂反分析技术来逃避检测和审查。 Kazuar 由其创建者编程,根据分析活动的存在动态调整其行为。当 Kazuar 确定没有进行任何分析时,就会继续其操作。但是,如果它检测到任何调试或分析的迹象,它会立即进入空闲状态,停止与其命令和控制(C2)服务器的所有通信。
反倾销
鉴于 Kazuar 作为另一个进程中的注入组件而不是作为自治实体运行,从主机进程的内存中提取其代码的前景迫在眉睫。为了消除此漏洞,Kazuar 熟练地利用了 .NET 中的一项强大功能,即 System.Reflection 命名空间。此功能使 Kazuar 能够灵活地实时检索与其程序集、方法以及其他关键元素相关的元数据,从而加强其对潜在代码提取行为的防御。
此外,Kazuar 通过检查 antidump_methods 设置是否启用来实施防御措施。在这种情况下,它会重写指向其定制方法的指针,同时忽略通用 .NET 方法,从而有效地将它们从内存中删除。正如 Kazuar 记录的消息所证明的那样,这种主动方法可以阻止研究人员提取恶意软件的完整版本,从而增强其针对分析和检测的弹性。
蜜罐检查
在其最初的任务中,Kazuar 会努力扫描目标计算机上是否有任何蜜罐伪影的迹象。为了实现这一点,它采用硬编码方法引用预定义的进程名称和文件名列表。如果 Kazuar 遇到这些指定文件或进程的实例超过 5 个,它会立即记录该发现,表明存在蜜罐。
分析工具检查
Kazuar 维护着一个预定义名称列表,代表各种广泛使用的分析工具。它根据系统上的活动进程系统地审查名册。一旦检测到任何这些工具的运行,Kazuar 就会立即记录这一发现,表明分析工具的存在。
沙箱检查
Kazuar 拥有一组硬编码到其系统中的预定沙箱库。它进行扫描以识别与各种沙箱服务关联的特定 DLL。在遇到这些文件后,卡祖尔断定它正在实验室环境中运行,从而促使其停止运行。
事件日志监视器
Kazuar 系统地收集和解释 Windows 事件日志中记录的事件。它专门针对源自精选的反恶意软件和安全供应商的事件。这种刻意的重点与其监控与广泛使用的安全产品相关的活动的策略相一致,假设这些工具在潜在目标中普遍存在。
Kazuar 恶意软件仍然是数字空间的主要威胁
最近在野外发现的 Kazuar 恶意软件的最新变种展示了几个值得注意的属性。它结合了强大的代码和字符串混淆技术以及多线程模型,以增强性能。此外,还实施了一系列加密方案来保护 Kazuar 的代码免遭分析并隐藏其数据,无论是在内存中、传输过程中还是在磁盘上。这些功能共同旨在赋予 Kazuar 后门更高的隐秘性。
此外,该恶意软件的迭代还具有复杂的反分析功能和广泛的系统分析功能。其针对云应用程序的具体目标值得注意。此外,这个版本的 Kazuar 还支持 40 多个不同的命令,其中一半以前没有被网络安全研究人员记录过。
如何防范卡祖尔
与任何类型的威胁一样,保护计算机可以做的主要事情是避免打开电子邮件附件和链接。如果您不知道电子邮件来自何处,请不要与其交互。另外,请确保定期备份最重要的数据。拥有多个备份也很有帮助,因为拥有的备份越多,在发生 Kazuar 或其他恶意软件时恢复正常的机会就越大。
最后但并非最不重要的一点是,您需要确保所有程序和应用程序都是最新的。不要忘记定期更新您的操作系统。计算机威胁通过操作系统和软件中的漏洞而猖獗,因此不要让它们持续存在。
