Kazuar

研究人員發現了一個名為 Kazuar 的後門木馬。 Kazuar 被發現與間諜活動有關，並且似乎是用 Microsoft .NET Framework 編寫的。 Kazuar 允許攻擊者獲得對受感染系統的完全存取權。

Kazuar 有幾個潛在的功能和命令，包括遠端載入插件的能力。這些插件賦予了木馬更強大的功能，並使其更具威脅性。觀察到的菌株中的程式碼表明世界上存在 Linux 和 Mac 版本的 Kazuar。 Kazuar 的一個突出特點是它透過連接到 Web 伺服器的應用程式介面 (API) 工作，並且它可能是第一個也是唯一一個以這種方式運行的病毒。

卡祖爾背後是誰？

研究人員認為 Kazuar 與 APT（高級持續威脅）組織Turla有聯繫，該組織也以Snake和Uroburos的名義進行活動。 Turla 以其先進的能力而聞名，並且是一個長期存在的俄羅斯網路威脅組織，據稱與俄羅斯聯邦安全局 (FSB) 有聯繫。該組織的攻擊目標包括大使館、教育機構、國防承包商和研究組織。 Turla 在他們的程式碼中有一些簽名，可以識別工具是他們的，而 Kazuar 使用的程式碼至少可以追溯到 2005 年。

Turla 曾使用過多種工具，其中大多數部署在受感染環境中的攻擊第二階段。 Kazuar 可能是 Turla 集團處理業務的一種新方式。

卡祖爾是做什麼的？

Kazuar 是後門木馬，是最大的數位威脅類別之一。後門特洛伊木馬可能是昂貴且具有多種功能的綜合程序，也可能是除了對伺服器執行 ping 操作之外不執行任何操作的簡單程序。尤其是 Kazuar，以東南亞的食火鳥命名，更像是一種傳統的後門木馬。雖然 Kazuar 相對基礎，但它確實具有一些隱藏功能，使其比PowerStallion或Neuron等典型後門木馬更具威脅性。

當 Turla 駭客從目標收集情報時，Kazuar 著手避免被發現。儘管 Kazuar 是 .NET Framework 應用程序，但它也具有與 Mac 和 Unix/Linux 系統相容的功能。然而，到目前為止，僅在野外發現了 Windows 變體。

看看 Kazuar 的程式碼，您就會知道病毒投入了多少精力。 Kazuar 具有增強的設定例程，並且能夠透過多種方法建立持久性來適應易受攻擊的電腦。該病毒會建立 DLL 並利用 Windows 服務和 .NET Framework 功能駐留在電腦上。一旦病毒啟動並運行，它就會向攻擊者提供有關目標電腦的資訊並讓他們控制。攻擊者能夠透過選用模組上傳檔案、截取螢幕截圖、啟動網路攝影機、複製資料、啟動可執行檔以及執行其他任務。

值得注意的是 API 功能。此類病毒主要連接到命令和控制伺服器（C2 伺服器）並等待指令。 Kazuar 之所以脫穎而出，是因為它可以創建一個始終監聽的 Web 伺服器，幫助病毒避開防火牆和反惡意軟體偵測。

Kazuar 如何感染電腦？

Kazuar 惡意軟體透過多種不同的方法感染電腦。最常見的是惡意軟體包、垃圾郵件、網路共享、惡意連結以及存取受感染的隨身碟。 Kazuar 一旦進入您的計算機，肯定會造成巨大的損害。

受害者報告說，他們不得不應對硬碟故障、頻繁崩潰、應用程式損壞等問題。這還不包括它在經濟損失或身分盜竊方面可能造成的實際危害。您應該採取措施保護自己免受卡祖爾感染，並儘快消除任何感染。

在感染目標裝置後，Kazuar 惡意軟體會收集受感染主機的軟體和硬體的一些資訊。此外，Kazuar 威脅會根據硬碟的序列 ID 和活動使用者的使用者名稱產生唯一的互斥體。此攻擊步驟旨在檢測受感染電腦上是否執行 Kazuar 惡意軟體的兩種變體。一旦完成，Kazuar 惡意軟體將透過在主機上獲得持久性來繼續攻擊。這是透過修改系統的Windows註冊表來實現的。接下來，Kazuar 惡意軟體將連接到其操作者的 C&C（命令與控制）伺服器，並等待他們發出命令。 Kazuar 惡意軟體的主要特徵包括：

• 截取使用者活動視窗和桌面的螢幕截圖。
• 下載檔案。
• 上傳文件。
• 透過系統的攝影機錄製鏡頭。
• 管理正在運行的進程。
• 執行遠端命令。
• 列出和管理威脅的活動外掛程式。
• 更新自身及其 C&C 伺服器清單。

• 自毀。

如此長的功能清單使得 Kazuar 惡意軟體能夠對其設法滲透的任何系統造成重大損害。由於 Kazuar 威脅的創建者很可能正在開發該惡意軟體的 OSX 相容版本，因此更多用戶將面臨風險。為了保護您的系統免受 Kazuar 威脅等害蟲的侵害，請務必下載並安裝正版反惡意軟體套件，該套件將保護您的網路安全並確保您的資料安全。

Turla 針對烏克蘭目標部署新的 Kazuar 變體

自 2017 年首次被發現以來，Kazuar 偶爾在野外出現，主要影響歐洲政府和軍事領域的組織。它與Sunburst後門的聯繫（透過代碼相似性證明）強調了其複雜性。儘管自 2020 年底以來沒有出現新的 Kazuar 樣本，但有報告表明，開發工作仍在幕後進行。

對更新後的 Kazuar 程式碼的分析突顯了其創建者為增強其隱身能力、逃避檢測機制和阻止分析工作而共同努力的結果。這是透過一系列先進的反分析方法以及強大的加密和混淆技術來實現的，以保護惡意軟體程式碼的完整性。

新 Kazuar 惡意軟體變種的核心功能

按照典型的 Turla 風格，Kazuar 採用了一種策略，利用被劫持的合法網站作為其命令和控制 (C2) 基礎設施，從而逃避攻擊。此外，Kazuar 還可以利用這兩種方法來接收遠端命令或任務，從而促進透過命名管道進行通訊。

Kazuar 聲稱其 C2 框架支援 45 種不同的任務，與早期版本相比，其功能有了顯著進步。先前的研究尚未記錄其中一些任務。相較之下，2017 年分析的 Kazuar 初始變體僅支援 26 個 C2 命令。

Kazuar 的識別指令清單涵蓋各個類別，包括：

• 主機資料擷取
• 擴展法醫資料收集
• 文件操作
• 執行任意指令
• 與 Kazuar 的配置設定交互
• 查詢與操作 Windows 登錄

• 執行腳本（VBS、PowerShell、JavaScript）

• 發送自訂網路請求

• 憑證和敏感資訊被盜

資料竊取仍然是 Turla 的首要任務之一

Kazuar 能夠從受感染電腦內的各種工件中取得憑證，這些憑證由從命令與控制 (C2) 伺服器接收的「竊取」或「無人值守」等命令觸發。這些工件包含許多眾所周知的雲端應用程式。

此外，Kazuar 還可以針對包含與這些應用程式關聯的憑證的敏感檔案。目標工件包括 Git SCM（開發人員中流行的源代碼控制系統）和 Signal（用於私人通訊的加密訊息傳遞平台）。

在產生一個獨特的求解器執行緒後，Kazuar 會自動啟動一項廣泛的系統分析任務，並被其創建者稱為「first_systeminfo_do」。此任務需要對目標系統進行徹底的收集和分析。 Kazuar 收集有關受感染電腦的全面信息，包括有關作業系統、硬體規格和網路配置的詳細資訊。

收集的資料儲存在「info.txt」檔案中，而執行日誌則保存在「logs.txt」檔案中。此外，作為此任務的一部分，惡意軟體會擷取使用者螢幕的螢幕截圖。然後，所有收集的文件都會捆綁到一個存檔中，進行加密並發送到 C2。

Kazuar 在受感染的裝置上建立多個自動化任務

Kazuar 擁有建立自動化程序的能力，這些程序以預先定義的時間間隔執行，以便從受感染的系統中檢索資料。這些自動化任務包含一系列功能，包括收集全面的系統資訊（如綜合系統分析部分所述）、擷取螢幕截圖、提取憑證、檢索取證資料、取得自動運行資料、從指定資料夾取得檔案、編譯清單LNK文件，以及透過使用MAPI 竊取電子郵件。

這些功能使 Kazuar 能夠從受感染的機器中進行系統監視和資料提取，從而為惡意行為者提供大量敏感資訊。透過利用這些自動化任務，Kazuar 簡化了偵察和資料外洩的過程，增強了其作為網路間諜和惡意活動工具的有效性。

更新後的 Kazuar 惡意軟體配備了廣泛的反分析功能

Kazuar 採用了各種精心設計的複雜反分析技術來逃避檢測和審查。 Kazuar 由其創建者編程，根據分析活動的存在動態調整其行為。當 Kazuar 確定沒有進行任何分析時，就會繼續其操作。但是，如果它檢測到任何調試或分析的跡象，它會立即進入空閒狀態，停止與其命令和控制（C2）伺服器的所有通訊。

反傾銷

鑑於 Kazuar 作為另一個進程中的注入元件而不是作為自治實體運行，從主機進程的記憶體中提取其程式碼的前景迫在眉睫。為了消除此漏洞，Kazuar 熟練地利用了 .NET 中的一項強大功能，即 System.Reflection 命名空間。此功能使 Kazuar 能夠靈活地即時檢索與其組件、方法以及其他關鍵元素相關的元數據，從而加強其對潛在程式碼提取行為的防禦。

此外，Kazuar 透過檢查 antidump_methods 設定是否啟用來實施防禦措施。在這種情況下，它會重寫指向其自訂方法的指針，同時忽略通用 .NET 方法，從而有效地將它們從記憶體中刪除。正如 Kazuar 記錄的訊息所證明的那樣，這種主動方法可以阻止研究人員提取惡意軟體的完整版本，從而增強其針對分析和檢測的彈性。

蜜罐檢查

在最初的任務中，Kazuar 會努力掃描目標電腦上是否有任何蜜罐偽影的跡象。為了實現這一點，它採用硬編碼方法來引用預先定義的進程名稱和檔案名稱清單。如果 Kazuar 遇到這些指定檔案或進程的實例超過 5 個，它會立即記錄該發現，表示存在蜜罐。

分析工具檢查

Kazuar 維護一個預先定義名稱列表，代表各種廣泛使用的分析工具。它根據系統上的活動進程系統地審查名冊。一旦檢測到任何這些工具的運行，Kazuar 就會立即記錄這項發現，表明分析工具的存在。

沙箱檢查

Kazuar 擁有一組硬編碼到其係統中的預定沙箱庫。它進行掃描以識別與各種沙箱服務關聯的特定 DLL。在遇到這些文件後，卡祖爾斷定它正在實驗室環境中運行，促使其停止運行。

事件日誌監視器

Kazuar 有系統地收集和解釋 Windows 事件日誌中記錄的事件。它專門針對源自精選的反惡意軟體和安全供應商的事件。這種刻意的重點與其監控與廣泛使用的安全產品相關的活動的策略相一致，假設這些工具在潛在目標中普遍存在。

Kazuar 惡意軟體仍然是數位空間的主要威脅

最近在野外發現的 Kazuar 惡意軟體的最新變種展示了幾個值得注意的屬性。它結合了強大的程式碼和字串混淆技術以及多執行緒模型，以增強效能。此外，還實施了一系列加密方案來保護 Kazuar 的程式碼免於分析並隱藏其數據，無論是在記憶體中、傳輸過程中還是在磁碟上。這些功能共同旨在賦予 Kazuar 後門更高的隱密性。

此外，該惡意軟體的迭代還具有複雜的反分析功能和廣泛的系統分析功能。其針對雲端應用程式的具體目標值得注意。此外，這個版本的 Kazuar 還支援 40 多個不同的命令，其中一半以前沒有被網路安全研究人員記錄過。

如何防範卡祖爾

與任何類型的威脅一樣，保護電腦可以做的主要事情是避免打開電子郵件附件和連結。如果您不知道電子郵件來自何處，請不要與其互動。另外，請確保定期備份最重要的資料。擁有多個備份也很有幫助，因為擁有的備份越多，在遇到 Kazuar 或其他惡意軟體時恢復正常的機會就越大。

最後但並非最不重要的一點是，您需要確保所有程式和應用程式都是最新的。不要忘記定期更新您的作業系統。電腦威脅透過作業系統和軟體中的漏洞而猖獗，因此不要讓它們持續存在。