Kazuar
Forscher haben einen Backdoor-Trojaner namens Kazuar entdeckt. Es wurde festgestellt, dass Kazuar mit einer Spionagekampagne in Verbindung steht und offenbar mit dem Microsoft .NET Framework geschrieben wurde. Mit Kazuar erhalten Angreifer vollständigen Zugriff auf ein kompromittiertes System.
Kazuar verfügt über mehrere potenzielle Funktionen und Befehle, einschließlich der Möglichkeit, Plugins aus der Ferne zu laden. Diese Plugins verleihen dem Trojaner größere Fähigkeiten und machen ihn zu einer größeren Bedrohung. Der beobachtete Stamm enthielt auch Code, der darauf schließen ließ, dass es auf der Welt Linux- und Mac-Versionen von Kazuar gibt. Das Besondere an Kazuar ist, dass es über eine mit einem Webserver verbundene Anwendungsprogrammierschnittstelle (API) funktioniert und möglicherweise der erste – und einzige – Virus ist, der auf diese Weise agiert.
Inhaltsverzeichnis
Wer steckt hinter Kazuar?
Forscher glauben, dass Kazuar mit Turla in Verbindung steht, einer APT-Gruppe (Advanced Persistent Threat), die auch unter den Namen Snake und Uroburos operiert. Turla ist für seine fortschrittlichen Fähigkeiten bekannt und eine langjährige in Russland ansässige Cyber-Bedrohungsgruppe mit angeblichen Verbindungen zum russischen Föderalen Sicherheitsdienst (FSB). Die Gruppe zielt mit ihren Angriffen auf Botschaften, Bildungseinrichtungen, Rüstungsunternehmen und Forschungsorganisationen. Turla hat so etwas wie eine Signatur in ihrem Code, die die Werkzeuge als ihre identifiziert, und der für Kazuar verwendete Code lässt sich zumindest bis ins Jahr 2005 zurückverfolgen.
Turla hat im Laufe seiner Zeit eine Reihe von Tools verwendet, von denen die meisten in der zweiten Phase von Angriffen in kompromittierten Umgebungen eingesetzt werden. Kazuar könnte eine neue Art und Weise sein, wie die Turla-Gruppe ihre Geschäfte abwickelt.
Was macht Kazuar?
Kazuar ist ein Backdoor-Trojaner, der eine der größten Kategorien digitaler Bedrohungen darstellt. Backdoor-Trojaner können teure und umfassende Programme mit einer Reihe von Funktionen sein oder einfache Programme, die lediglich einen Server anpingen. Insbesondere Kazuar, benannt nach dem Kasuar aus Südostasien, ist eher ein traditioneller Backdoor-Trojaner. Obwohl Kazuar relativ einfach ist, verfügt es über einige versteckte Funktionen, die es zu einer größeren Bedrohung machen als typische Backdoor-Trojaner wie PowerStallion oder Neuron .
Kazuar will nicht entdeckt werden, während Turla-Hacker Informationen von ihren Zielen sammeln. Obwohl Kazuar eine .NET Framework-Anwendung ist, verfügt sie auch über Funktionen, die sie mit Mac- und Unix/Linux-Systemen kompatibel machen. Bisher wurden jedoch nur Windows-Varianten in freier Wildbahn gesichtet.
Schauen Sie sich den Code für Kazuar an und Sie werden sehen, wie viel Arbeit in diesen Virus gesteckt wurde. Kazuar verfügt über eine erweiterte Setup-Routine und ist in der Lage, sich an anfällige Computer anzupassen, indem es mit einer Reihe von Methoden Persistenz aufbaut. Der Virus erstellt DLLs und nutzt Windows-Dienste und .NET Framework-Funktionen aus, um auf einem Computer zu bleiben. Sobald der Virus aktiv ist, gibt er dem Angreifer Informationen über den Zielcomputer und ermöglicht ihm die Kontrolle. Angreifer können über optionale Module Dateien hochladen, Screenshots machen, Webcams aktivieren, Daten kopieren, ausführbare Dateien starten und andere Aufgaben ausführen.
Es lohnt sich, die API-Funktion zu beachten. Viren wie dieser verbinden sich hauptsächlich mit Command-and-Control-Servern (C2-Servern) und warten auf Anweisungen. Kazuar zeichnet sich dadurch aus, dass es einen stets überwachenden Webserver erstellen kann, der dem Virus hilft, Firewalls und Anti-Malware-Erkennungen zu umgehen.
Wie infiziert Kazuar Computer?
Die Kazuar-Malware infiziert Computer auf verschiedene Weise. Am häufigsten sind schädliche Softwarepakete, E-Mail-Spam, Netzwerkfreigabe, schädliche Links und der Zugriff auf infizierte Flash-Laufwerke. Kazuar wird mit Sicherheit großen Schaden anrichten, sobald es auf Ihren Computer gelangt.
Opfer haben berichtet, dass sie mit Festplattenausfällen, häufigen Abstürzen, beschädigten Anwendungen und vielem mehr zu kämpfen hatten. Ganz zu schweigen vom tatsächlichen Schaden, den es in Form von finanziellen Verlusten oder Identitätsdiebstahl anrichten könnte. Sie sollten Maßnahmen ergreifen, um sich vor Kazuar zu schützen und jede Infektion so schnell wie möglich zu beseitigen.
Bei der Infektion eines Zielgeräts sammelte die Kazuar-Malware einige Informationen über die Software und Hardware des infizierten Hosts. Darüber hinaus würde die Kazuar-Bedrohung einen eindeutigen Mutex generieren, der auf der Seriennummer der Festplatte und dem Benutzernamen des aktiven Benutzers basiert. Dieser Schritt des Angriffs dient der Erkennung, ob auf dem infizierten Computer zwei Varianten der Kazuar-Malware laufen. Sobald dies abgeschlossen ist, setzt die Kazuar-Malware den Angriff fort, indem sie auf dem Host persistiert. Dies wird durch Ändern der Windows-Registrierung des Systems erreicht. Als nächstes würde sich die Kazuar-Malware mit dem C&C-Server (Command & Control) ihrer Betreiber verbinden und darauf warten, von ihnen Befehle zu erhalten. Zu den Hauptmerkmalen der Kazuar-Malware gehören:
- Erstellen von Screenshots der aktiven Fenster und des Desktops des Benutzers.
- Dateien herunterladen.
- Hochladen von Dateien.
- Aufzeichnen von Filmmaterial über die Kamera des Systems.
- Verwalten laufender Prozesse.
- Ausführen von Remote-Befehlen.
- Auflisten und Verwalten aktiver Plugins der Bedrohung.
Diese lange Liste von Fähigkeiten ermöglicht es der Kazuar-Malware, jedem System, das sie infiltriert, erheblichen Schaden zuzufügen. Da die Ersteller der Kazuar-Bedrohung wahrscheinlich an einer OSX-kompatiblen Version dieser Malware arbeiten, sind noch mehr Benutzer gefährdet. Um Ihr System vor Schädlingen wie der Kazuar-Bedrohung zu schützen, laden Sie unbedingt eine echte Anti-Malware-Software-Suite herunter und installieren Sie sie, die für Ihre Cybersicherheit sorgt und Ihre Daten schützt.
Turla setzt neue Kazuar-Variante gegen Ziele in der Ukraine ein
Seit seiner ersten Entdeckung im Jahr 2017 ist Kazuar sporadisch in freier Wildbahn aufgetaucht und betrifft vor allem Organisationen im europäischen Regierungs- und Militärbereich. Die durch Code-Ähnlichkeiten belegte Verbindung zur Sunburst- Hintertür unterstreicht seinen raffinierten Charakter. Obwohl seit Ende 2020 keine neuen Kazuar-Proben aufgetaucht sind, deuten Berichte darauf hin, dass die laufenden Entwicklungsbemühungen im Verborgenen laufen.
Die Analyse des aktualisierten Kazuar-Codes verdeutlicht die konzertierte Anstrengung seiner Entwickler, seine Tarnfähigkeiten zu verbessern, Erkennungsmechanismen zu umgehen und Analysebemühungen zu vereiteln. Dies wird durch eine Reihe fortschrittlicher Anti-Analysemethoden in Verbindung mit robusten Verschlüsselungs- und Verschleierungstechniken erreicht, um die Integrität des Malware-Codes zu schützen.
Die Kernfunktionalität der neuen Kazuar-Malware-Variante
In typischer Turla-Manier verfolgt Kazuar die Strategie, gekaperte legitime Websites für seine Command and Control (C2)-Infrastruktur zu nutzen und so einer Abschaltung zu entgehen. Darüber hinaus erleichtert Kazuar die Kommunikation über Named Pipes und nutzt beide Methoden, um Remote-Befehle oder -Aufgaben zu empfangen.
Kazuar bietet Unterstützung für 45 verschiedene Aufgaben innerhalb seines C2-Frameworks, was eine bemerkenswerte Weiterentwicklung seiner Funktionalität im Vergleich zu früheren Versionen darstellt. Frühere Untersuchungen hatten einige dieser Aufgaben nicht dokumentiert. Im Gegensatz dazu unterstützte die im Jahr 2017 analysierte erste Variante von Kazuar nur 26 C2-Befehle.
Kazuars Liste anerkannter Befehle umfasst verschiedene Kategorien, darunter:
- Host-Datenerfassung
- Erweiterte forensische Datenerfassung
- Dateimanipulation
- Ausführung beliebiger Befehle
- Interaktion mit den Konfigurationseinstellungen von Kazuar
Datendiebstahl bleibt für Turla eine der obersten Prioritäten
Kazuar verfügt über die Fähigkeit, Anmeldeinformationen von verschiedenen Artefakten innerhalb des kompromittierten Computers zu sammeln, ausgelöst durch Befehle wie „Steal“ oder „Unattend“, die vom Command-and-Control-Server (C2) empfangen werden. Diese Artefakte umfassen zahlreiche bekannte Cloud-Anwendungen.
Darüber hinaus kann Kazuar auf vertrauliche Dateien abzielen, die Anmeldeinformationen enthalten, die mit diesen Anwendungen verknüpft sind. Zu den Zielartefakten gehören Git SCM (ein bei Entwicklern beliebtes Quellcodeverwaltungssystem) und Signal (eine verschlüsselte Messaging-Plattform für private Kommunikation).
Beim Erzeugen eines einzigartigen Solver-Threads initiiert Kazuar automatisch eine umfangreiche Systemprofilierungsaufgabe, die von seinen Erstellern „first_systeminfo_do“ genannt wird. Diese Aufgabe umfasst die gründliche Erfassung und Profilierung des Zielsystems. Kazuar sammelt umfassende Informationen über den infizierten Computer, einschließlich Details zum Betriebssystem, Hardwarespezifikationen und Netzwerkkonfiguration.
Die gesammelten Daten werden in einer „info.txt“-Datei gespeichert, während Ausführungsprotokolle in einer „logs.txt“-Datei gespeichert werden. Darüber hinaus erfasst die Malware im Rahmen dieser Aufgabe einen Screenshot des Bildschirms des Benutzers. Alle gesammelten Dateien werden dann in einem einzigen Archiv gebündelt, verschlüsselt und an den C2 gesendet.
Kazuar richtet mehrere automatisierte Aufgaben auf den infizierten Geräten ein
Kazuar verfügt über die Fähigkeit, automatisierte Verfahren einzurichten, die in vordefinierten Intervallen ausgeführt werden, um Daten aus kompromittierten Systemen abzurufen. Diese automatisierten Aufgaben umfassen eine Reihe von Funktionen, darunter das Sammeln umfassender Systeminformationen, wie im Abschnitt „Umfassende Systemprofilierung“ beschrieben, das Erfassen von Screenshots, das Extrahieren von Anmeldeinformationen, das Abrufen forensischer Daten, das Erfassen von Daten zu automatischen Ausführungen, das Abrufen von Dateien aus bestimmten Ordnern und das Zusammenstellen einer Liste von LNK-Dateien und Diebstahl von E-Mails mithilfe von MAPI.
Diese Funktionen ermöglichen es Kazuar, eine systematische Überwachung und Datenextraktion von infizierten Computern durchzuführen und so böswilligen Akteuren eine Fülle vertraulicher Informationen zur Verfügung zu stellen. Durch die Nutzung dieser automatisierten Aufgaben rationalisiert Kazuar den Prozess der Aufklärung und Datenexfiltration und erhöht so seine Wirksamkeit als Werkzeug für Cyberspionage und böswillige Aktivitäten.
Die aktualisierte Kazuar-Malware ist mit umfangreichen Anti-Analysefunktionen ausgestattet
Kazuar setzt eine Vielzahl hochentwickelter Anti-Analysetechniken ein, die sorgfältig darauf ausgelegt sind, einer Entdeckung und Überprüfung zu entgehen. Kazuar wurde von seinen Entwicklern programmiert und passt sein Verhalten dynamisch an das Vorhandensein von Analyseaktivitäten an. Wenn festgestellt wird, dass keine Analyse im Gange ist, fährt Kazuar mit seinen Operationen fort. Wenn es jedoch Hinweise auf Debugging oder Analyse erkennt, wechselt es sofort in den Ruhezustand und stoppt die gesamte Kommunikation mit seinem Command and Control (C2)-Server.
Antidumping
Da Kazuar als injizierte Komponente innerhalb eines anderen Prozesses und nicht als autonome Einheit fungiert, besteht die Möglichkeit, seinen Code aus dem Speicher des Host-Prozesses zu extrahieren. Um dieser Schwachstelle entgegenzuwirken, nutzt Kazuar geschickt eine robuste Funktion in .NET, den System.Reflection-Namespace. Diese Fähigkeit verleiht Kazuar die Flexibilität, Metadaten zu seiner Assembly, seinen Methoden dynamisch und anderen kritischen Elementen in Echtzeit abzurufen und stärkt so seine Abwehrkräfte gegen potenzielle Code-Extraktionsbemühungen.
Darüber hinaus implementiert Kazuar eine Abwehrmaßnahme, indem es prüft, ob die Einstellung antidump_methods aktiviert ist. In solchen Fällen überschreibt es Zeiger auf seine maßgeschneiderten Methoden und ignoriert generische .NET-Methoden, wodurch diese effektiv aus dem Speicher gelöscht werden. Wie aus Kazuars protokollierter Nachricht hervorgeht, dient dieser proaktive Ansatz dazu, Forscher daran zu hindern, eine intakte Version der Malware zu extrahieren, wodurch ihre Widerstandsfähigkeit gegenüber Analyse und Erkennung erhöht wird.
Honeypot-Check
Zu seinen ersten Aufgaben zählt, dass Kazuar den Zielcomputer sorgfältig nach Anzeichen von Honeypot-Artefakten durchsucht. Um dies zu erreichen, referenziert es eine vordefinierte Liste von Prozessnamen und Dateinamen und verwendet dabei einen fest codierten Ansatz. Sollte Kazuar auf mehr als fünf Instanzen dieser angegebenen Dateien oder Prozesse stoßen, zeichnet es die Entdeckung umgehend als Hinweis auf das Vorhandensein eines Honeypots auf.
Überprüfung der Analysetools
Kazuar führt eine Liste vordefinierter Namen, die verschiedene weit verbreitete Analysetools repräsentieren. Der Dienstplan wird systematisch anhand der aktiven Prozesse im System überprüft. Wenn Kazuar den Betrieb eines dieser Tools erkennt, registriert er den Befund umgehend und weist auf das Vorhandensein von Analysetools hin.
Sandbox-Check
Kazuar verfügt über eine Reihe vorgegebener Sandbox-Bibliotheken, die fest in sein System integriert sind. Es führt Scans durch, um bestimmte DLLs zu identifizieren, die mit verschiedenen Sandbox-Diensten verknüpft sind. Als Kazuar auf diese Dateien stößt, kommt er zu dem Schluss, dass sie in einer Laborumgebung ausgeführt werden, und veranlasst das Unternehmen, den Betrieb einzustellen.
Ereignisprotokollmonitor
Kazuar sammelt und interpretiert systematisch Ereignisse, die in den Windows-Ereignisprotokollen aufgezeichnet werden. Es zielt speziell auf Ereignisse ab, die von ausgewählten Anti-Malware- und Sicherheitsanbietern stammen. Dieser bewusste Fokus steht im Einklang mit seiner Strategie, Aktivitäten im Zusammenhang mit weit verbreiteten Sicherheitsprodukten zu überwachen, unter der plausiblen Annahme, dass diese Tools bei potenziellen Zielen weit verbreitet sind.
Die Kazuar-Malware stellt weiterhin eine große Bedrohung im digitalen Raum dar
Die neueste Variante der Kazuar-Malware, die kürzlich in freier Wildbahn entdeckt wurde, weist mehrere bemerkenswerte Merkmale auf. Es umfasst robuste Code- und String-Verschleierungstechniken sowie ein Multithread-Modell für eine verbesserte Leistung. Darüber hinaus ist eine Reihe von Verschlüsselungsschemata implementiert, um den Code von Kazuar vor der Analyse zu schützen und seine Daten zu verbergen, sei es im Speicher, während der Übertragung oder auf der Festplatte. Diese Funktionen zielen gemeinsam darauf ab, der Kazuar-Hintertür ein höheres Maß an Tarnung zu verleihen.
Darüber hinaus verfügt diese Version der Malware über ausgefeilte Anti-Analyse-Funktionen und umfangreiche Systemprofilierungsfunktionen. Bemerkenswert ist die spezifische Ausrichtung auf Cloud-Anwendungen. Darüber hinaus bietet diese Version von Kazuar Unterstützung für eine umfangreiche Palette von über 40 verschiedenen Befehlen, von denen die Hälfte bisher von Cybersicherheitsforschern nicht dokumentiert wurde.
So schützen Sie sich vor Kazuar
Wie bei jeder Art von Bedrohung können Sie Ihren Computer vor allem dadurch schützen, dass Sie das Öffnen von E-Mail-Anhängen und Links vermeiden. Interagieren Sie nicht mit der E-Mail, wenn Sie nicht wissen, woher sie stammt. Stellen Sie außerdem sicher, dass Sie Ihre wichtigsten Daten regelmäßig sichern. Es ist auch hilfreich, mehrere Backups zu haben, denn je mehr Backups Sie haben, desto höher sind Ihre Chancen, im Falle von Kazuar oder einer anderen Malware den Normalzustand wiederherzustellen.
Zu guter Letzt möchten Sie sicherstellen, dass alle Ihre Programme und Anwendungen auf dem neuesten Stand sind. Vergessen Sie nicht, Ihr Betriebssystem regelmäßig zu aktualisieren. Computerbedrohungen gedeihen durch Exploits in Betriebssystemen und Software, also lassen Sie sie nicht lange auf sich warten.
