Malware Kazuar vừa được nâng cấp thành một framework gián điệp mô-đun khó phát hiện hơn, khó vô hiệu hóa hơn và phù hợp cho cảnh báo CVE ở góc nhìn phòng thủ hành vi. Theo phân tích mới, Kazuar không còn hoạt động như một backdoor đơn lẻ mà đã chuyển sang kiến trúc phối hợp nhiều thành phần để duy trì hiện diện dài hạn và thu thập thông tin bí mật.
Kazuar Và Sự Chuyển Dịch Sang Mô Hình Mô-Đun
Kazuar là một backdoor tinh vi, nay đã tiến hóa thành một hệ thống gián điệp có cấu trúc rõ ràng hơn. Thay vì một tiến trình monolithic, mã độc được chia thành nhiều thành phần chuyên biệt làm việc âm thầm ở nền.
Mục tiêu của thiết kế này là tăng độ bền bỉ, giảm dấu vết trên máy nạn nhân và làm phức tạp quá trình phát hiện tấn công. Điều này khiến các biện pháp dựa trên chữ ký đơn lẻ dễ bỏ sót hoạt động bất thường.
Kiến Trúc Ba Thành Phần
Hệ thống Kazuar hiện vận hành với ba loại module chính:
- Kernel: Điều phối trung tâm, quản lý tác vụ, cập nhật cấu hình và thực hiện các kiểm tra chống phân tích.
- Bridge: Đóng vai trò trung gian liên lạc giữa Kernel được chọn và hạ tầng điều khiển từ xa.
- Worker: Thực thi các nhiệm vụ thu thập dữ liệu như keylogging, chụp màn hình, lấy file và giám sát email.
Cách tổ chức này giúp hệ thống bị xâm nhập hoạt động phân tán hơn, khiến telemetry từ từng tiến trình nhìn riêng lẻ có vẻ ít rủi ro.
Cơ Chế Xâm Nhập Và Duy Trì Truy Cập
Nhà nghiên cứu ghi nhận Kazuar được triển khai qua nhiều cách phát tán khác nhau. Một trong số đó sử dụng Pelmeni dropper, nhúng payload tầng hai đã mã hóa vào file thực thi dưới dạng byte array.
Trong một số trường hợp, payload được ràng buộc bằng mật mã với hostname của mục tiêu. Điều này khiến mã không thể chạy trên máy khác ngoài hệ thống được nhắm đến.
Phương thức thứ hai sử dụng một .NET loader nhẹ, được cấu hình như một COM object. Loader này giải mã và thực thi payload hoàn toàn trong bộ nhớ, gần như không để lại dấu vết trên đĩa.
Thực Thi Trong Bộ Nhớ
Điểm đáng chú ý của malware ransomware hay backdoor hiện đại thường nằm ở khả năng “fileless”. Trong trường hợp này, Kazuar ưu tiên thực thi trong memory để giảm khả năng bị phát hiện bởi công cụ giám sát file hệ thống.
Cách tiếp cận này cũng làm khó công tác IDS nếu hệ thống chỉ dựa vào phát hiện dựa trên file hoặc hash.
Kiểm Soát Trung Tâm Và Chế Độ Leader Election
Kernel là thành phần điều phối chính, quản lý nhiệm vụ và kiểm tra chống phân tích như: kiểm tra tiến trình, phát hiện canary file và xác minh sandbox DLL. Đây là một lớp bảo vệ giúp malware né tránh môi trường phân tích tự động.
Một cơ chế nổi bật là leadership election. Chỉ một Kernel trên toàn bộ các hệ thống nhiễm được chọn làm leader hoạt động, trong khi các Kernel còn lại chuyển sang SILENT mode.
Leader sẽ đảm nhiệm mọi liên lạc ra ngoài qua Bridge. Việc này làm giảm đáng kể mối đe dọa mạng quan sát được từ bên phòng thủ vì đa số máy nhiễm gần như không phát sinh lưu lượng bất thường.
Cấu Hình Mở Rộng Và Kênh Liên Lạc
Hệ thống cấu hình của Kazuar hỗ trợ khoảng 150 tùy chọn, bao gồm chọn transport, phương thức injection, keylogging, chụp ảnh màn hình và giám sát email qua MAPI. Đây là dấu hiệu của một nền tảng gián điệp có khả năng tùy biến cao.
Bridge hoạt động như proxy giữa leader và hạ tầng command-and-control. Các kênh liên lạc dự phòng bao gồm HTTP, WebSockets và Exchange Web Services.
Việc có nhiều đường dự phòng giúp chiến dịch duy trì kết nối ngay cả khi một phương thức bị chặn. Tham khảo thêm tài liệu kỹ thuật tại PolySwarm.
Kỹ Thuật Né Phân Tích Và Giảm Dấu Vết
Kazuar được thiết kế để khó phát hiện vì hoạt động bị chia nhỏ qua nhiều tiến trình, cơ chế IPC và thao tác file. Khi nhìn riêng lẻ, từng phần có thể trông giống hành vi hợp lệ.
Malware sử dụng hidden Windows messaging, named pipes, Mailslots và Google Protocol Buffers để định tuyến nội bộ có cấu trúc. Các cơ chế này dễ hòa lẫn vào hoạt động hệ thống bình thường.
Đây là lý do các công cụ chỉ dựa trên chữ ký tĩnh thường khó bắt được khai thác zero-day hoặc bộ công cụ gián điệp mô-đun kiểu này nếu thiếu phân tích hành vi.
Chỉ Báo Hành Vi Cần Theo Dõi
Không có danh sách IOC cụ thể về domain hay IP trong nội dung gốc. Tuy nhiên, các mẫu hành vi sau cần được ưu tiên giám sát:
- Hoạt động IPC coordination bất thường giữa nhiều tiến trình.
- Giao tiếp qua Mailslot hoặc named pipe không điển hình.
- Xuất hiện thư mục staging dùng để chứa dữ liệu đã mã hóa trước khi exfiltration.
- Rò rỉ dữ liệu theo chu kỳ, ở khoảng thời gian không đều.
- Tiến trình .NET loader được tạo dưới dạng COM object nhưng thực thi payload trong memory.
Ảnh Hưởng Hệ Thống Và Dữ Liệu Bị Thu Thập
Worker modules chịu trách nhiệm keylogging, chụp màn hình, thu thập file, giám sát cửa sổ và gom dữ liệu email. Tất cả dữ liệu được mã hóa và lưu tạm trong thư mục làm việc trước khi chuyển ra ngoài.
Các chức năng này cho thấy mục tiêu chính là đánh cắp dữ liệu và duy trì xâm nhập trái phép lâu dài thay vì phá hoại tức thời. Ở góc độ phòng thủ, đây là một rủi ro bảo mật cao đối với các môi trường chứa thông tin nhạy cảm.
Kazuar cũng được mô tả là có khả năng hoạt động bền bỉ ngay cả khi hạ tầng thay đổi, sandbox bị né tránh hoặc lưu lượng bình thường được mô phỏng để che giấu.
Khuyến Nghị Phát Hiện Và Giám Sát
Các nhóm an ninh cần vượt qua cách phát hiện chỉ dựa trên từng file đơn lẻ. Với tin bảo mật mới nhất kiểu này, trọng tâm phải là kết hợp nhiều nguồn telemetry và phân tích hành vi.
Ưu tiên giám sát:
- Quan hệ giữa các tiến trình có dấu hiệu điều phối nội bộ.
- Ghi nhận bất thường từ named pipe, Mailslot và Windows messaging.
- Thư mục staging chứa file mã hóa hoặc file tạm trước khi truyền ra ngoài.
- Lưu lượng exfiltration định kỳ với chu kỳ không đều.
- Tiến trình .NET hoặc COM khởi chạy không phù hợp với baseline hệ thống.
Với môi trường nhạy cảm, các công cụ multi-engine và phát hiện dựa trên hành vi sẽ hiệu quả hơn so với kiểm tra chữ ký đơn lẻ. Điều này đặc biệt quan trọng trong an toàn thông tin của các hệ thống có giá trị dữ liệu cao.
Thông tin chi tiết về các biến thể và phân tích nền tảng có thể đối chiếu thêm từ CISA và cơ sở dữ liệu NVD khi cần chuẩn hóa quy trình đánh giá cảnh báo CVE hoặc đối sánh IOC trong hệ thống SIEM.
