秘密暴雪升级Kazuar后门为P2P僵尸网络

执行摘要

俄罗斯国家资助的团体Secret Blizzard已将其长期运行的Kazuar后门升级为模块化的点对点（P2P）僵尸网络，这是根据微软的一项新分析。升级后的恶意软件现在通过三个不同的模块——内核、桥接和工作模块——运行，并支持超过150个配置选项，包括内置的绕过Antimalware Scan Interface（AMSI）、Event Tracing for Windows（ETW）和Windows Lockdown Policy（WLDP）。Secret Blizzard的行动与Turla、Uroburos和Venomous Bear重叠，与俄罗斯联邦安全局（FSB）有关联，历史上针对欧洲、亚洲和乌克兰的政府和外交组织。

技术分析

微软研究人员分析了Kazuar的一个近期变种，发现恶意软件现在使用领导者选举模型来最小化其网络足迹。内核模块充当中央协调器，管理任务，控制其他模块，并在被破坏的网络段中感染的系统之间选举领导者。只有领导者与远程命令和控制（C2）服务器通信；非领导者系统进入“静音”模式，避免直接外部连接。领导者基于正常运行时间、重启计数和中断历史自主选择。

桥接模块充当外部通信代理，通过HTTP、WebSockets或Exchange Web Services（EWS）在选举的内核领导者和C2基础设施之间中继流量。模块之间的内部通信依赖于进程间通信（IPC）方法，包括Windows消息传递、Mailslots和命名管道——所有这些都融入了正常的系统活动。所有IPC消息都使用AES加密，并使用Google Protocol Buffers（Protobuf）序列化。

工作模块处理实际的间谍操作：键盘记录、屏幕捕获、文件系统收集、系统和网络侦察、通过MAPI（包括Outlook下载）收集电子邮件、窗口监控和盗窃最近文件。收集的数据被加密、本地暂存，并通过桥接模块外泄。

Kazuar的配置引擎现在支持150个选项，使操作者能够切换特定的安全绕过、安排任务、控制数据盗窃时机和外泄块大小、执行进程注入和管理命令执行。AMSI、ETW和WLDP绕过特别值得注意，因为它们允许恶意软件绕过依赖这些Windows安全功能的安全产品的检测。

微软指出，Kazuar的代码血统可以追溯到至少2005年，公共文档可以追溯到2017年。之前的部署针对2020年的欧洲政府组织和2023年的乌克兰实体。该团体的典型目标是长期持久性，用于情报收集，特别是外泄政治上重要的文件和电子邮件内容。

缓解措施与建议

鉴于Kazuar的模块化和高度可配置性，微软建议防御者优先考虑行为检测而不是基于静态签名的方法。组织应监控异常的IPC活动、意外的命名管道创建和不寻常的EWS或WebSocket流量，这些流量来自通常不会产生此类流量的主机。启用所有脚本语言的AMSI并审计ETW提供者可以帮助检测绕过尝试。网络分割和严格的出口过滤可以降低静音模式节点通过领导者建立C2通道的风险。在政府、外交和国防部门的防御者——特别是在欧洲、亚洲和乌克兰运营的——应将任何Kazuar活动的迹象视为复杂国家资助行动的迹象。