تُظهر نسخة جديدة من برنامج “Kazuar v3 loader” الذي تستخدمه جهة التهديد السيبراني المعروفة باسم Turla، تطوراً ملحوظاً في تقنيات التخفي لتجاوز آليات الدفاع الحديثة. تم اكتشاف هذا التحديث مؤخراً، مما يسلط الضوء على الجهود المستمرة التي تبذلها مجموعات التهديد لتحسين أدواتها.
يعتمد البرنامج، الذي يعمل في سلسلة إصابة متعددة المراحل، على سكريبت VBScript بسيط كبداية، ثم يقوم بتشغيل حمولات Kazuar مشفرة. يعكس هذا الأسلوب فهماً عميقاً للمهاجمين لآليات عمل نظام ويندوز واستغلالهم للعمليات الشرعية لأغراض خبيثة.
Turla تطلق Kazuar v3 Loader بتقنيات متقدمة للتخفي
تبدأ عملية الإصابة عندما يقوم ملف VBScript بتنزيل مكونات متعددة من خادم قيادة وتحكم. يتم نشر برنامج تثبيت برنامج تشغيل طابعة شرعي من Hewlett-Packard مع ملف DLL خبيث، ويتم تشغيلهما معًا عبر تقنية تُعرف بتسلل DLL.
ثم يقوم السكريبت بإنشاء حمولات مشفرة متعددة، والتي يتم تنفيذها في نهاية المطاف ضمن نظام COM في ويندوز، مما يسمح للمهاجم بالحفاظ على وجوده مع تجنب الكشف. تتشابه البنية التحتية المستخدمة في هذه الحملة مع تكتيكات سابقة تم توثيقها، مما يشير إلى استمرار التنسيق بين مجموعات التهديد المختلفة.
الكشف عن تقنية التخفي المبتكرة
كشف محلل الأمن دومينيك رايشل عن هذه السلسلة المعقدة للهجوم بعد هندسة عكسية دقيقة لعينات البرمجيات الخبيثة. كشفت تحليلاته أن الجهات الخبيثة قامت بتضمين منطق التنفيذ مباشرة في نظام COM الخاص بنظام ويندوز، ما سمح للبرنامج الخبيث بالتمويه على تفاعلات النظام الشرعية.
هذا الاكتشاف يؤكد كيف تستمر مجموعات التهديد المتقدمة في ابتكار أساليب التخفي الخاصة بها لتجاوز حلول مكافحة الفيروسات التقليدية وأنظمة الكشف الحديثة على الأجهزة.
تجاوز الكشف عبر نقاط التوقف وأدوات النظام
أكثر ما يثير الدهشة في Kazuar v3 loader هو تطبيقه تقنيات تجاوز لـ Event Tracing for Windows (ETW) و Antimalware Scan Interface (AMSI)، وهما نظاما المراقبة الرئيسيان اللذان يحميان أنظمة ويندوز. بدلاً من تعديل التعليمات البرمجية على القرص، يستخدم البرنامج الخبيث نقاط توقف الأجهزة لاعتراض استدعاءات وظائف الأمان دون ترك آثار لتعديلات التعليمات البرمجية التقليدية.
تعمل هذه التقنية من خلال تسجيل معالج استثناءات موجه يراقب وظيفتين حرجتين: NtTraceControl لنظام ETW و AmsiScanBuffer لنظام AMSI. عندما يقوم البرنامج الخبيث بضبط نقاط توقف الأجهزة على هذه الوظائف، يقوم المعالج تلقائيًا بتشغيل استثناء، مما يسمح للمعالج المخصص بتزييف نتائجه قبل إعادة التحكم.
تبدأ العملية باستدعاء GetThreadContext لالتقاط حالة وحدة المعالجة المركزية للخيط الحالي، ثم تعديل سجلات تصحيح الأخطاء للأجهزة DR0 و DR1 و DR7 لتفعيل المراقبة على عناوين الوظائف المستهدفة. بمجرد الالتزام بنقاط التوقف هذه باستخدام NtContinue، يراقب النظام أي تنفيذ لتلك العناوين المحددة للذاكرة.
عند استدعاء وظيفة أمان، بدلاً من السماح لها بإجراء فحوصاتها المقصودة، يعترض المعالج التنفيذ. بالنسبة لنظام ETW، يقفز المعالج ببساطة فوق الوظيفة بأكملها، مما يعمي نظام تتبع الأحداث فعليًا. بالنسبة لنظام AMSI، يقوم المعالج يدويًا بالكتابة فوق مؤشر AMSIRESULT الموجود على المكدس بـ AMSIRESULTCLEAN ويضبط قيمة الإرجاع للإشارة إلى مسح ناجح، متجاوزًا تمامًا طبقة الكشف عن البرمجيات الخبيثة.
يقدم هذا النهج مزايا كبيرة مقارنة بطرق التصحيح التقليدية لأنه يعمل فور التنفيذ ولا يترك أدلة على القرص. يستخدم البرنامج الخبيث أيضًا حيلة لإعادة توجيه تدفق التحكم، تتلاعب بمكدس ويندوز لتنفيذ التعليمات البرمجية مرتين، مما يسمح له بإخفاء إجراءاته الخبيثة الرئيسية حتى بعد اكتمال التنفيذ الأولي.
عند دمجه مع تنفيذ برامج تشغيل الطابعة الشرعية ومعالجة كائنات COM، تخلق تقنيات التخفي هذه طبقات متعددة من التمويه التي تؤخر التحليل وتعيق أنظمة الكشف الآلية. يجب على باحثي الأمن الذين يحللون هذه البرامج الخبيثة الآن مراعاة هذه التلاعبات بمستوى منخفض في سجلات وحدة المعالجة المركزية عند تطوير قواعد الكشف واستراتيجيات الاستجابة.