文章总结: Turla组织的Kazuar后门结合DLL侧加载与混淆PowerShell加载器实现隐蔽执行,通过劫持合法程序在内存中解密运行载荷以规避检测,并滥用云服务隐藏C2通信。建议防御者监控受信进程的异常DLL加载与PowerShell日志,采用实时端点内存监控替代传统沙箱,以应对其环境门控反分析技术。 综合评分: 85 文章分类: 威胁情报,恶意软件,免杀,终端安全,应急响应
Kazuar 后门利用 DLL 侧加载和 PowerShell 加载器进行隐蔽执行
原创
ZM ZM
暗镜
2026年7月13日 08:00 北京
在小说阅读器读本章
去阅读
Turla 的 Kazuar 后门程序再次出现,它是一款技术复杂的持久化和侦察工具,结合了 DLL 侧加载和基于 PowerShell 的加载器,实现了隐蔽执行和弹性命令与控制。
这种侧加载技术最大限度地减少了与新可执行文件相关的磁盘活动,并利用受信任的主机进程来绕过简单的允许列表和检测启发式方法。
该传输链通常使用多层编码的有效载荷,这些有效载荷仅在运行时由 PowerShell 加载器解码。这些加载器本身也经过混淆和加密,例如嵌套的 base64 编码,并用 3DES-CBC 封装,密钥和初始化向量 (IV) 硬编码,它们通过内存管道执行,而不是将最终有效载荷写入磁盘。
有记录的 Kazuar 加载器利用 Start-Process 生成合法的 NVidia 辅助二进制文件,例如 LaunchGFExperience.exe,而 LaunchGFExperience.exe 又会加载恶意 LaunchGFExperienceLOC.dll。
该 DLL 充当加载器/暂存器,并将核心 KERNEL 角色有效载荷直接映射到内存中,从而避免磁盘签名,并允许在其他良性进程上下文中执行。
其他合法的宿主二进制文件(例如 vncutil64.exe)也以同样的方式被滥用,用来承载额外的植入模块。
在操作层面上,Turla 将 Kazuar 与 STOCKSTAY 结合使用,作为用于长期情报收集的更广泛的间谍工具包的一部分。
对近期 Kazuar 攻击活动的分析表明,攻击者会投放合法签名或看似无害的可执行文件,以及与预期库名称相同的恶意 DLL;当主机二进制文件启动时,Windows 的 DLL 搜索顺序会导致植入 DLL 被加载。
Picus 安全研究人员表示,与俄罗斯联邦安全局 (FSB) 有关联的 Turla 自 2004 年以来一直对各国政府和军事组织进行网络间谍活动。
组织经常劫持其他威胁行为者的基础设施,并滥用合法的云和网络服务 GitHub、Cloudflare Workers、无服务器平台和基于浏览器的托管服务来隐藏 C2 流量和部署有效载荷。
Kazuar 的通信采用 HTTPS 和 WebSocket 传输;在后续版本中,该植入程序增加了多跳中继和加密投递箱,以进一步将受害者与运营商基础设施解耦。
命令控制型通信通常伪装成良性网络流量,并通过第三方服务进行混淆,以阻碍归因和删除。
从检测和缓解的角度来看,DLL 侧加载和 PowerShell 暂存的结合产生了多个指标和控制点。
监控进程的父子关系以及受信任可执行文件下异常的 DLL 加载行为,可以发现侧加载尝试。PowerShell 日志记录和脚本块转录,以及标记从非标准目录调用看似合法二进制文件的 Start-Process 调用的遥测数据,也能揭示异常的加载器行为。
环境门控解密(即有效载荷仅在主机名或机器标识符与预期值匹配时才显示自身)限制了通用沙箱的有效性,因此防御者应该对实时端点进行内存和 API 监控,而不是仅仅依赖静态或隔离的沙箱。
Turla 的策略与 MITRE ATT&CK 技术完全对应:T1574.001(DLL 侧加载)用于执行,T1059.001(PowerShell)用于脚本加载器,T1102/T1071(Web 服务和 Web 协议)用于 C2,T1480(环境密钥)用于反分析。
历史背景凸显了这一威胁:Turla(又名 Secret Blizzard、Snake、Uroburos)自至少 2004 年以来一直活跃,并与俄罗斯联邦安全局 (FSB) 有关联,专门从事针对政府、军事和研究目标的长期间谍活动。
STOCKSTAY 和 Kazuar 构成了 Turla 的核心自定义工具集,该组织有劫持基础设施和滥用受信任平台来隐藏流量和有效载荷的记录。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《Kazuar 后门利用 DLL 侧加载和 PowerShell 加载器进行隐蔽执行》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论