{"id":6418,"date":"2024-04-10T22:26:40","date_gmt":"2024-04-10T20:26:40","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6418"},"modified":"2024-04-10T22:26:40","modified_gmt":"2024-04-10T20:26:40","slug":"dinodasrat-napada-linux-servere","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/04\/10\/dinodasrat-napada-linux-servere\/","title":{"rendered":"DinodasRAT napada Linux servere"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Linux<\/em> varijanta <em>DinodasRAT<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> napada <em>Linux<\/em> servere <a href=\"https:\/\/securelist.com\/dinodasrat-linux-implant\/112284\/\" target=\"_blank\" rel=\"noopener\">otkriva istra\u017eivanje kompanije <em>Kaspersky<\/em><\/a>. Ovaj vi\u0161eplatformski <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjerni softver je kori\u0161ten u napadima na Kinu, Tajvan, Tursku i Uzbekistan.<\/span><\/p>\n<div id=\"attachment_6419\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6419\" class=\"size-full wp-image-6419\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT.jpg\" alt=\"DinodasRAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/DinodasRAT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6419\" class=\"wp-caption-text\"><em>DinodasRAT napada Linux servere; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/10\/dinodasrat-napada-linux-servere\/#DINODASRAT\">DINODASRAT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/10\/dinodasrat-napada-linux-servere\/#FUNKCIONISANJE\">FUNKCIONISANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/10\/dinodasrat-napada-linux-servere\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/10\/dinodasrat-napada-linux-servere\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"DINODASRAT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>DINODASRAT<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>DinodasRAT<\/em> poznat jo\u0161 i kao <em>XDealer<\/em> je sofisticirani <em>C++<\/em> <em>backdoor<\/em> koji cilja na vi\u0161e operativnih sistema. Dizajniran je da omogu\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da tajno nadgledaju i izvla\u010de osjetljive informacije iz kompromitovanih sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zna\u010dajno je da je <em>Windows<\/em> <em>RAT<\/em> varijanta ovog zlonamjernog softvera kori\u0161\u0107ena u napadima na vladine organe u Gvajani u operaciji koju su <a href=\"https:\/\/github.com\/eset\/malware-ioc\/tree\/master\/operation_jacana\" target=\"_blank\" rel=\"noopener\">detaljno analizirali <em>ESET<\/em> sigurnosni istra\u017eiva\u010di<\/a> i nazvali je operacija <em>Jacana<\/em>. Nakon razotkrivanja kompanije <em>ESET, <\/em>po\u010detkom oktobra 2023. godine otkrivena je ranije nepoznata <em>Linux<\/em> varijanta <em>DinodasRAT<\/em> zlonamjernog softvera. Indicije sugeri\u0161u da je ova verzija, koju su po\u010dinioci ozna\u010dili <em>v10<\/em>, mo\u017eda bila aktivna od 2022. godine. Me\u0111utim, prva otkrivena <em>Linux <\/em>varijanta, <em>v7<\/em>, datira iz 2021. godine i nije javno objavljena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba <em>DinodasRAT<\/em> zlonamjernog softvera se pripisuje raznim zlonamjernim akterima porijeklom iz Kine, \u0161to jo\u0161 jednom odra\u017eava dijeljenje alata koje preovladava me\u0111u hakerskim ekipama za koje je identifikovano da djeluju u ime svoje zemlje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong>FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>DinodasRAT<\/em> <em>Linux<\/em> implant uglavnom uti\u010de na distribucije zasnovane na <em>Red<\/em> <em>Hat<\/em> i <em>Ubuntu<\/em> distribucijama. Nakon izvr\u0161enja, generi\u0161e skrivenu <em>mutex<\/em> datoteku da sprije\u010di pokretanje vi\u0161e instanci. <em>Backdoor<\/em> posti\u017ee postojanost direktnim izvr\u0161avanjem, skriptama za pokretanje <em>SystemV<\/em> ili <em>SystemD<\/em> i izvr\u0161avanjem sebe sa identifikacijom roditeljskog procesa kao kriterijumom, \u0161to komplikuje napore u otkrivanju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zara\u017eeni ure\u0111aj je ozna\u010den kori\u0161tenjem informacija o infekciji, hardveru i sistemu i izvje\u0161taj se \u0161alje komandnom i kontrolnom (<em>C2<\/em>) serveru radi upravljanja ure\u0111ajima \u017ertava. On odre\u0111uje tip distribucije <em>Linux<\/em> sistema i instalira odgovaraju\u0107e <em>init<\/em> skripte za <em>backdoor<\/em> pokretanje nakon pode\u0161avanja mre\u017ee.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Komunikacija sa <em>C2<\/em> serverom se odvija preko <em>TCP<\/em> ili <em>UDP <\/em>protokola, dok zlonamjerni softver koristi <em>Tiny Encryption Algorithm \u2013 TEA<\/em> u <em>CBC<\/em> re\u017eimu, obezbe\u0111uju\u0107i bezbjednu razmjenu podataka. Tako\u0111e djeli <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/22\/enkripcija-podataka-upravljanje-kljucevima-i-nedostaci-enkripcije-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">klju\u010deve za \u0161ifrovanje<\/a> sa <em>Windows<\/em> verzijom za <em>C2<\/em> i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanjem<\/a> imena. Infrastruktura koju koriste <em>DinodasRAT Linux<\/em> verzije bila je aktivna tokom analize sa jednom <em>IP<\/em> adresom koja je opslu\u017eivala i <em>Windows<\/em> i <em>Linux<\/em> <em>C2<\/em> domene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>DinodasRAT<\/em> ima mogu\u0107nosti dizajnirane da nadgleda, kontroli\u0161e i eksfiltrira podatke iz kompromitovanih sistema. Njegove glavne karakteristike uklju\u010duju:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Nadgledanje i prikupljanje podataka o aktivnostima korisnika, konfiguracijama sistema i pokrenutim procesima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primanje komande za izvr\u0161enje od <em>C2 <\/em>servera, uklju\u010duju\u0107i operacija na datotekama i direktorijumima, izvr\u0161avanje komandnog okru\u017eenja i a\u017euriranje <em>C2<\/em> adrese,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nabrajanje, pokretanje, zaustavljanje i upravljanje procesima i uslugama na zara\u017eenom sistemu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nudi napada\u010du mogu\u0107nost udaljenog komandnog okru\u017eenja za direktnu komandu ili izvr\u0161avanje datoteke sa zasebnim zlonamjernim prijetnjama,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Proxy<\/em> <em>C2<\/em> komunikacija preko udaljenih servera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preuzimanje nove verzije zlonamjernog softvera koja potencijalno uklju\u010duju pobolj\u0161anja i dodatne mogu\u0107nosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Brisanje zlonamjernog softvera i brisanje svih tragova prethodne aktivnosti sa sistema.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Prema dostupnim podacima <em>DinodasRAT<\/em> zlonamjernom akteru daje potpunu kontrolu nad kompromitovanim sistemima, a primije\u0107eno je da zlonamjerni akteri koriste zlonamjerni softver prvenstveno za dobijanje i odr\u017eavanje pristupa meti preko <em>Linux<\/em> servera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cBackdoor je potpuno funkcionalan, omogu\u0107avaju\u0107i operateru potpunu kontrolu nad zara\u017eenom ma\u0161inom, omogu\u0107avaju\u0107i eksfiltraciju podataka i \u0161pijuna\u017eu.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Kaspersky &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Pojava <em>Linux<\/em> varijante <em>DinodasRAT<\/em> zlonamjernog softvera je nova briga za sigurnosne timove u <em>Linux<\/em> zajednici, jer se ne mogu zanemariti njegovi napadi u vi\u0161e zemalja. Njegovi ciljani napadi na distribucije zasnovane na <em>Red<\/em> <em>Hat<\/em> i <em>Ubuntu<\/em> distribucijama ukazuju na potrebu za pove\u0107anom budno\u0161\u0107u u ovim okru\u017eenjima. <em>DinodasRAT<\/em> zlonamjerni softver mo\u017ee da obavlja razne zlonamjerne aktivnosti, kao \u0161to su operacije sa datotekama, nabrajanje procesa i izvr\u0161avanje komandnog okru\u017eenja. Ovaj sveobuhvatni skup funkcija ukazuje na to da operateri zlonamjernog softvera imaju zna\u010dajnu kontrolu nad kompromitovanim sistemima, \u0161to predstavlja ozbiljnu prijetnju eksfiltraciji podataka i \u0161pijuna\u017ei.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ograni\u010deni indikatori kompromisa (<em>IOC<\/em>) su trenutno dostupni zbog nedavnog pojavljivanja <em>DinodasRAT<\/em> zlonamjernog softvera. Me\u0111utim, sistemski administratori mogu pratiti sumnjive aktivnosti kao \u0161to su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Poku\u0161aji neovla\u0161tenog udaljenog pristupa <em>Linux<\/em> sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Neo\u010dekivani mre\u017eni saobra\u0107aj koji poti\u010de od zara\u017eenih sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nepoznati procesi sa velikom potro\u0161njom resursa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Neobi\u010dne modifikacije sistema datoteka.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Kako bi ubla\u017eili opasnosti od <em>DinodasRAT<\/em> zlonamjernog softvera, sistemski administratori mogu primijeniti slijede\u0107e strategije:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017euriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver mo\u017ee da iskoristi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje sveobuhvatnih <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnih rije\u0161enja<\/a> kao \u0161to su softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) ili softver za pro\u0161ireno otkrivanje i odgovor (eng. <em>Extended detection and response \u2013 XDR<\/em>). To su rje\u0161enja koja mogu upozoriti korisnike sistema na potencijalne napade i sprije\u010diti dalji napredak zlonamjernog softvera prije nego \u0161to do\u0111e do zna\u010dajnije \u0161tete,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici bi trebalo da koriste jake <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> i provjeru identiteta u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti segmentaciju mre\u017ee kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mre\u017ee uz ograni\u010denje ne\u017eeljene komunikacije izme\u0111u segmenata,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pra\u0107enje mre\u017enog saobra\u0107aja radi neuobi\u010dajenih aktivnosti i porasta zahteva, kao i redovni pregled i a\u017euriranje procesa i alata za analizu mre\u017enog saobra\u0107aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija zaposlenih o rizicima koji se odnose na mre\u017eu, ure\u0111aje i infrastrukturu poslovne organizacije mogu zna\u010dajno pomo\u0107i u prevenciji napada, jer ljudski faktor ostaje jedna od najvec\u0301ih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomo\u0107i u identifikaciji i prijavi sajber napada.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Linux varijanta DinodasRAT zlonamjernog softvera napada Linux servere otkriva istra\u017eivanje kompanije Kaspersky. Ovaj vi\u0161eplatformski backdoor zlonamjerni softver je kori\u0161ten u napadima na Kinu, Tajvan, Tursku i Uzbekistan. DINODASRAT DinodasRAT poznat jo\u0161 i kao XDealer&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6419,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,628,968,141,145,740,282,166,971,970,747,969],"class_list":["post-6418","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-c2","tag-dinodasrat","tag-linux","tag-rat","tag-red-hat","tag-remote-access-trojan","tag-server","tag-tea","tag-tiny-encryption-algorithm","tag-ubuntu","tag-xdealer"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6418"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6418\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6419"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6418"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}