{"id":6963,"date":"2024-07-21T23:17:11","date_gmt":"2024-07-21T21:17:11","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6963"},"modified":"2024-07-21T23:17:11","modified_gmt":"2024-07-21T21:17:11","slug":"avneutralizer-osposobljava-edr-rijesenja","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/","title":{"rendered":"AvNeutralizer osposobljava EDR rije\u0161enja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>AvNeutralizer<\/em> ili <em>AuKill<\/em> \u2013 rje\u0161enje za zaobila\u017eenje softvera za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) koje je razvila finansijski motivisana zlonamjerna grupa <a href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/fin7-koristi-google-reklame-za-netsupport-rat-isporuku\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>FIN7<\/em><\/a>, privla\u010di zna\u010dajnu pa\u017enju zlonamjernih aktera stoji u <a href=\"https:\/\/www.sentinelone.com\/labs\/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks\/\" target=\"_blank\" rel=\"noopener\">izvje\u0161taju sigurnosne kompanije <em>SentinelLabs<\/em><\/a><em>.<\/em><\/span><\/p>\n<div id=\"attachment_6966\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6966\" class=\"size-full wp-image-6966\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware.jpg\" alt=\"AvNeutralizer\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/AvNeutralizer-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6966\" class=\"wp-caption-text\"><em>AvNeutralizer osposobljava EDR rije\u0161enja; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#AVNEUTRALIZER\">AVNEUTRALIZER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#AvNeutralizer_reklamiranje\">AvNeutralizer reklamiranje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#FIN7\">FIN7<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#Powertrash\">Powertrash<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#Diceloader\">Diceloader<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#Core_Impact\">Core Impact<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#SSH-based_Backdoor\">SSH-based Backdoor<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"http:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"AVNEUTRALIZER\"><\/span><strong><span style=\"font-size: 14pt;\"><em>AVNEUTRALIZER<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>AvNeutralizer<\/em> je sofisticirani alat koji je razvila ozlogla\u0161ena grupa <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a> <em>FIN7<\/em> i koji se koristi od aprila 2022. godine. Ovaj napredni komad softvera se nudio na raznim forumima za hakovanje na ruskom jeziku pod razli\u010ditim pseudonimima, uklju\u010duju\u0107i \u201d<em>goodsoft\u201d<\/em>, \u201d<em>lefroggy<\/em>\u201d, \u201d<em>killerAV<\/em>\u201d i \u201d<em>Stupor\u201d<\/em>. Cijene ovog zlonamjernog alata se kre\u0107u od 4.000 do 15.000 ameri\u010dkih dolara u zavisnosti od specifi\u010dnih karakteristika koje tra\u017ee potencijalni kupci. <em>AvNeutralizer<\/em> je dizajniran da cilja razli\u010dita bezbjednosna rje\u0161enja krajnjih ta\u010daka, \u0161to ga \u010dini vrijednom imovinom u arsenalu zlonamjernih aktera koji \u017eele da izbjegnu otkrivanje i neka\u017enjeno sprovode svoje zlonamjerne aktivnosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cAvNeutralizer (aka AuKill), visoko specijalizovana alatka koju je razviila FIN7 za naru\u0161avanje bezbjednosnih rje\u0161enja, plasirao se na tr\u017ei\u0161te u kriminalnom podzemlju i koristi ga vi\u0161e grupa za ransomware\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; SentinelOne &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Primarna funkcija alata se vrti oko onemogu\u0107avanja antivirusnih procesa na kompromitovanim sistemima, \u010dine\u0107i \u017ertve bespomo\u0107nim u daljim napadima. Ova mogu\u0107nost \u010dini <em>AvNeutralizer<\/em> su\u0161tinskom komponentom za zlonamjerne aktere koji \u017eele da primjene <em>ransomware<\/em> ili druge zlonamjerne korisne sadr\u017eaje koji se oslanjaju na tehnike sakrivanja i izbjegavanja da bi pove\u0107ali svoj uticaj.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"AvNeutralizer_reklamiranje\"><\/span><strong><span style=\"font-size: 14pt;\"><em>AvNeutralizer r<\/em>eklamiranje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Reklama nagla\u0161ava kompatibilnost <em>AvNeutralizer<\/em> zlonamjernog alata sa popularnim proizvodima za za\u0161titu krajnjih ta\u010daka kao \u0161to su <em>Windows Defender, Symantec, Sophos, Panda Security, Elastic, McAfee, Kaspersky<\/em> i drugi. Ovaj zlonamjerni alat se isporu\u010duje kupcima kao prilago\u0111ena verzija koja cilja specifi\u010dna bezbjednosna rje\u0161enja koja kupac zahteva. Iako vi\u0161e uzoraka alata pokazuje isti k\u00f4d, lista ciljanih naziva procesa mo\u017ee varirati u zavisnosti od odabrane verzije koju je kupac izabrao. Ova \u0161iroka podr\u0161ka omogu\u0107ava alatu da cilja \u0161irok spektar \u017ertava, pove\u0107avaju\u0107i njegov potencijalni uticaj na razli\u010dite industrije i organizacije \u0161irom sveta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cFIN7 ima istoriju razvoja i kori\u0161tenja sofisticiranih alata za sopstvene operacije. Me\u0111utim, prodaja alata drugim sajber kriminalcima mo\u017ee se posmatrati kao prirodna evolucija njihovih metoda za diversifikaciju i generisanje dodatnog prihoda.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Antonio Cocomazzi, SentinelOne researcher &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>AvNeutralizer<\/em> razvojni tim je potro\u0161io zna\u010dajna sredstva na kreiranje ovog softvera. Prema rije\u010dima zlonamjernog aktera koji stoji iza nadimka <em>goodsoft<\/em>, bilo je potrebno vi\u0161e od tri godine i milion ameri\u010dkih dolara za razvoj proizvoda. Ova investicija je o\u010digledno vidljiva iz naprednih mogu\u0107nosti i prilagodljivosti alata, \u0161to je \u010dini vrijednom imovinom za zlonamjerne aktere koji \u017eele da izvr\u0161e ciljane napade na odre\u0111ene organizacije ili industrije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Grupa <em>FIN7<\/em> dobija po\u010detni pristup ciljnim mre\u017eama na razli\u010dite na\u010dine kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronske poruke koje sadr\u017ee zlonamjerne priloge, iskori\u0161\u0107avanje ranjivosti u izlo\u017eenim uslugama kao \u0161to je protokol za udaljenu radnu povr\u0161inu (<em>Remote Desktop Protocol \u2013 RDP<\/em>) i kori\u0161\u0107enje zara\u017eenih <em>USB<\/em> medija. Jednom u mre\u017ei, oni primjenjuju <em>AvNeutralizer<\/em> da bi onemogu\u0107ili bezbjednosne procese i omogu\u0107ili izvr\u0161avanje svog sadr\u017eaja <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> uz minimalnu detekciju ili ometanje antivirusnih rje\u0161enja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarni metod alata za onemogu\u0107avanje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnog softvera<\/a> uklju\u010duje kori\u0161\u0107enje legitimnih sistemskih upravlja\u010dkih softvera kao \u0161to je <em>Windows<\/em> <em>ProcLaunchMon.sys<\/em> upravlja\u010dki softver, koji se nalazi u direktorijumu sistemskih upravlja\u010dkih softvera u kombinaciji sa <em>Process Explorer<\/em> upravlja\u010dkim softverom i mo\u017ee da dovede do gre\u0161aka u za\u0161ti\u0107enim procesima, \u0161to dovodi do stanja uskra\u0107ivanja usluge. Ova tehnika omogu\u0107ava <em>AvNeutralizer<\/em> alatu da zaobi\u0111e tradicionalne metode detekcije zasnovane na potpisima koje koristi antivirusni softver, \u010dine\u0107i ga efikasnim alatom za izbjegavanje bezbjednosnih mjera dizajniranih da za\u0161tite od poznatih prijetnji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FIN7\"><\/span><strong><span style=\"font-size: 14pt;\"><em>FIN7<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>FIN7<\/em> je veoma aktivna grupa zlonamjernih aktera koja djeluje najmanje od 2013. godine i postala je poznata po svojim opse\u017enim aktivnostima u oblasti sajber kriminala. Primarni fokus grupe bio je na finansijskoj dobiti, ali je nedavno pro\u0161irila svoj arsenal na <em>ransomware<\/em> napade. Grupa je poznat po svojim sofisticiranim taktikama, uklju\u010duju\u0107i iskori\u0161tavanje lanaca nabavke softvera, distribuciju zlonamjernih <em>USB<\/em> medija i saradnju sa drugim hakerskim grupama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cVeoma su inovativni, brzo se okre\u0107u kada je previ\u0161e pa\u017enje usmjereno na njih, mijenjaju\u0107i svoju li\u010dnost za nov\u010di\u0107. Ovo je u suprotnosti sa drugim zlonamjernim akterima na koje nailazimo koji prave mnogo buke, ali se ne okre\u0107u i ne idu ispod zemlje kada se vrelina povec\u0301a \u2013 ve\u0107ina je drska i \u017eudi za pa\u017enjom. FIN7 je metodi\u010dan i brzo shvata da moraju da promjene pravac pre nego \u0161to ih vlasti prona\u0111u.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/www.msspalert.com\/brief\/new-edr-bypass-tool-touted-by-fin7-hacking-group\" target=\"_blank\" rel=\"noopener\"><em>Heath Renfrow, Fenix24 co-founder<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Tokom godina, ova grupa je pro\u0161irila svoj fokus i mogu\u0107nosti, evoluiraju\u0107i u jednu od najopasnijih sajber kriminalnih organizacija poznatih po svojim sofisticiranim taktikama, tehnikama i procedurama. Rezultati istra\u017eivanja pokazuju da su <em>AvNeutralizer<\/em> \u0161est mjeseci koristili isklju\u010divo <em>FIN7 <\/em>i<em> Black Basta<\/em> grupe do januara 2023. Me\u0111utim, od tada je primije\u0107eno vi\u0161e <em>ransomware <\/em>grupa koje koriste a\u017eurirane verzije ovog zlonamjernog alata. Ovo sugeri\u0161e da je ili izvorni k\u00f4d procurio ili prodat drugim zlonamjernim entitetima na podzemnim forumima. Me\u0111utim, <em>AvNeutralizer<\/em> je samo jedan primjer kontinuiranih napora <em>FIN7<\/em> grupe da se prilagodi i inovira kako bi ostala ispred <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnih istra\u017eiva\u010da<\/a> i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjaka za sajber bezbjednost<\/a>, jer ova grupa koristi alate kao \u0161to su:<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Powertrash\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Powertrash<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Powertrash<\/em> je jako zamagljena <em>PowerShell<\/em> skripta dizajnirana za refleksivno u\u010ditavanje ugra\u0111ene <em>PE<\/em> datoteke u memoriju. Ova tehnika omogu\u0107ava <em>FIN7<\/em> grupi da tajno izvr\u0161ava <em>backdoor<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne terete<\/a>, izbjegavaju\u0107i odbranu koja mo\u017eda tra\u017ei specifi\u010dne potpise ili poznate zlonamjerne datoteke. <em>Powertrash <\/em>kori\u0161tenje omogu\u0107ava napada\u010dima da zaobi\u0111u bezbjednosne kontrole i steknu upori\u0161te na kompromitovanim sistemima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Diceloader\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Diceloader<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Diceloader<\/em> (poznat jo\u0161 kao <em>Lizar<\/em> ili <em>IceBot<\/em>) minimalni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>koji uspostavlja kanal za komandu i kontrolu (<em>C2<\/em>), omogu\u0107avaju\u0107i napada\u010dima da kontroli\u0161u sistem slanjem k\u00f4dnih modula nezavisnih od pozicije. Ovaj alat je primijenjen preko <em>Powertrash<\/em> u\u010ditava\u010da i koristi se za u\u010ditavanje dodatnih modula na kompromitovanim sistemima. <em>Diceloader u<\/em>potreba omogu\u0107ava <em>FIN7<\/em> grupi da odr\u017ei postojanost na inficiranim ure\u0111ajima i pro\u0161iri njihov pristup unutar mre\u017ee organizacije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Core_Impact\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Core Impact<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Core<\/em> <em>Impact<\/em> je alatka za penetracijsko testiranje koja nudi biblioteku eksploatacija komercijalnog nivoa, omogu\u0107avaju\u0107i korisnicima da testiraju bezbjednosne propuste u razli\u010ditim sistemima. Ovaj alat generi\u0161e implantate nezavisnog k\u00f4da (eng. <em>Position Independent Code \u2013 PIC<\/em>) da preuzme kontrolu nad eksploatisanim sistemima i dobije pristup za dalje istra\u017eivanje ili eksfiltraciju podataka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"SSH-based_Backdoor\"><\/span><strong><span style=\"font-size: 14pt;\"><em>SSH-based Backdoor<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Backdoor<\/em> zasnovan na <em>SSH<\/em> protokolu je alatka za postojanost koju koristi <em>FIN7<\/em> grupa za odr\u017eavanje pristupa kompromitovanim sistemima. Postavlja <em>Secure File Transfer Protocol \u2013 SFTP<\/em> server kroz obrnuti <em>SSH<\/em> tunel, omogu\u0107avaju\u0107i napada\u010dima da kri\u0161om eksfiltriraju datoteke. Ovaj alat se obi\u010dno koristi za upade koji imaju za cilj prikupljanje osjetljivih informacija. <em>Backdoor<\/em> je zasnovan na <em>OpenSSH<\/em> i <em>7zip<\/em> alatima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cStalne FIN7 inovacije, posebno u njenim sofisticiranim tehnikama za izbjegavanje bezbjednosnih mjera, pokazuju njenu tehni\u010dku stru\u010dnost. Kori\u0161tenje vi\u0161e pseudonima od strane grupe i saradnja sa drugim sajber kriminalnim entitetima \u010dini pripisivanje izazovnijim i demonstrira njene napredne operativne strategije.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Antonio Cocomazzi, SentinelOne researcher &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>AvNeutralizer<\/em> je mo\u0107na alatka koju je razvila <em>FIN7<\/em> grupa koja omogu\u0107ava napada\u010dima da onemogu\u0107e antivirusne procese na kompromitovanim sistemima, \u0161to olak\u0161ava primjenu sadr\u017eaja zlonamjernog softvera i izvo\u0111enje ciljanih napada na organizacije \u0161irom sveta. Napredne mogu\u0107nosti alata, \u0161iroka kompatibilnost sa razli\u010ditim bezbjednosnim rje\u0161enjima krajnjih ta\u010daka i prilagodljivost \u010dine ga su\u0161tinskom komponentom u arsenalu svakog zlonamjernog aktera koji \u017eeli da izbjegne otkrivanje i maksimizira svoj uticaj na \u017ertve.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba <em>AvNeutralizer<\/em> od strane <em>FIN7<\/em> grupe nije izolovan incident, po\u0161to je nekoliko drugih zlonamjernih aktera tako\u0111e primije\u0107eno da koriste sli\u010dne taktike posljednjih mjeseci. Na primjer, grupa <em>Hive<\/em> <em>ransomware<\/em> je koristila prilago\u0111enu <em>Mimikatz<\/em> verziju da bi zaobi\u0161la <em>EDR<\/em> rje\u0161enja i stekla upornost na kompromitovanim sistemima. <em>Ransomware<\/em> grupa <em>REvil<\/em> je koristila razli\u010dite tehnike kao \u0161to je kori\u0161\u0107enje legitimnih alata kao \u0161to su <em>PsExec<\/em> ili <em>PowerShell<\/em> skripte da bi izbjegla otkrivanje od strane bezbjednosnog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pojava <em>AvNeutralizer<\/em> nagla\u0161ava va\u017enost implementacije vi\u0161eslojnog pristupa u sajber odbrani, koji uklju\u010duje <em>EDR<\/em> rje\u0161enja zajedno sa drugim za\u0161titnim mjerama kao \u0161to su za\u0161titni zidovi, antivirusni softver i programi za edukaciju korisnika. Organizacije tako\u0111e treba da obezbijede da njihovi bezbjednosni alati budu a\u017eurirani sa najnovijim obavje\u0161tajnim podacima o prijetnjama i ispravkama kako bi se umanjile ranjivosti u njihovim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">\u0160tavi\u0161e, za organizacije je klju\u010dno da investiraju u napredne mogu\u0107nosti otkrivanja prijetnji kao \u0161to su algoritmi ma\u0161inskog u\u010denja i tehnike analize pona\u0161anja kako bi efikasnije identifikovale anomalnu aktivnost na svojim mre\u017eama. Ove tehnologije mogu pomo\u0107i u otkrivanju prijetnji koje mogu zaobi\u0107i tradicionalne mjere bezbjednosti i pru\u017eiti vrijedan uvid u taktike, tehnike i procedure koje koriste sajber kriminalci.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se za\u0161titile od zlonamjernog softvera <em>AvNeutralizer<\/em>, za organizacije je neophodno da primjene vi\u0161eslojni pristup koji se bavi tehnikama korisni\u010dkog re\u017eima i re\u017eima jezgra koje koristi ova prijetnja. Evo nekoliko preporu\u010denih koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati operativni sistem, upravlja\u010dki softver i aplikacije a\u017eurnim najnovijim ispravkama i bezbjednosnim a\u017euriranjima. Ovo uklju\u010duje a\u017euriranje upravlja\u010dkog softvera <em>Process Explorer<\/em> (<em>PED.sys<\/em>) na verziju za koju se ne zna da je ranjiva,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti renomirani antivirusni softver koji mo\u017ee da otkrije i blokira zlonamjerne sadr\u017eaje kao \u0161to je <em>AvNeutralizer<\/em>. Uvjeriti se da je antivirusno rje\u0161enje ispravno konfigurisano, sa omogu\u0107enom za\u0161titom u realnom vremenu i zakazanim redovnim skeniranjem,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) za pra\u0107enje sumnjivih aktivnosti na sistemima. <em>EDR<\/em> alati mogu pomo\u0107i u otkrivanju i reagovanju na napredne prijetnje koje poku\u0161avaju da izbjegnu tradicionalne mjere bezbjednosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti smjernice za kontrolu aplikacija da da bi se ograni\u010dilo izvr\u0161avanje nepouzdanih ili nepoznatih aplikacija, posebno onih sa poznatim ranjivostima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati za\u0161titni zid zasnovan na hostu (eng. <em>Host-Based Firewall \u2013 HBF<\/em>) da bi se blokirao\u00a0 saobra\u0107aj sa i ka sumnjivim <em>IP<\/em> adresama ili portovima povezanim sa zlonamjernim komandnim i kontrolnim serverima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jake <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za sve korisni\u010dke naloge, uklju\u010duju\u0107i administrativne naloge, i omogu\u0107ite autentifikaciju u vi\u0161e koraka gdje je to mogu\u0107e. Ovo mo\u017ee pomo\u0107i u spre\u010davanju neovla\u0161tenog pristupa sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati korisnike o rizicima otvaranja priloga elektronske po\u0161te ili klikanja na veze iz nepoznatih izvora. <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Phishing<\/em> <\/a>napadi su uobi\u010dajeni vektor za isporuku zlonamjernog softvera kao \u0161to je <em>AvNeutralizer<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti segmentaciju mre\u017ee i kontrolu pristupa da bi se ograni\u010dilo \u0161irenje prijetnji unutar mre\u017ea organizacije. Ovo mo\u017ee pomo\u0107i u suzbijanju infekcije ako se dogodi, smanjuju\u0107i potencijalnu \u0161tetu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pregledati sistemske evidencije i podatke o doga\u0111ajima iz bezbjednosnih rje\u0161enja da bi se blagovremeno identifikovale sumnjive aktivnosti i pru\u017eio adekvatan odgovor na njih,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> kako bi se smanjio uticaj uspje\u0161nog napada i osiguralo da se organizacija brzo oporavi. Ovo uklju\u010duje pravljenje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija kriti\u010dnih podataka<\/a>, odr\u017eavanje sistema za oporavak od katastrofe i redovno testiranje Plana odgovora na sajber prijetnju.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>AvNeutralizer ili AuKill \u2013 rje\u0161enje za zaobila\u017eenje softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response \u2013 EDR) koje je razvila finansijski motivisana zlonamjerna grupa FIN7, privla\u010di zna\u010dajnu pa\u017enju zlonamjernih aktera&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6966,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1817,1812,1813,1334,1815,1818,1133,1811,1300,93,1814,133,1809,1816,994,1810],"class_list":["post-6963","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-advanced-persistence","tag-av-systems","tag-avneutralizer","tag-c2-server","tag-core-impact-implants","tag-cybercrime","tag-data-theft","tag-edr-solutions","tag-fin7","tag-malware","tag-powertrash-loaders","tag-ransomware","tag-sophisticated-tools","tag-ssh-based-backdoor","tag-threat-actors","tag-underground-marketplaces"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6963"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6963\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6966"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6963"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}