{"id":7786,"date":"2025-03-22T22:30:39","date_gmt":"2025-03-22T21:30:39","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7786"},"modified":"2025-03-22T22:30:39","modified_gmt":"2025-03-22T21:30:39","slug":"ballista-botnet-cilja-preko-6-000-tp-link-uredjaja","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/","title":{"rendered":"Ballista Botnet cilja preko 6.000 TP-Link ure\u0111aja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Nova <a href=\"https:\/\/sajberinfo.com\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>botnet<\/em> <\/a>kampanja poznata kao <em>Ballista<\/em>, koja cilja na ne a\u017eurirane ranjivosti u <em>TP-Link Archer<\/em> ruterima. Prema <a href=\"https:\/\/www.catonetworks.com\/blog\/cato-ctrl-ballista-new-iot-botnet-targeting-thousands-of-tp-link-archer-routers\/\" target=\"_blank\" rel=\"noopener\">nedavnoj analizi<\/a> sigurnosnih istra\u017eiva\u010da <em>Cato CTRL Threat Research<\/em>, zlonamjerni softver se automatski \u0161iri internetom iskori\u0161tavanjem ranjivosti <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-1389\" target=\"_blank\" rel=\"noopener\"><em>CVE-2023-1389<\/em><\/a>, omogu\u0107avaju\u0107i <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da dobiju daljinsku kontrolu nad kompromitovanim ure\u0111ajima i pokrenu razorne <a href=\"https:\/\/sajberinfo.com\/2022\/04\/25\/ddos\/\" target=\"_blank\" rel=\"nofollow noopener\">napade uskra\u0107ivanjem resursa<\/a> (eng. <em>distributed denial of service \u2013 DDoS<\/em>).<\/span><\/p>\n<div id=\"attachment_7787\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7787\" class=\"size-full wp-image-7787\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack.jpg\" alt=\"Ballista botnet\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/Ballista-botnet-attack-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7787\" class=\"wp-caption-text\"><em>Ballista Botnet cilja preko 6.000 TP-Link ure\u0111aja; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#BALLISTA_BOTNET\">BALLISTA BOTNET<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#Pocetni_pristup\">Po\u010detni pristup<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#Mogucnosti\">Mogu\u0107nosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#Server_za_komandu_i_kontrolu_C2\">Server za komandu i kontrolu (C2)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#Porijeklo\">Porijeklo<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/22\/ballista-botnet-cilja-preko-6-000-tp-link-uredjaja\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"BALLISTA_BOTNET\"><\/span><strong><em>BALLISTA BOTNET<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Prema nalazima <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnih istra\u017eiva\u010da<\/a>, <em>Ballista<\/em> je <em>botnet<\/em> zasnovan na modularnoj arhitekturi koji radi sa izuzetnom prikriveno\u0161\u0107u i postojano\u0161\u0107u. Primarni cilj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> je da uspostavi <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovani<\/a> kanal za komandu i kontrolu (<em>C2<\/em>), omogu\u0107avaju\u0107i udaljenim zlonamjernim akterima da izdaju komande, sprovode dalje napade daljinskog izvr\u0161avanja k\u00f4da (eng. <em>remote code execution \u2013 RCE<\/em>) i pokre\u0107u kampanje za uskra\u0107ivanje usluge (eng. <em>denial-of-service \u2013 DoS<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna od najupe\u010datljivijih karakteristika <em>Ballista botnet<\/em> zlonamjernog softvera je njegova sposobnost da se prilagodi i evoluira kao odgovor na promjenljive pejza\u017ee prijetnji. Tokom istra\u017eivanja sigurnosni istra\u017eiva\u010di su uo\u010dili prelazak na kori\u0161\u0107enje <em>Tor<\/em> domena za <em>C2<\/em> komunikaciju, \u0161to ukazuje na napor da se pove\u0107a prikrivenost i postojanost. Ovaj nivo sofisticiranosti sugeri\u0161e visoko organizovanog i snala\u017eljivog protivnika koji se ne\u0107e zaustaviti ni pred \u010dim da postigne svoje ciljeve.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pretraga sigurnosnih istra\u017eiva\u010da je otkrila da <em>Ballista botnet<\/em> cilja na vi\u0161e od 6.000 ure\u0111aja. Ranjivi ure\u0111aji su koncentrisani u Brazilu, Poljskoj, Ujedinjenom Kraljevstvu, Bugarskoj i Turskoj. Tako\u0111e je utvr\u0111eno je da <em>botnet<\/em> cilja proizvodne, medicinske\/zdravstvene, usluge i tehnolo\u0161ke organizacije u Sjedinjenim Ameri\u010dkim Dr\u017eavama, Australiji, Kini i Meksiku.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Koliko je situacija ozbiljna, govori o tome i pojava izvje\u0161taja koji sugeri\u0161u da vladine agencije Sjedinjenih Ameri\u010dkih Dr\u017eava razmatraju zabranu <em>TP-Link<\/em> ure\u0111aja zbog bezbjednosnih rizika povezanih sa Kinom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pocetni_pristup\"><\/span><strong>Po\u010detni pristup<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Po\u010detni vektor pristupa koji koristi <em>Ballista botnet<\/em> je odli\u010dan primjer kako zlonamjerni akteri mogu da iskoriste ranjivosti na mre\u017enim ure\u0111ajima da bi dobili neovla\u0161teni pristup kompromitovanim sistemima. U ovom slu\u010daju, ranjivost koja se iskori\u0161tava je <em>CVE-2023-1389<\/em>, koja uti\u010de na veb okru\u017eenje upravljanja rutera <em>TP-Link Archer<\/em>. Ova konkretna ranjivost proizilazi iz nedostatka filtriranja korisni\u010dkog unosa u polju za unos dr\u017eave, \u0161to omogu\u0107ava zlonamjernim akterima da ubace zlonamjerni k\u00f4d i izvr\u0161e komande sa administratorskim privilegijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">Korisno optere\u0107enje<\/a> koje je ubrizgava <em>Ballista botnet<\/em> je jasan tekstualna skripta za komandno okru\u017eenje. Nakon izvr\u0161enja na kompromitovanom ure\u0111aju, ova skripta preuzima i izvr\u0161ava binarne datoteke zlonamjernog softvera sa servera koji kontroli\u0161e zlonamjerni akter. Proces po\u010dinje sasvim nevino, po\u0161to se program za instalaciju (eng. <em>dropper<\/em>) sam uklanja sa diska da bi se izbjegla detekcija. Me\u0111utim, njegove prave namjere postaju o\u010digledne kada poku\u0161a da pre\u0111e u druge direktorijume na lokalnom sistemu u potrazi za dodatnim ciljevima. Ovo pona\u0161anje je karakteristi\u010dno za \u201c<em>bu\u010dni<\/em>\u201d program za instalaciju, koji daje prioritet koli\u010dini nad kvalitetom poku\u0161avaju\u0107i da preuzme i izvr\u0161i sve dostupne binarne datoteke umjesto da provjerava kompatibilnost sa kompromitovanom arhitekturom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Implikacije ovog pristupa su zna\u010dajne, jer sugeri\u0161u da je <em>Ballista botnet<\/em> mo\u017eda vi\u0161e zainteresovan za brzo \u0161irenje svog dometa nego za odr\u017eavanje prikrivenosti. Ovo je o\u010digledno iz \u010dinjenice da program za instalaciju ispu\u0161ta pet unaprijed kompajliranih binarnih datoteka na ciljni sistem, koji odgovaraju razli\u010ditim arhitekturama (<em>mips<\/em>, <em>mipsel<\/em>, <em>armv5l<\/em>, <em>armv7l<\/em> i <em>x86_64<\/em>). Iako ovo mo\u017ee izgledati kao pametna taktika za pove\u0107avanje uticaja, to tako\u0111e pove\u0107ava vjerovatno\u0107u otkrivanja od strane bezbjednosnog softvera. \u0160tavi\u0161e, kao \u0161to je navedeno u drugim istra\u017eivanjima o internet stvari (eng. <em>internet of things \u2013 IoT<\/em>) zlonamjernom softveru, takav pristup mo\u017ee dovesti do nepotrebne buke i kolateralne \u0161tete.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong>Mogu\u0107nosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Podrazumijevani tok izvr\u0161avanja <em>Ballista botnet <\/em>zlonamjernog softvera pokazuje nekoliko klju\u010dnih mogu\u0107nosti koje mu omogu\u0107avaju da zadr\u017ei kontrolu nad inficiranim ure\u0111ajima i izbjegne otkrivanje. Prva mogu\u0107nost je sposobnost zlonamjernog softvera da ugasi prethodne instance sebe i ukloni sopstvenu izvr\u0161nu datoteku sa diska nakon izvr\u0161enja. Ovaj mehanizam samouni\u0161tenja slu\u017ei kao na\u010din da se izbjegne otkrivanje od strane bezbjednosnog softvera ili sigurnosnih analiti\u010dara koji mo\u017eda prate aktivnost sistema u potrazi za sumnjivim pona\u0161anjem.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova po\u010detna sposobnost postavlja scenu za dalju eksploataciju, omogu\u0107avaju\u0107i zlonamjernom softveru da uspostavi upori\u0161te na kompromitovanom ure\u0111aju bez da ga ometaju prethodno pokrenute instance samog sebe. Sljede\u0107a mogu\u0107nost je sposobnost <em>Ballista botnet <\/em>zlonamjernog softvera da \u010dita brojne konfiguracione datoteke na sistemu. Ovo mu omogu\u0107ava da prikupi dragocjene informacije o ciljnom okru\u017eenju, uklju\u010duju\u0107i mre\u017ena pode\u0161avanja, korisni\u010dke naloge i druge relevantne detalje koji se mogu koristiti za budu\u0107u eksploataciju ili kao dio ve\u0107e strategije napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tre\u0107a klju\u010dna mogu\u0107nost je uspostavljanje <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanog <\/a><em>C2<\/em> kanala preko kojeg <em>Ballista botnet <\/em>zlonamjerni softver mo\u017ee da pozove dodatnu funkcionalnost. Ova bezbjedna komunikaciona veza omogu\u0107ava zlonamjernim akterima da daljinski kontroli\u0161u inficirane ure\u0111aje, primaju a\u017euriranja o statusu sistema i izdaju komande koje pokre\u0107u odre\u0111ene radnje u kompromitovanom okru\u017eenju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Mogu\u0107nost automatskog \u0161irenja na druge ure\u0111aje na internetu je tako\u0111e kriti\u010dna sposobnost ovog <em>Ballista botnet <\/em>zlonamjernog softvera. Ovaj mehanizam \u0161irenja koristi eksploataciju za ranjivost <em>CVE-2023-1389<\/em>, koja mu omogu\u0107ava da se brzo \u0161iri bez potrebe za ljudskom intervencijom ili ru\u010dnom konfiguracijom od strane zlonamjernih aktera. Kao takve, inficirane mre\u017ee mogu brzo biti preplavljene kompromitovanim ure\u0111ajima koji su pod daljinskom kontrolom i spremni da izvr\u0161e dalje zlonamjerne radnje po komandi sa <em>C2<\/em> servera. Sposobnost zlonamjernog softvera da se automatski \u0161iri \u010dini napore za obuzdavanjem mnogo izazovnijim za mre\u017ene administratore.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Po prijemu odre\u0111enih komandi od C2 servera, <em>Ballista botnet<\/em> zlonamjerni softver tako\u0111e mo\u017ee da koristi dodatne mogu\u0107nosti koje dodatno pove\u0107avaju njegov potencijal za eksploataciju na kompromitovanim ure\u0111ajima. Jedna takva mogu\u0107nost je mogu\u0107nost pokretanja komandnog okru\u017eenja direktno unutar zara\u017eenog okru\u017eenja. Ovo omogu\u0107ava zlonamjernim akterima da izvr\u0161e proizvoljne radnje na nivou sistema ili prikupe osjetljive informacije o ciljnom ure\u0111aju bez potrebe za direktnim pristupom preko grafi\u010dkog okru\u017eenja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Modul \u201c<em>komandnog<\/em> <em>okru\u017eenja<\/em>\u201d, kako se pominje u ovom kontekstu, pru\u017ea <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">skriveni pristup<\/a> (eng. <em>backdoor<\/em>) za eksfiltraciju podataka i postojanost na kompromitovanim ure\u0111ajima. Omogu\u0107ava daljinsko izvr\u0161avanje komandi koje se mogu koristiti za dalje iskori\u0161\u0107avanje ranjivosti unutar sistemskog softvera ili prikupljanje osjetljivih informacija o ciljnom okru\u017eenju bez da budu otkrivene tradicionalnim bezbjednosnim mjerama. Ova mogu\u0107nost je posebno zabrinjavaju\u0107a, jer omogu\u0107ava zlonamjernim akterima da odr\u017ee stalno prisustvo na inficiranim sistemima, \u010dak i ako u bilo kom trenutku nisu aktivno uklju\u010deni u zlonamjerne aktivnosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jo\u0161 jedna kriti\u010dna dodatna mogu\u0107nost <em>Ballista botnet<\/em> zlonamjernog softvera uklju\u010duje njegovu sposobnost pokretanja napada uskra\u0107ivanja usluge ili distribuiranog napada uskra\u0107ivanja usluge (<em>DoS\/DDoS<\/em>) na komandu sa <em>C2<\/em> servera. Modul \u201c<em>flooder<\/em>\u201d u okviru zlonamjernog softvera je posebno dizajniran za pokretanje takvih napada i mo\u017ee kontinuirano da stvara nove procese za izvr\u0161enje napada, \u0161to ote\u017eava blokiranje ili ubla\u017eavanje bez zna\u010dajnih mre\u017enih resursa koji su posve\u0107eni odbrani. Mogu\u0107nost obrade velikih koli\u010dina saobra\u0107aja uz odr\u017eavanje \u0161ifrovanja osigurava da \u010dak i ako se otkriju neki aspekti ovih napada, oni i dalje mogu izazvati zna\u010dajne poreme\u0107aje i finansijski gubitak za ciljane organizacije, a da ih timovi za bezbjednost u potpunosti ne razumiju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Server_za_komandu_i_kontrolu_C2\"><\/span><strong>Server za komandu i kontrolu (<em>C2<\/em>)<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Po zavr\u0161etku svojih po\u010detnih koraka, <em>Ballista botnet <\/em>zlonamjerni softver nastavlja da prikazuje arhitekturu operativnog sistema koju je identifikovao i zapo\u010dinje postavljanje komandnog i kontrolnog (<em>C2<\/em>) kanala. Ovaj proces pode\u0161avanja je klju\u010dan za nastavak rada zlonamjernog softvera, jer omogu\u0107ava komunikaciju izme\u0111u inficiranog ure\u0111aja i servera koji kontroli\u0161e zlonamjerni akter.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Detaljna analiza mre\u017enog saobra\u0107aja otkriva da ovaj <em>C2<\/em> kanal vodi direktno nazad na istu <em>IP<\/em> adresu sa koje je zlonamjerni softver prvobitno preuzet. Ovo ukazuje na visok stepen kontrole koju zlonamjerni akteri vr\u0161e nad svojim zlonamjernim softverom, omogu\u0107avaju\u0107i im da sa lako\u0107om daljinski preuzmu kompromitovane ure\u0111aje. \u0160tavi\u0161e, ispitivanje asemblerskog k\u00f4da koji se koristi za postavljanje ove <em>C2<\/em> veze otkriva upotrebu funkcije dizajnirane za kreiranje novih procesa unutar toka izvr\u0161avanja aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kreiranje ovih dodatnih procesa slu\u017ei kao sredstvo pomo\u0107u kojeg se vi\u0161e zadataka mo\u017ee izvr\u0161avati istovremeno, pobolj\u0161avaju\u0107i ukupne performanse i efikasnost sistema. Me\u0111utim, kada se primjeni na zlonamjerni softver kao \u0161to je <em>Ballista botnet<\/em>, takve mogu\u0107nosti poprimaju zlokobnije konotacije. Konkretno, upotreba funkcije dizajnirane za kreiranje novih procesa unutar toka izvr\u0161avanja aplikacije u ovom slu\u010daju omogu\u0107ava istovremenu komunikaciju sa razli\u010ditim <em>C2<\/em> serverima ili izvr\u0161avanje razli\u010ditih modula unutar jedne instance zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon detaljnijeg pregleda asemblerskog k\u00f4da koji je odgovoran za postavljanje <em>C2<\/em> kanala, postaje o\u010digledno da se bezbjednost transportnog sloja (eng. <em>transport layer security \u2013 TLS<\/em>) koristi da bi se obezbijedila ova linija komunikacije. Bezbjednost transportnog sloja (<em>TLS<\/em>) predstavlja industrijski standardni protokol dizajniran posebno za \u0161ifrovanje podataka koji se razmjenjuju izme\u0111u klijenta i servera preko nesigurnih kanala poput interneta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba funkcije dizajnirane za kreiranje novih procesa unutar toka izvr\u0161avanja aplikacije u kombinaciji sa bezbjedno\u0161\u0107u transportnog sloja (<em>TLS<\/em>) slu\u017ei kao dokaz sofisticiranog dizajna zlonamjernog softvera, omogu\u0107avaju\u0107i mu da uspostavi vi\u0161e veza istovremeno uz odr\u017eavanje povjerljivosti putem \u0161ifrovanja. \u0160tavi\u0161e, analiza otkriva da se podrazumijevano \u0161alju samo dva paketa: jedan koji sadr\u017ei indikator kompromitovanja (eng. <em>indicator of compromise \u2013 IoC<\/em>) jedinstven za ovu vrstu zlonamjernog softvera i drugi koji uklju\u010duje informacije o arhitekturi klijenta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Funkcija odgovorna za ra\u0161\u010dlanjivanje dolaznih komandi sa <em>C2<\/em> kanala je identifikovana kao kriti\u010dna komponenta u razumijevanju na\u010dina na koji <em>Ballista botnet<\/em> funkcioni\u0161e. Nakon pregleda, prona\u0111eno je nekoliko klju\u010dnih rije\u010di koje su ugra\u0111ene u njegovu bazu k\u00f4da: <em>flooder<\/em>, <em>exploiter<\/em>, <em>start<\/em>, <em>close<\/em>, <em>shell<\/em> i <em>killall<\/em>. Svaki od ovih termina odgovara odre\u0111enim modulima ili funkcijama koje zlonamjerni akteri mogu pokrenuti daljinski.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Treba napomenuti, da je dalja analiza pokazala da originalna <em>IP<\/em> adresa vi\u0161e nije funkcionalna \u0161to sugeri\u0161e da su zlonamjerni akteri koji stoje iza <em>Ballista botnet<\/em> aktivno razvijaju i usavr\u0161avaju svoj zlonamjerni softver kako bi bili ispred bezbjednosnih mjera. Ovaj nivo sofisticiranosti ukazuje na zna\u010dajno pove\u0107anje sposobnosti kampanje, stvaraju\u0107i braniocima izazov da otkriju i ubla\u017ee napade. Pojava novih varijanti, kao \u0161to je ona koja koristi <em>Tor<\/em> domene umjesto prethodno definisanih <em>IP<\/em> adresa, dodatno nagla\u0161ava ovo.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba <em>Tor<\/em> domena je posebno vrijedna pa\u017enje, jer omogu\u0107ava <em>Ballista botnet<\/em> operaterima da odr\u017ee anonimnost dok komuniciraju sa svojom mre\u017eom inficiranih ure\u0111aja. Ovaj dodatni sloj skrivenosti ote\u017eava sigurnosnim istra\u017eiva\u010dima i bezbjednosnim timovima da prate i analiziraju pona\u0161anje zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Porijeklo\"><\/span><strong>Porijeklo<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Tokom istra\u017eivanja, sigurnosni istra\u017eiva\u010di su nai\u0161li su na klju\u010dnu informaciju koja je nagovje\u0161tavala poreklo ovog zlonamjernog entiteta. Kori\u0161tenje lokacije <em>IP<\/em> adrese za komandu i kontrolu (<em>C2<\/em>) <em>2.237.57[.]70<\/em> je bilo intrigantno otkri\u0107e, jer se \u010dinilo da ukazuje na odre\u0111eni geografski region. Ovo otkri\u0107e izazvalo je radoznalost me\u0111u stru\u010dnjacima za <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a>, koji su po\u010deli da spekuli\u0161u o mogu\u0107em identitetu iza ove kampanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prisustvo nizova italijanskog jezika u binarnim datotekama zlonamjernog softvera dodatno je u\u010dvrstilo sumnju da bi nepoznati zlonamjerni akter mogao biti smje\u0161ten u Italiji. Uklju\u010divanje takvih lingvisti\u010dkih elemenata u k\u00f4du sugerisalo je nivo poznavanja i udobnosti sa lokalnom kulturom, \u0161to bi moglo ukazivati na pojedinca ili grupu iz istog regiona kao <em>IP<\/em> adresa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kombinacija ova dva faktora \u2013 lokacije <em>IP<\/em> adrese i nizova na italijanskom jeziku \u2013 stvorila je ubjedljivu pri\u010du koja je nagovje\u0161tavala umje\u0161anost nepoznatog italijanskog zlonamjernih aktera u kampanju zlonamjernog softvera <em>Ballista<\/em>. Iako je bilo nemogu\u0107e utvrditi ta\u010dan identitet ili motivaciju, sigurnosni istra\u017eiva\u010di su bili umjereno uvjereni da su nai\u0161li na ne\u0161to zna\u010dajno. Ovo otkri\u0107e je poslu\u017eilo kao podsjetnik da \u010dak i naizgled bezopasni detalji mogu imati ogromnu vrijednost kada se analiziraju u kontekstu istra\u017eivanja sajber bezbjednosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako istraga o eksploataciji <em>CVE-2023-1389<\/em> od strane <em>Ballista botnet <\/em>zlonamjernog softvera napreduje, postaje jasno da je ova zlonamjerna kampanja ostavila trajan uticaj na globalni pejza\u017e sajber bezbjednosti. \u010cinjenica da je preko 6.000 ure\u0111aja identifikovano kao ranjivo u vreme pisanja teksta slu\u017ei kao o\u0161tar podsjetnik na razmjere i obim ove prijetnje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza sigurnosnih istra\u017eiva\u010da otkriva sofisticirani zlonamjerni softver sa mogu\u0107no\u0161\u0107u automatskog \u0161irenja internetom, ciljaju\u0107i razli\u010dite sektore, uklju\u010duju\u0107i proizvodnju, medicinu\/zdravstvo, usluge i tehnolo\u0161ke organizacije u vi\u0161e zemalja. <em>Botnet s<\/em>posobnost da izbjegne otkrivanje tokom du\u017eeg perioda nagla\u0161ava njegovu otpornost i prilagodljivost. \u0160tavi\u0161e, \u010dinjenica da su ameri\u010dke vladine agencije razmatrale zabranu <em>TP-Link<\/em> ure\u0111aja zbog bezbjednosnih zabrinutosti povezanih sa Kinom nagla\u0161ava ozbiljnost ove situacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na kraju, istraga je rasvijetlila kriti\u010dnu ranjivost u globalnom okru\u017eenju sajber bezbjednosti. Kako se napreduje, od su\u0161tinskog je zna\u010daja da organizacije daju prioritet identifikaciji ure\u0111aja i implementiraju prilago\u0111ene politike za ranjive ure\u0111aje na mre\u017ei. Upotreba vi\u0161eslojnih bezbjednosnih pristupa bi\u0107e klju\u010dna u za\u0161titi od sli\u010dnih prijetnji u budu\u0107nosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Evo preporuka o tome kako za\u0161tititi ure\u0111aje i mre\u017eu od <em>Ballista botnet <\/em>zlonamjernog softvera koji koristi nea\u017euriane ranjivosti:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Prvi korak je a\u017euriranje upravlja\u010dkog softvera (eng. <em>firmware<\/em>) rutera na najnovijim bezbjednosnim ispravkama, posebno ako se radi o <em>TP-Link<\/em> ure\u0111aju. Provjeriti da li postoje dostupna a\u017euriranja na zvani\u010dnoj internet stranici i pratiti uputstva proizvo\u0111a\u010da;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je promijeniti podrazumijevane <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> svih ure\u0111aja povezanih na mre\u017eu, uklju\u010duju\u0107i rutere, mre\u017ene razvodnike (eng. <em>switch<\/em>) i pristupne ta\u010dke. Tako\u0111e, omogu\u0107ite <em>WPA3<\/em> \u0161ifrovanje, jer pru\u017ea robusnu sigurnost od napada prislu\u0161kivanja. Ovo \u0107e sprije\u010diti neovla\u0161teni pristup mre\u017ei od strane zlonamjernih aktera koji iskori\u0161\u0107avaju <em>Ballista botnet<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podesiti mre\u017eu za goste na ruteru za posjetioce ili internet stvari (<em>IoT<\/em>) ure\u0111aje koji ne zahtevaju direktan pristup internetu sa drugih povezanih ure\u0111aja. Ova izolovana mre\u017ea spre\u010dava potencijalno \u0161irenje zlonamjernog softvera i ograni\u010dava izlaganje osjetljivih podataka u slu\u010daju da je kompromitovan ure\u0111aj bez ispravke;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jake lozinke sa mje\u0161avinom velikih, malih slova, brojeva i specijalnih znakova za sve naloge na ure\u0111ajima. Pored toga, omogu\u0107iti autentifikaciju u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) kad god je to mogu\u0107e da bi se dodao jo\u0161 jedan nivo za\u0161tite od poku\u0161aja neovla\u0161tenog pristupa od strane zlonamjernih aktera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovna skeniranja mre\u017ee mogu pomo\u0107i da se identifikuju potencijalne ranjivosti ili infekcije zlonamjernim softverom u ranoj fazi njegovog \u017eivotnog ciklusa prije nego \u0161to postane veliki problem;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da svi ure\u0111aji povezani na mre\u017eu imaju a\u017euriran operativni sistem najnovijim ispravkama i a\u017euriranjima. Ovo uklju\u010duje pametne telefone, laptopove, desktope, servere i bilo koji drugi ure\u0111aj sa operativnim sistemom koji bi zlonamjerni akteri mogli iskoristit za dalje napade nakon eksploatacije u napadima <em>Ballista botnet <\/em>zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Instalirati za\u0161titne zidove na svim ure\u0111ajima povezanim na mre\u017eu i omogu\u0107iti funkcije sisteme za otkrivanje\/prevenciju upada (eng. <em>intrusion detection\/prevention systems \u2013 IDPS<\/em>) ako su dostupne. Ovo \u0107e pomo\u0107i u otkrivanju potencijalnih prijetnji od <em>Ballista botnet <\/em>zlonamjernog softvera, upozoravaju\u0107i na sumnjivu aktivnost pre nego \u0161to to postane problem;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podijeliti mre\u017eu na manje segmente na osnovu funkcija ili potreba odjeljenja koriste\u0107i virtuelne lokalne mre\u017ee (eng. <em>virtual local area networks \u2013 VLAN<\/em>). Ovo ograni\u010dava bo\u010dno kretanje u slu\u010daju da je ure\u0111aj kompromitovan od strane zlonamjernih aktera koji koriste <em>Ballista botnet <\/em>zlonamjerni softver, \u0161to olak\u0161ava zadr\u017eavanje i iskorjenjivanje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pratiti mre\u017eni saobra\u0107aj kako bi se identifikovale potencijalne prijetnje od strane <em>Ballista botnet <\/em>zlonamjernog softvera ili drugih zlonamjernih softvera koji poku\u0161avaju da neovla\u0161teno pristupe ure\u0111ajima povezanim na mre\u017eu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> koji opisuje procedure i protokole u slu\u010daju bezbjednosnih incidenata, uklju\u010duju\u0107i one izazvane zlonamjernim akterima koji iskori\u0161tavaju ranjivosti kori\u0161\u0107ene u napadima <em>Ballista botnet <\/em>zlonamjernog Ovaj plan treba da uklju\u010di korake za zadr\u017eavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se smanjilo vrijeme zastoja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite bezbjednu uslugu sistema imena domena (eng. <em>domain name system \u2013 DNS<\/em>) koja mo\u017ee da blokira zlonamjerne domene za koje se zna da su povezani sa zlonamjernim grupama koje koriste <em>Ballista botnet <\/em>zlonamjerni softver ili druge prijetnje koje ugro\u017eavaju bezbjednost na mre\u017ei;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da se redovne <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> vr\u0161e na kriti\u010dnim podacima uskladi\u0161tenim na ure\u0111ajima povezanim sa mre\u017eom, uklju\u010duju\u0107i servere i radne stanice osjetljive na napade zlonamjernih aktera koji iskori\u0161tavaju ranjivosti kori\u0161\u0107ene u kampanji <em>Ballista botnet <\/em>zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirajte bezbjedne komunikacione protokole kao \u0161to su <em>HTTPS<\/em> i <em>SFTP<\/em> kad god je to mogu\u0107e, posebno kada se prenose osjetljivi podaci preko javnih mre\u017ea koje su podlo\u017ene napadima zlonamjernih aktera kori\u0161\u0107enjem eksploatacije <em>Ballista botnet <\/em>zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovoditi redovne bezbjednosne revizije svih ure\u0111aja povezanih na mre\u017eu, uklju\u010duju\u0107i rutere, mre\u017ene razvodnike, pristupne ta\u010dke, servere, radne stanice, pametne telefone i druge internet stvari (<em>IoT<\/em>) ure\u0111aje koji mogu biti meta zlonamjernih aktera koji iskori\u0161tavaju ranjivosti kori\u0161\u0107ene u napadima <em>Ballista botnet <\/em>zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razmislite o implementaciji bezbjednosnih usluga zasnovanih na oblaku koje mogu da obezbijede obavje\u0161tajne podatke o prijetnjama u realnom vremenu, naprednu analitiku i uvid vje\u0161ta\u010dke inteligencije (eng. <em>artificial intelligence \u2013 AI<\/em>) u potencijalne prijetnje od zlonamjernih aktera koji iskori\u0161\u0107avaju ranjivosti kori\u0161\u0107ene u napadima <em>Ballista botnet <\/em>zlonamjernog softvera.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Nova botnet kampanja poznata kao Ballista, koja cilja na ne a\u017eurirane ranjivosti u TP-Link Archer ruterima. Prema nedavnoj analizi sigurnosnih istra\u017eiva\u010da Cato CTRL Threat Research, zlonamjerni softver se automatski \u0161iri internetom iskori\u0161tavanjem ranjivosti CVE-2023-1389,&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7787,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2813,2820,2815,2817,2822,2818,2823,2816,2821,2814,2819],"class_list":["post-7786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-ballista-botnet","tag-botnet-attacks","tag-cve20231389","tag-cyber-attack","tag-malware-propagation","tag-malware-spreading","tag-network-threats","tag-router-exploit","tag-router-hacking","tag-tplink-vulnerability","tag-unpatched-routers"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7786"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7786\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7787"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7786"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}