DanaBot zloupotrebljava Word dokumente
DanaBot je sofisticirani tip zlonamjernog softvera poznat po svojim tehnikama samoubrizgavanja za zaobilaženje otkrivanja i uspostavljanje postojanosti na zaraženim sistemima. Zlonamjerna kampanja počinje elektronskom poštom koja sadrži u prilogu Word dokument koji, kada se otvori, pokreće niz procesa kako bi došlo do infekcije sistema.
DANABOT
DanaBot je dobro napravljen i prilagodljiv zlonamjerni softver napisan prvenstveno u programskom jeziku Delphi. Ovaj zlonamjerni softver se nudi kao usluga, omogućavajući zlonamjernim akterima da ga prilagode svojim specifičnim ciljevima. Za razliku od ransomware zlonamjernog softvera koji zahteva trenutnu naplatu, DanaBot daje prednost dugotrajnoj postojanosti i krađi osjetljivih podataka. Korišćen je u raznim napadima, uključujući krađu akreditiva, finansijske prevare i distribuirane napade uskraćivanja usluge (eng. distributed denial-of-service – DDoS).
Prvi put dokumentovan 2018. godine, prvobitno ga je koristio jedan akter protiv australijskih kompanija, ali se od tada proširio na druge regione kao što su Evropa i Sjeverna Amerika. Ovaj zlonamjerni softver se širi preko neželjenih poruka elektronske pošte prerušenih u fakture sa prilozima koji, kada se izvrše, koriste PowerShell i Visual Basic skripte za preuzimanje i izvršavanje DanaBot modula. DanaBot je u početku koristio Word dokumente sa ugrađenim makroima za distribuciju, ali je kasnije evoluirao i počeo da koristi druge metode kao što je PowerShell.
Skup funkcija zlonamjernog softvera uključuje karakteristike bankarskog trojanca, iako neke od njegovih karakteristika ukazuju na to da postaje svestraniji. DanaBot se sastoji od tri glavne komponente: programa za učitavanje, primarnog tereta i modula. Program za učitavanje je dizajniran da preuzme glavnu komponentu, koja zatim instalira određene module koje je napadač izabrao za svaku kampanju. Ovi moduli pružaju različite funkcionalnosti u zavisnosti od njihovog izbora.
Kako bi otežao napore sigurnosnih istraživača, DanaBot nekoliko tehnika izbjegavanja. Jedna od njih je dodavanje velike količine nepotrebnog kôda da bi se zavarali sigurnosni istraživači i automatizovana izolovana okruženja (eng. sandboxes). Tu je i upotreba enkripcije za zaštitu svoje osnovne funkcionalnosti od analize, kao i modifikacija naziva Windows API funkcija, što otežava sigurnosnim istraživačima da identifikuju njihovu prvobitnu svrhu u kôdu zlonamjernog softvera.
NOVA KAMPANJA
U novoj kampanji otkrivenoj od strane kompanije AhnLab, DanaBot se infiltrira u računarski sistem putem neželjene elektronske pošte sa zlonamjernim prilogom. Napad počinje kada primalac otvori Word dokument priložen uz elektronsku poruku, što pokreće niz procesa koji uključuju Outlook (outlook.exe), Word (winword.exe), Command Prompt (cmd.exe), PowerShell (powershell.exe), i rundll32.exe, što na kraju dovodi do izvršenja DanaBot zlonamjernog softvera (iu4t4.exe).
Makro dokument ugrađen u elektronsku poštu sadrži kodirane CMD komande koje se dekodiraju pomoću kôda makroa. Kada se izvrše, ove komande preuzimaju PowerShell skriptu sa servera za komandu i kontrolu (C2), koji zatim preuzima i instalira DanaBot zlonamjerni softver na sistem. Zlonamjerni softver se čuva u javnom direktorijumu korisnika (C:\Users\Public).
DanaBot koristi prikrivene tehnike, kao što je samoubrizgavanje, gdje koristi rundll32.exe da izvrši funkcionalnost shell32.dll i radi pod maskom ove datoteke. Ovo omogućava DanaBot zlonamjernom softveru da zaobiđe sisteme za otkrivanje i uspostavi postojanost na zaraženom sistemu.
Nakon infekcije, DanaBot obavlja različite zlonamjerne aktivnosti uključujući snimanje snimaka ekrana, krađu osjetljivih informacija sa računara i krađu akreditiva za nalog pregledača. Ove radnje mogu kompromitovati cio sistem bez potrebe za stalnom komunikacijom sa njegovim komandnim i kontrolnim serverom (C2).
ZAKLJUČAK
DanaBot je zlonamjerni softver koji se u ovoj kampanji isporučuje žrtvama putem zlonamjernih priloga elektronske pošte, posebno Word dokumenata. Sami dokumenti ne sadrže zlonamjerni softver, već umjesto toga prevare korisnike da kliknu na spoljnu vezu koja pokreće proces infekcije. Koristi različite tehnike kako bi izbjegao otkrivanje i uspostavio postojanost na zaraženim sistemima, što ga čini značajnom prijetnjom i organizacijama i pojedincima. Kontinuirano praćenje korištenjem bezbjednosnih proizvoda je ključno za otkrivanje i kontrolu neovlaštenog pristupa za DanaBot zlonamjerni softver.
ZAŠTITA
Kako bi se korisnici zaštitili od DanaBot zlonamjernog softvera, mogu slijedite ove korake:
- Paziti na neželjene elektronske poruke i priloge, tako što ne treba otvarati otvarajte priloge elektronske pošte niti kliknuti na veze u elektronskim porukama iz nepoznatih izvora, čak i ako se čini da su to molbe za posao. Zlonamjerne poruke elektronske pošte mogu se maskirati kao legitimne kako bi prevarile korisnike da otvorite prilog ili kliknu na vezu koja pokreće proces infekcije,
- Makroi bi trebalo da budu podrazumijevano onemogućeni u podešavanjima Microsoft Office paketa. Ako treba da koristiti makroe, uvjeriti se da dolaze iz pouzdanih izvora. Zlonamjerni softver često koristi makroe za izvršavanje zlonamjernog kôda i infekciju sistema,
- Redovno ažurirati operativni sistem, antivirusni softver i internet pregledače kako bi se ispravile ranjivosti koje bi zlonamjerni softver, kao što je DanaBot, mogao iskoristiti. Ažuriranje softvera pomaže u zaštiti od poznatih prijetnji i smanjuje rizik od infekcije,
- Kontinuirano praćenje korištenja bezbjednosnih proizvoda je ključno za otkrivanje i kontrolu neovlaštenog pristupa od strane zlonamjernih prijetnji. Potrebno je koristiti pouzdano antivirusno riješenje, kao i softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji će pomoći da se identifikuju prijetnje i odgovori na njih u realnom vremenu,
- Potrebno je biti informisan o najnovijim trendovima u sajber bezbednosti i prijetnjama kao što je DanaBot zlonamjerni softver. Redovno pratiti najbolje bezbjednosne prakse i uvjeriti se da su svi korisnici u organizaciji svjesni potencijalnih rizika i načina da ih ublaže,
- Koristiti jedinstvene i složene lozinke za svaki nalog, posebno one povezane sa osvetljivim informacijama ili finansijskim transakcijama. Jake lozinke pomažu u sprečavanju neovlaštenog pristupa nalozima i smanjuju rizik od eksfiltracije podataka,
- Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA), što će pružiti dodatni nivo bezbednosti zahtjevajući od korisnika da obezbijede dodatni oblik verifikacije pre nego što se prijave na svoj nalog, što otežava napadačima da dobiju neovlašteni pristup čak i ako uspiju da dobiju korisničku lozinku.