Oyster backdoor i popularni softver

Zlonamjerni softver Oyster backdoor, takođe poznat kao Broomstick, otkriven je u nedavnoj kampanji zlonamjernog oglašavanja (eng. malvertising). Kampanju je primijetila kompanija Rapid7  u kojoj su korisnici prevareni da preuzmu naizgled legitimne programe za instalaciju popularnog softvera poput Google Chrome i Microsoft Teams sa internet lokacija koje imaju greške u kucanju (eng. typosquatting). Umjesto da dobiju originalna ažuriranja softvera, korisnici su nehotice instalirale Oyster backdoor na svoje sisteme.

Oyster

Oyster backdoor i popularni softver; Source: Bing Image Creator

OYSTER BACKDOOR

Oyster backdoor je sofisticirani soj zlonamjernog softvera koji je primijećen da cilja korisnike preko internet lokacija koje imaju greške u kucanju. Ova vrsta napada uključuje kreiranje lažnih internet lokacija koje oponašaju legitimne kako bi zavarale korisnike da preuzmu zlonamjerni softver ili daju osjetljive informacije.

 

Funkcionisanje

Napad počinje kada korisnici traže Google Chrome ili Microsoft Teams na pretraživačima kao što su Google i Bing. Rezultati koji su dobijeni na listama pretraživača uključivali su veze ka internet lokacijama koje su izgledale kao legitimne lokacije, ali su ih zapravo kontrolisali napadači. Ovi lažne internet stranice su korisnicima predstavili vezu za preuzimanje navodne softverske aplikacije, koja je u stvari bila instalacija za Oyster backdoor.

Jednom instaliran na sistemu žrtve, Oyster backdoor počinje da izvršava niz komandi koje uključuju sistemsko nabrajanje i primjenu dodatnih korisnih tereta. Ova praktična aktivnost na ukazuje na to da su napadači dobili neovlašteni pristup kompromitovanim sistemima i da ih aktivno istražuju u potrazi za vrijednim podacima ili mogućnostima za dalje širenje širom mreže.

 

Izbjegavanje otkrivanja

Oyster backdoor je kompleksan dio zlonamjernog softvera, dizajniran da izbjegne otkrivanje bezbjednosnim rješenjima i održava postojan pristup zaraženim sistemima. To postiže različitim tehnikama kao što su zamagljivanje kôda, šifrovanje i mjere protiv obrnutog inženjeringa, a jedna od njegovih najznačajnijih karakteristika je upotreba tvrdo kôdirane bajt mape za dekodiranje kôdiranih nizova.

Svaki bajt kôdiranog niza se koristi kao indeksna lokacija za preuzimanje dekôdovanog bajta iz ovog nasumično odabranog niza bajtova. Mapa bajtova sadrži 256 bajtova, po jedan za svaku moguću vrijednost bajta od 1 do 256. Ovu tehniku obično koriste autori zlonamjernog softvera da prikriju nizove i druge podatke, što otežava bezbjednosnim rješenjima da otkriju ili analiziraju zlonamjerni kôd.

Brojač iteracija (i) koji se koristi u okviru uslova za petlju za dekôdiranje upoređuje se sa polovinom dužine kôdiranog stringa dok petlja za dekodiranje mijenja dva bajta istovremeno. Bajtovi kôdiranog niza se dekôdiraju i zamjenjuju počevši od početnog i krajnjeg bajta niza, a petlja za dekôdiranje zatim napreduje ka centru niza sa svakog kraja. Ovaj proces preokreće dekôdirani niz, što je od suštinskog značaja, jer su originalni nizovi otvorenog teksta uskladišteni u zlonamjernom softveru bili obrnuti pre kôdiranja.

Kada se dostigne centar niza, proces dekôdiranja je završen i dekôdirani podaci se mogu koristiti u različite svrhe kao što je komunikacija sa serverima za komandu i kontrolu (C2) ili izvršavanje drugih zlonamjernih aktivnosti na kompromitovanom sistemu. U ovom slučaju, vrijednost dobijena procesom dekodiranja se čuva kao niz i koristi se kao parametar za kreiranje zakazanog zadatka pod nazivom ClearMngs.

 

Postojanost

Svrha zakazanog zadatka ClearMngs je da izvrši binarnu datoteku CleanUp30.dll sa izvezenom funkcijom Test koristeći datoteku rundll32.exe svaka tri sata. To znači da će zlonamjerni softver više puta pozivati ovu DLL datoteku i njenu pridruženu funkciju u redovnim intervalima, potencijalno mu omogućavajući da obavlja različite zadatke ili preuzme dodatne korisne terete bez izazivanja sumnje kod korisnika ili bezbjednosnih rješenja.

Korišćenje planiranih zadataka od strane Oyster backdoor zlonamjernog softvera je još jedna tehnika dizajnirana da izbjegne detekciju od strane bezbjednosnih rješenja koja prate aktivnost sistema u potrazi za znakovima zlonamjernog ponašanja. Prikrivajući svoje akcije kao legitimne procese, zlonamjerni softver može ostati neotkriven i nastaviti da izvršava svoje komande na kompromitovanim sistemima.

 

ZAKLJUČAK

Oyster backdoor je sofisticirani dio zlonamjernog softvera koji koristi grešku u kucanju za distribuciju lažnih instalacija za popularne softverske aplikacije. Jednom instaliran na sistem žrtve, on izvršava različite komande dizajnirane da izbjegne detekciju od strane bezbjednosnih rješenja i održava postojan pristup kompromitovanim sistemima. Njegova upotreba tvrdo kôdiranih bajt mapa, zakazanih zadataka i drugih tehnika zamagljivanja otežava otkrivanje i analizu, što ga čini efikasnim alatom za zlonamjerne aktere koji žele da iskoriste žrtve koje ništa ne sumnjaju.

Posljedice infekcije Oyster backdoor zlonamjernim softverom mogu biti ozbiljne, uključujući neovlašten pristup osjetljivim podacima, finansijski gubitak ili čak krađu identiteta. Za korisnike je od suštinskog značaja da budu oprezni kada preuzimaju softver sa interneta i provjere da li koriste legitimne izvore pre nego što nastave. Pored toga, organizacije treba da investiraju u robusna bezbjednosna rješenja koja mogu da otkriju i ublaže ove vrste napada, kao što su napredne platforme za zaštitu od prijetnji i softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR).

 

ZAŠTITA

Da bi se korisnici i organizacije zaštitili od Oyster backdoor zlonamjernog softvera, mogu uvažiti navedene preporuke:

  1. Kako bi se spriječila instalacija zlonamjernog softvera poput onog koji sadrži Oyster backdoor, korisnici bi trebalo da preuzimaju aplikacije samo iz zvaničnih izvora i izbjegavaju da kliknu na sumnjive veze ili reklame dok pretražuju popularne softverske naslove,
  2. Organizacije mogu da ojačaju svoju odbranu od zlonamjernih kampanja primjenom robusnih bezbjednosnih mjera kao što su zaštita krajnjih tačaka, internet filtriranje i edukacija korisnika. Pored toga, redovna obuka za podizanje svesti o bezbednosti je ključna u pomaganju zaposlenima da prepoznaju potencijalne prijetnje i izbjegnu da postanu žrtve zlonamjernih napada,
  3. Bezbjednosna rješenja kao što su antivirusni softver, sistemi za otkrivanje upada i zaštitni zidovi na krajnjim tačkama mogu pomoći u otkrivanju i sprečavanju instalacije trojanizovanog softvera i backdoor zlonamjernog softvera, uključujući Oyster. Ovi alati služe kao osnovni slojevi u odbrani od sofisticiranih sajber prijetnji,
  4. Uvjeriti se da su sve instalirane aplikacije na korisničkim sistemima ažurirane sa najnovijim bezbjednosnim ispravkama kako bi ranjivosti svele na minimum i smanjili rizici od infekcije zlonamjernim softverom kao što je Oyster backdoor. Redovno ažuriranje softvera je ključni aspekt održavanja bezbjednog računarskog okruženja,
  5. Primjena jakih lozinki za sve korisničke naloge na korisničkim sistemima može pomoći u sprečavanju neovlaštenog pristupa korištenjem backdoor zlonamjernog softvera, uključujući Oyster. Uvjeriti se da svaki nalog ima jedinstvenu i složenu lozinku kako bi se smanjio rizik od kompromitovanja,
  6. Redovno nadgledati sisteme za bilo kakvu sumnjivu aktivnost ili neobično ponašanje. Ovo uključuje praćenje mrežnog saobraćaja, sistemske evidencije i aktivnosti korisnika. Ako se pažljivo prati IT okruženje, moguće je brzo da identifikovati potencijalne prijetnje i odgovoriti na njih pre nego što izazovu značajnu štetu,
  7. Redovno pravljenje rezervnih kopija kritičnih podataka je od suštinskog značaja u slučaju uspješnog napada koji uključuje Oyster backdoor ili bilo koju drugu vrstu zlonamjernog softvera. Posjedovanje pouzdanih rezervnih kopija podataka osigurava brz povratak podataka i smanjuje vrijeme zastoja, smanjujući ukupan uticaj na organizaciju,
  8. U velikim organizacijama potrebna je bliska saradnja rukovodilaca i korisnika sa IT timom da bi se primjenjivale navedene mjere zaštite na svim sistemima i krajnjim tačkama. Zajednički pristup će pomoći da svi u organizaciji budu svjesni prijetnje koju predstavljaju Oyster backdoor i da preduzmu odgovarajuće korake da se zaštite,
  9. Potrebno je biti informisan o najnovijim prijetnjama, trendovima i najboljim praksama u oblasti sajber bezbednosti preko uglednih izvora kao što su publikacije u industriji, dobavljači bezbednosti i vladine agencije. Pouzdane i kvalitetne informacije će pomoći da se donesu bolje odluke u vezi sa bezbjednosnim stavom unutar organizacije organizacije.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.