SbaProxy zloupotrebljava antivirusni softver

AUTOR ·

SbaProxy je nedavno otkrivena alatka od strane kompanije LevelBlue Labs, koja je postala dio evoluirajuće taktike zlonamjernih aktera, omogućavajući zlonamjernim akterima da iskoriste legitimni antivirusni softver u zlonamjerne svrhe. Ovaj sofisticirani napad koristi SbaProxy kao proxy komponentu, maskirajući se kao legitimni antivirusni element za uspostavljanje veza preko komandnog i kontrolnog (C&C) servera.

SbaProxy

SbaProxy zloupotrebljava antivirusni softver; Source: Bing Image Creator

SBAPROXY

Razvoj zlonamjernih prijetnji doživio je značajnu promjenu posljednjih godina sa zlonamjernim akterima koji koriste sve naprednije tehnike da zaobiđu bezbjednosne mjere. Jedan takav metod je otmica legitimnog antivirusnog softvera u zlonamjerne svrhe. Zlonamjerni akteri modifikuju ove komponente, čineći ih teškim za otkrivanje dok izvode svoje napade. Neka ciljana rješenja uključuju Malwarebytes, BitDefender i APEX  proizvode.

SbaProxy predstavlja značajno odstupanje od tradicionalnih sajber prijetnji koje se oslanjaju na stvaranje novog zlonamjernog softvera ili iskorišćavanje poznatih ranjivosti. Umjesto toga, zlonamjerni akteri su izabrali suptilniji pristup: ciljaju upravo na alate dizajnirane da zaštite korisnike od takvih napada – antivirusni softver. Čineći to, oni održavaju benigni izgled softvera dok mu ubrizgavaju zlonamjerni kôda koji može da nanese ogromnu štetu inficiranim korisnicima.

 

Funkcionisanje

SbaProxy je dizajniran da otme legitimni antivirusni softver tako što se predstavlja kao komponenta od povjerenja, što otežava otkrivanje i blokiranje bezbjednosnih rješenja. Zlonamjerni softver koristi važeće certifikate izdate od pouzdanih autoriteta za certifikate (eng. certificate authorities – CA), što dodatno komplikuje proces otkrivanja prijetnji. Integrišući se u postojeći antivirusni softver ili kreirajući nove binarne datoteke koje oponašaju legitimne, SbaProxy može zaobići tradicionalna antivirusna rješenja zasnovana na potpisima.

SbaProxy dolazi u različitim formatima kao što su DLL, EXE i PowerShell skripte. Ove datoteke su često maskirane kao legitimne komponente ili ažuriranja za popularni softver kako bi se izbjegla detekcija od strane bezbjednosnih rješenja. Jednom instaliran na sistemu žrtve, SbaProxy uspostavlja višestruke veze sa svojim C&C serverom tako što počinje sa dodjeljivanjem memorije za korisni teret, dešifrovanjem pomoću čvrsto kodiranog višebajtnog XOR ključa i njegovim izvršavanjem.

Ova početna komunikacija sa serverom za komandu i kontrolu (C&C) prilično je neobična, jer obavlja seriju poziva funkcije “send” sa nultim sadržajem i dužinama od 16, 4 i 0 bajtova, respektivno. Iako posljednje slanje ima dužinu korisnog opterećenja od 0 bajtova, ono i dalje izaziva slanje TCP paketa preko mreže. Ovu magičnu sekvencu vjerovatno koristi zlonamjerni klijent da bi obezbijedio da samo C&C server odgovori, čime se uspostavlja bezbjedna veza između njih.

Nakon ove početne komunikacije, klijent prima 16 bajtova od C&C servera i šalje ih nazad preko novog priključka (eng. socket). Kreiranje novog priključka za svaki primljeni odgovor omogućava nekoliko aktivnih veza paralelno, omogućavajući napadačima da efikasno upravljaju velikim količinama saobraćaja. Ova iterativna petlja se nastavlja sve dok C&C server ne odluči da prekine vezu ili kada klijent dostigne svoj maksimalni kapacitet za otvorene priključke.

Model generisanja prihoda koji koristi SbaProxy je raznolik i prilagodljiv. Može da presreće mrežni saobraćaj i da ga mijenja po potrebi pre nego što ga pošalje nazad na odredište. Ovo omogućava napadačima da ukradu osjetljive informacije, ubace zlonamjerni softver u internet stranice ili čak izvedu napade čovjek u sredini (eng. Man-in-the-Middle Attack – MitM). Pored toga, SbaProxy se može koristiti za prevaru u vezi sa klikovima, gdje generiše lažne klikove na internet oglasima kako bi ostvario prihod za zlonamjerne aktere. Potencijal za finansijsku dobit je značajan, što ovo čini veoma unosnim poduhvatom za zlonamjerne aktere.

 

ZAKLJUČAK

SbaProxy izaziva značajnu zabrinutost u sajber bezbjednosnoj zajednici zbog svoje sposobnosti da radi ispod radara koristeći pouzdane bezbjednosne alate. Primarna komponenta zlonamjernog softvera je dizajnirana tako da je teže otkriti, jer se za izvršenje oslanja na legitiman softver.

Jedna od SbaProxy najistaknutijih taktika izbjegavanja uključuje upotrebu važećih ili naizgled validnih certifikata za potpisivanje zlonamjernih binarnih datoteka. Ova tehnika omogućava zlonamjernom softveru da zaobiđe bezbjednosne provjere i efikasno se sakrije na vidnom mjestu. Napadi zasnovani na certifikatima postali su sve češći, jer zlonamjerni akteri prepoznaju potencijal da izbjegnu sisteme za otkrivanje koji se oslanjaju na validaciju certifikata.

Pored toga, SbaProxy se distribuira kroz različite formate, uključujući DLL, EXE i PowerShell skripte. Zajednička funkcionalnost između ovih različitih metoda distribucije povećava otpornost napada tako što otežava bezbjednosnim rješenjima da otkriju dosljedne obrasce. Ovaj višestruki pristup naglašava prilagodljivost savremenih prijetnji zlonamjernog softvera i naglašava važnost snažne odbrambene strategije.

Da bi se efikasno borili protiv SbaProxy zlonamjernog softvera i sličnih naprednih prijetnji, organizacije moraju da ostanu budne i proaktivne u svojim naporima sajber bezbjednosti. Ovo uključuje implementaciju višeslojnih bezbjednosnih rješenja koja mogu da otkriju anomalno ponašanje i prilagode se novim trendovima prijetnji. Pored toga, kontinuirano praćenje mrežnog saobraćaja i sistemskih evidencija je ključno za identifikaciju potencijalnih prijetnji pre nego što izazovu značajnu štetu.

 

ZAŠTITA

Da biste se zaštitili od SbaProxy zlonamjernog alata, neophodno je primijeniti višeslojni bezbjednosni pristup koji uključuje slijedeće mjere:

  1. Održavati antivirusni softver ažurnim i uvjeriti se da se koristi najnovija verzija antivirusnog softvera instalirana na svim uređajima uz redovno ažuriranje. Ovo će pomoći u zaštiti od poznatih prijetnji, uključujući one distribuirane u obliku zlonamjernih binarnih datoteka potpisanih sa važećim ili naizgled važećim certifikatima,
  2. Preuzimati softver samo iz pouzdanih izvora da bi se smanjili rizici od unošenja zlonamjernog softvera. Biti oprezan sa elektronskom poštom i internet lokacijama koje nude besplatno preuzimanje softvera, jer mogu sadržati zlonamjerne priloge ili veze,
  3. Primjenjivati listu dozvoljenih aplikacija, jer ova bezbjednosna mjera dozvoljava samo odobrenim aplikacijama da se pokreću na uređaju. Primjenom ove mjere može se spriječiti izvršavanje bilo kog neodobrenog softvera, uključujući i onaj koji se distribuira u obliku SbaProxy zlonamjernog alata i drugih sličnih alata,
  4. Koristiti zaštitni zid, jer može pomoći da se blokiraju dolazne veze sa poznatih zlonamjernih IP adresa ili domena povezanih sa C&C serverima koje koriste zlonamjerni akteri za distribuciju SbaProxy i drugih alata zlonamjernih alata,
  5. Redovno skenirati sisteme u potrazi za ranjivostima, uključujući zastareli softver, pogrešno konfigurisanim podešavanjima i slabim lozinkama. Ovo će pomoći u identifikaciji potencijalnih slabosti koje bi napadači mogli da iskoriste koristeći sofisticirane taktike poput onih koje koristi SbaProxy,
  6. Obučiti zaposlene o phishing napadima koji su su uobičajeni vektor za distribuciju zlonamjernog softvera. Zaposleni bi trebalo da prepoznaju i prijave sumnjive elektronske poruke, posebno one koje sadrže priloge ili veze koje od njih traže da preuzmu softver ili daju osjetljive informacije,
  7. Primjenjivati segmentaciju mreže, jer može pomoći u ograničavanju širenja zlonamjernog softvera u slučaju da napadač uspije da zaobiđe druge mjere bezbjednosti. Izolovanjem kritičnih sistema iz manje bezbjednih dijelova mreže, može se smanjiti potencijalna šteta uzrokovana uspješnim napadom,
  8. Koristiti izolovana okruženja (eng. sandbox) za testiranje softvera prije nego što se novi softver primjeni na proizvodnim mrežama. Testiranje novog softvera može omogućiti identifikaciju svih potencijalnih ranjivosti ili zlonamjernog ponašanja koje bi moglo da dovede sisteme u opasnost.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.