Prikriveni Anubis Backdoor omogućava daljinsko izvršavanje komandi

AUTOR ·

Anubis Backdoor predstavlja promjenu metodologije u sajber prijetnjama: sofisticirano, ali jednostavno, prikriveno, ali efikasno. Analiza njegovih karakteristika i rizika od strane Catalyst sigurnosnih istraživača otkriva sofisticirani arsenal zlonamjernih aktera, dizajniran za daljinski pristup i skrivenu eksfiltraciju podataka.

Anubis Backdoor

Prikriveni Anubis Backdoor omogućava daljinsko izvršavanje komandi; Source: Bing Image Creator

ANUBIS BACKDOOR

Anubis Backdoor je zlonamjerni softver zasnovan na Python programskom jeziku, a pripisuje se ozloglašenoj FIN7 grupi (poznatoj i kao Savage Ladybug). Ovaj softver za tajni pristup (eng. backdoor) je dizajniran da obezbijedi daljinski pristup kompromitovanim sistemima, omogućavajući zlonamjernim akterima da izvrše komande i eksfiltriraju osjetljive podatke sa lakoćom.

Efikasnost Anubis Backdoor zlonamjernog softvera leži u njegovoj sposobnosti da izbjegne otkrivanje od strane tradicionalnih antivirusnih rješenja. Njegove blage tehnike prikrivanja omogućile su mu da ostane uglavnom neotkriven od strane većine bezbjednosnih sistema, što ga čini odličnim alatom u kampanjama zlonamjerne neželjene pošte (eng. malspam). Ova prikrivenost je omogućila da se zlonamjerni softver brzo širi i utiče na veliki broj žrtava, nanoseći značajnu štetu organizacijama širom sveta.

Priroda Anubis Backdoor zlonamjernog softvera zasnovana na Python programskom jeziku čini ga relativno jednostavnim i veoma efikasnim. Iako Python programski jezik nije novi jezik u svetu sajber bezbjednosti, njegova upotreba u kreiranju zlonamjernog softvera postala je sve prisutnija posljednjih godina. Jednostavnost kôda omogućava brz razvoj i primjenu, što ga zauzvrat čini popularnim izborom za zlonamjerne aktere koji žele da izvrše ciljane napade.

 

Funkcionisanje

Čini se da su primarni vektor infekcije kampanje zlonamjerne neželjene pošte, gdje zlonamjerni akteri šalju naizgled legitimne elektronske poruke koje sadrže zlonamjerne priloge ili veze. Ove elektronske poruke su dizajnirane da prevare korisnike u interakciju sa zlonamjernim elementima, što na kraju dovodi do instaliranja Anubis Backdoor zlonamjernog softvera na njihove sisteme.

Zlonamjerni softver se distribuira kao ZIP paket koji sadrži Python skriptu i više Python izvršnih datoteka. Ovaj pristup omogućava zlonamjernim akterima da isporuče korisni teret na način koji izgleda legitiman, što za žrtve predstavlja izazov da otkriju bilo kakvu sumnjivu aktivnost. Primarna ulazna tačka je Python skripta od približno 30 redova, čija je primarna svrha da dešifruje i izvrši pravi teret. Kada se izvrši, Anubis Backdoor uspostavlja mehanizme postojanosti i komunikacione kanale sa komandnim i kontrolnim serverima kojima upravljaju zlonamjerni akteri.

Tajni pristup koji koristi Anubis Backdoor zlonamjerni softver omogućava mu da ostane operativan tokom dužeg perioda dok žrtve i dalje ne znaju za kompromitovanje. Ovo se postiže pametnim mehanizmom za dešifrovanje koji koristi prilagođenu funkciju “učitavanja”, koja razdvaja zamagljene nizove, izdvaja ključeve za šifrovanje i izvršava dešifrovani kôd, ostavljajući minimalne tragove.

Sigurnosni istraživači su uočili varijacije u metodama izvršenja, pri čemu su neke varijante izvršavale zamagljeni korisni teret direktno nakon što ga upisuju na disk, dok druge učitavaju korisni teret i pozivaju određenu funkciju. Ova prilagodljivost pokazuje napore zlonamjernog aktera da diverzifikuju svoje mehanizme isporuke za različite operativne scenarije.

Zlonamjerni softver je dizajniran da izbjegne otkrivanje od strane većine antivirusnih rješenja, što otežava identifikovanje bilo kakve sumnjive aktivnosti na zaraženim sistemima. Anubis Backdoor zlonamjerni softver koristi tehnike zamagljivanja koje nisu posebno jake, ali dovoljno efikasne da zaobiđu mnoge bezbjednosne alate. Ovaj prikriveni pristup omogućava zlonamjernom softveru da ostane neotkriven tokom dužeg perioda, dajući zlonamjernim akterima dovoljno vremena da izvrše svoje zlonamjerne planove.

Skup komandi koji Anubis Backdoor pokreće obezbjeđuju potpunu kontrolu sistema, uključujući operacije sa datotekama, izviđanje okruženja i dinamička C2 ažuriranja. Funkcionalnost backdoor softvera je dizajnirana da omogući zlonamjernim akterima da izvršavaju komande na daljinu, eksfiltriraju osjetljive podatke i dalje kompromituju sisteme širom mrežne infrastrukture organizacije. Ovaj nivo pristupa omogućava zlonamjernim akterima da manipulišu zaraženim sistemima na način koji izgleda legitiman, što predstavlja izazov za bezbjednosne timove da otkriju bilo kakvu zlonamjernu aktivnost.

 

Komunikacija sa C2 serverima

Anubis Backdoor koristi sofisticirani komunikacioni mehanizam za interakciju sa komandnim i kontrolnim (C2) serverima kojima upravljaju zlonamjerni akteri. Zlonamjerni softver komunicira preko HTTP portova 80/443, koristeći tehnike prikrivanja saobraćaja kao što su Base64 kôdiranje i prilagođena zamjena alfabeta. Upotreba ovih tehnika čini da se saobraćaj čini legitimnim, omogućavajući zlonamjernim akterima da održe upornost bez otkrivanja. Ovaj sofisticirani pristup pokazuje napore zlonamjernog aktera da ostane ispred bezbjednosnih mjera i osigura da njihovi zlonamjerni planovi ostanu neotkriveni, što stvara izazov za bezbjednosne timove da otkriju bilo kakvu sumnjivu aktivnost na inficiranim sistemima.

Statička konfiguracija unutar kôda je otkrila podrazumijevane C2 servere na IP adresama 38.134.148[.]20 i 5.252.177[.]249, zajedno sa predefinisanim identifikatorom agenta. Skup komandi backdoor softvera omogućava potpunu kontrolu sistema, uključujući operacije sa datotekama, izviđanje okruženja i dinamička C2 ažuriranja. Ovaj nivo pristupa omogućava zlonamjernim akterima da manipulišu zaraženim sistemima na način koji izgleda legitiman, što predstavlja izazov za bezbjednosne timove.

 

Postojanost

Anubis Backdoor koristi pametan mehanizam upornosti koji mu omogućava da zadrži svoje prisustvo na inficiranim sistemima tokom dužeg perioda. Zlonamjerni softver čuva svoju komandnu i kontrolnu (C2) konfiguraciju pod “HKEY_CURRENT_USER\Software\FormidableHandlers” ili sličnim nasumičnim imenima ključeva u Windows registru. Ovaj pristup je izazov za bezbjednosne timove da otkriju bilo kakvu sumnjivu aktivnost, pošto se unosi u registar čini legitimnim.

Upotreba nasumičnih imena ključeva u Windows registru čini izazovom otkrivanje bilo kakvih obrazaca ili anomalija koje mogu ukazivati na kompromitovanje. Pored skladištenja svoje C2 konfiguracije u sistemskom registru, Anubis Backdoor takođe koristi druge mehanizme postojanosti, kao što je pisanje na disk i izvršavanje odatle. Ovaj pristup omogućava zlonamjernom softveru da zadrži svoje prisustvo na inficiranim sistemima čak i ako su komandni i kontrolni serveri zlonamjernog aktera isključeni ili ugroženi od strane bezbjednosnih timova.

 

Uticaj

Uticaj Anubis Backdoor zlonamjernog softvera na korisnike i organizacije ne može se precijeniti, jer ovaj zlonamjerni softver predstavlja značajnu prijetnju po bezbjednost i integritet računarskih sistema širom sveta.

Jedan od najrazornijih efekata Anubis Backdoor zlonamjernog softvera je njegova sposobnost da ostane neotkriven tokom dužih perioda, omogućavajući zlonamjernim akterima da prate aktivnosti, kradu akreditive i postepeno se kreću bočno kroz mreže. Ova prikrivena priroda čini se posebnim izazovna za organizacije da otkriju ugrožavanja i reaguju na vrijeme. Kao rezultat toga, korisnici mogu biti nesvjesni da su njihovi sistemi kompromitovani sve dok se već ne napravi značajna šteta. Sposobnost zlonamjernog softvera da radi ispod praga detekcije većine bezbjednosnih alata dodatno pogoršava ovaj problem, što organizacijama još više otežava da identifikuju i obuzdaju prijetnju.

Uticaj na korisničke podatke je takođe značajan, jer Anubis Backdoor zlonamjerni softver može da se koristi za krađu osjetljivih informacija kao što su akreditivi za prijavu, brojevi kreditnih kartica i drugi lični detalji. Ove ukradene podatke zlonamjerni akteri zatim mogu prodati ili koristiti u svoje zlonamjerne svrhe, što dovodi do finansijskih gubitaka i štete po ugled kako za pojedince tako i za organizacije. Štaviše, sposobnost zlonamjernog softvera da daljinski izvršava komande omogućava zlonamjernim akterima da steknu potpunu kontrolu nad inficiranim sistemima, omogućavajući im da instaliraju dodatni zlonamjerni softver, mjenjanju sistemske postavke ili čak koriste kompromitovane mašine kao botnet uređaje za dalje napade.

Pored ovih direktnih uticaja na korisnike i podatke, Anubis Backdoor zlonamjerni softver takođe ima širi efekat na ukupnu bezbjednosnu poziciju organizacije. Modularni dizajn zlonamjernog softvera omogućava zlonamjernim akterima da prilagode korisni teret na osnovu ciljnog okruženja i specifičnih ciljeva, što otežava sigurnosnim timovima da predvide i pripreme se za potencijalne prijetnje. Ova prilagodljivost omogućava zlonamjernim akterima da ostanu korak ispred bezbjednosnih mjera, što dovodi do povećanog stresa i trošenja resursa dok se organizacije bore da održe korak sa okruženjem kretnji koje se razvija.

Ne treba potcijeniti ni ekonomski uticaj Anubis Backdoor zlonamjernog softvera. Troškovi reagovanja na ugrožavanje mogu biti značajni, uključujući značajna ulaganja u reagovanje na incidente, forenzičku analizu, obavještavanje i napore za sanaciju. Štaviše, šteta po reputaciju uzrokovana probojem podataka visokog profila ili sajber napadom može imati dugotrajne efekte na vrijednost brenda organizacije i lojalnost kupaca.

 

ZAKLJUČAK

Anubis Backdoor je sofisticirani zlonamjerni softver koji se pokazao kao velika prijetnja sajber bezbjednosti. Njegova sposobnost da se neprimjetno uklopi u normalne sistemske operacije, zajedno sa njegovim minimalnim otiskom i naprednim anti-forenzičkim mogućnostima, čini ga posebnim izazovom za sigurnosne istraživače da ga otkriju i analiziraju. Upotreba Python programskog jezika dodatno naglašava prilagodljivost i svestranost Anubis Backdoor zlonamjernog softvera u izbjegavanju otkrivanja.

Pametni mehanizam za dešifrovanje zlonamjernog softvera, koji koristi prilagođene funkcije učitavanja za razdvajanje zamagljenih nizova i izdvajanje ključeva za šifrovanje, svjedoči domišljatosti njegovih programera. Ovaj nivo sofisticiranosti ne samo da otežava otkrivanje sigurnosnih sistema, već i osigurava da čak i ako se otkrije, Anubis Backdoor zlonamjerni softver i dalje može da održi postojanost preko Windows registra ili na druge načine.

Anubis Backdoor zlonamjerni softver predstavlja značajnu prijetnju sajber bezbjednosti zbog svoje sposobnosti da ostane neotkriven od strane mnogih antivirusnih programa. Njegova potpuna nevidljivost (eng. fully undetected – FUD) čini ga atraktivnim alatom za zlonamjerne aktere koji traže daljinski pristup kompromitovanim sistemima, a da ne budu otkriveni. Suočeni sa ovakvom prijetnjom, sigurnosni istraživači i sigurnosni timovi moraju da budu oprezni u praćenju razvoja Anubis Backdoor zlonamjernog softvera i razvoja protivmjera.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako se zaštititi od Anubis Backdoor zlonamjernog softvera, veoma sofisticiranog i prikrivenog zlonamjernog softvera kojeg mnogi bezbjednosni sistemi smatraju veoma teškim za otkrivanje (FUD):

  1. Organizacije bi trebalo da investiraju u robusna rješenja za filtriranje elektronske pošte koja mogu da identifikuju i stavljaju u karantin sumnjive priloge pre nego što stignu do krajnjih korisnika. Ovo je ključno, jer se Anubis Backdoor zlonamjerni softver često širi putem phishing elektronske pošte, koja lako može prevariti korisnike izgledom legitimne komunikacije iz pouzdanih izvora. Implementacijom naprednih mogućnosti otkrivanja prijetnji u sistemima elektronske pošte, organizacije mogu značajno smanjiti rizik da zaposleni postanu žrtve ove vrste napada;
  2. Redovne revizije sistema treba da se sprovode da bi se identifikovale neovlaštene Python instalacije ili sumnjivi zakazani zadaci koji bi mogli da ukažu na kompromitovanje od strane Anubis Backdoor zlonamjernog softvera. Ovo uključuje praćenje bilo koje neobične aktivnosti na krajnjim tačkama i serverima unutar mreže organizacije, uključujući prisustvo nepoznatih softverskih aplikacija ili skripti koje se pokreću u pozadini bez znanja korisnika. Obavljanjem ovih redovnih provjera, organizacije mogu brzo da otkriju potencijalne infekcije pre nego što preraste u potpune napade;
  3. Analiza mrežnog saobraćaja je još jedan suštinski alat za otkrivanje aktivnosti Anubis Backdoor zlonamjernog softvera unutar mreže organizacije. Ovo uključuje praćenje i analizu svih dolaznih i odlaznih komunikacija kako bi se identifikovali neobični obrasci ili veze koje bi mogle ukazivati na komunikaciju komande i kontrole (C2) između zlonamjernog softvera i njegovih operatera. Primjenom naprednih mogućnosti otkrivanja prijetnji, organizacije mogu brzo da otkriju potencijalne infekcije pre nego što izazovu značajnu štetu;
  4. S obzirom na sposobnost Anubis Backdoor zlonamjernog softvera da izbjegne tradicionalne metode detekcije zasnovane na potpisima, neophodno je da se bezbjednosni sistemi unutar organizacije redovno ažuriraju najnovijim obavještajnim podacima o prijetnjama i indikatorima kompromisa (eng. indicators of compromise – IOC). Ovo uključuje informisanje o poznatim ranjivostima u softverskim aplikacijama ili operativnim sistemima koje bi ovaj zlonamjerni softver mogao da iskoristi. Održavanjem bezbjednosnog položaja ažurnim, organizacije mogu značajno da smanje rizik da postanu žrtve Anubis Backdoor napada;
  5. Edukacija zaposlenih je kritična komponenta u sprečavanju infekcija Anubis Backdoor zlonamjernog softvera unutar mreže organizacije. Ovo podrazumijeva edukaciju članova osoblja da budu oprezni kada otvaraju priloge ili kliknu na veze iz nepoznatih izvora, jer su to uobičajene taktike koje koriste zlonamjerni akteri koji šire ovaj zlonamjerni softver putem phishing elektronske pošte. Podizanjem svesti među zaposlenima o rizicima povezanim sa žrtvama takvih napada, organizacije mogu značajno da smanje rizik od infekcije;
  6. Primjena praksi bezbjedne konfiguracije je još jedna suštinska mjera za sprečavanje Anubis Backdoor infekcija unutar mreže organizacije. Ovo uključuje obezbjeđivanje da su sve softverske aplikacije i operativni sistemi bezbjedno konfigurisani iz podrazumijevanog stanja, sa primijenjenim najnovijim bezbjednosnim ispravkama kako bi se spriječilo iskorišćavanje od strane ovog zlonamjernog softvera ili drugih prijetnji. Primjenom ovih mjera, organizacije mogu značajno da smanje rizik da postanu žrtve napada;
  7. Korištenje naprednih alata za otkrivanje prijetnji je još jedna neophodna mjera za otkrivanje i reagovanje na potencijalne Anubis Backdoor infekcije unutar mreže organizacije. Ovi alati koriste algoritme mašinskog učenja ili druge sofisticirane tehnike da identifikuju neobične obrasce u saobraćaju koji bi mogli da ukažu na aktivnost zlonamjernog softvera, omogućavajući organizacijama da brzo otkriju prijetnje pre nego što izazovu značajnu štetu;
  8. Sprovođenje redovnog penetracijskog testiranja je još jedna neophodna mjera za otkrivanje i reagovanje na potencijalne Anubis Backdoor infekcije unutar mreže organizacije. Ovo uključuje simuliranje napada u stvarnom svetu na sisteme organizacije korišćenjem različitih tehnika, uključujući phishing elektronske poruke ili iskorišćavanje poznatih ranjivosti u softverskim aplikacijama ili operativnim sistemima. Redovnim sprovođenjem ovih testova, organizacije mogu da identifikuju slabosti koje mogu da iskoriste zlonamjerni akteri koji šire ovaj zlonamjerni softver i da preduzmu korektivne mjere kako bi spriječili ovakve incidente;
  9. Primjena bezbjednih komunikacionih protokola je još jedna neophodna mjera za sprečavanje Anubis Backdoor infekcija unutar mreže organizacije. Ovo uključuje osiguravanje da je sva komunikacija između krajnjih tačaka ili servera šifrovana korišćenjem naprednih algoritama za šifrovanje, što otežava zlonamjernim akterima koji šire ovaj zlonamjerni softver putem phishing elektronske pošte da presretnu osjetljive informacije;
  10. Primjena praksi bezbjednog pravljenja rezervnih kopija je još jedna neophodna mjera za sprečavanje Anubis Backdoor infekcija unutar mreže organizacije. Ovo podrazumijeva da se svi podaci koji se čuvaju na krajnjim tačkama ili serverima redovno nalaze u rezervnim kopijama uz korištenje naprednih algoritama za šifrovanje i bezbjedno čuvanje u okruženju zasnovanom na oblaku, što otežava zlonamjernim akterima koji šire ovaj zlonamjerni softver pristup osjetljivim informacijama;

Gore navedene preporuke pružaju sveobuhvatne mjere o tome kako se zaštititi od Anubis Backdoor napada, koji je veoma sofisticiran i prikriveni zlonamjerni softver koji mnogi bezbjednosni sistemi klasifikuju kao veoma teškim za otkrivanje (FUD).

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.