Prometei botnet cilja Linux servere

AUTOR · Published · Updated

Nedavna ponovna pojava Prometei botnet mreže inficiranih uređaja je istakla zabrinutost za administratore Linux servera širom sveta, pokazuje istraživanje Palo Alto Networks sigurnosnih istraživača. Kako se ova porodica zlonamjernog softvera nastavlja razvijati, iskorištavajući ranjivosti u umreženim sistemima i kradući osjetljive podatke, neophodno je ponovo procijeniti bezbjednosne protokole i primijeniti proaktivne mjere kako bi se spriječilo ugrožavanje.

Prometei

Prometei botnet cilja Linux servere; Source: Microsoft Copilot AI

PROMETEI BOTNET

Prometei botnet se odnosi na sofisticiranu operaciju zlonamjernog softvera koja cilja Linux servere za rudarenje kriptovaluta i krađu pristupnih podataka. Predstavlja porodicu zlonamjernog softvera sa dvostrukom prijetnjom koja obuhvata i Linux i Windows varijante.

Što se tiče njegovih operativnih karakteristika, Prometei botnet je poznat po svojoj modularnoj arhitekturi, koja omogućava zlonamjernim akterima da daljinski kontrolišu inficirane sisteme, raspoređuju dodatne korisne terete (eng. payloads) i održavaju stalni pristup kompromitovanim mrežama. Ovo mu omogućava da otme računarske resurse za rudarenje kriptovalute Monero, dok istovremeno krade podatke za prijavu sa kompromitovanih sistema putem različitih vektora napada, uključujući napade grubom silom (eng. brute force attack), eksploataciju ranjivosti kao što je EternalBlue i manipulaciju ranjivostima protokola bloka poruka servera (eng. Server Message Block – SMB). Ovaj višestruki pristup omogućava botnet mreži da brzo proširi svoj uticaj kada dobije početni pristup sistemima organizacije.

Zlonamjerni softver Prometei je prvobitno otkriven u julu 2020. godine, pri čemu je njegova Windows varijanta u početku imala prednost. Međutim, verzija za Linux se pojavila u decembru 2020. godine i od tada je kontinuirano razvijana. Ovo ukazuje na to da su tvorci botnet mreže aktivno radili na poboljšanju mogućnosti svog zlonamjernog softvera u izbjegavanju otkrivanja od strane bezbjednosnih rješenja. Kontinuirani razvoj ovog zlonamjernog softvera dodatno naglašava njegovu prilagodljivost i sposobnost da se razvija kao odgovor na promjenljive mjere bezbjednosti.

 

Vektori i taktike napada

Kao što je ranije pomenuto, botnet Prometei koristi više vektora napada kako bi postigao bočno kretanje unutar ciljanih mreža. To uključuje:

  • Napadi grubom silom: Ova taktika uključuje korišćenje automatizovanih alata za pogađanje lozinki ili iskorišćavanje ranjivosti u protokolima za autentifikaciju;
  • Iskorišćavanje ranjivosti EternalBlue povezane sa ucjenjivačkim softverom (eng. ransomware) WannaCry: Ranjivost EternalBlue je dobro poznata mana koju zlonamjerni akteri mogu iskoristiti da bi dobili pristup sistemima koji koriste operativne sisteme Windows. Malver Prometei koristi ovu slabost da se širi unutar mreža i ugrožava dodatne ciljeve;
  • Manipulacija ranjivostima protokola bloka poruka servera: Ova taktika uključuje iskorišćavanje slabosti protokola bloka poruka servera (SMB), koji omogućava dijeljenje datoteka između računara na mreži.

Ovi vektori napada demonstriraju svestranost i prilagodljivost Prometei botnet mreže inficiranih uređaja. Korištenjem višestrukih taktika, zlonamjerni akteri mogu povećati svoje šanse za uspeh i izbjeći otkrivanje od strane tradicionalnih bezbjednosnih rješenja.

 

Finansijska motivacija

Finansijska motivacija koja stoji iza operacija Prometei izgleda jasna, jer sigurnosni istraživači nisu pronašli dokaze koji povezuju ovu kampanju sa zlonamjernim akterima sponzorisanim od strane države. Umjesto toga, ona pokazuje karakteristike koje su u skladu sa profitno vođenim sajber kriminalnim preduzećima koja žele da monetizuju ugroženu infrastrukturu kroz rudarenje kriptovaluta, dok oportunistički prikupljaju vrijedne podatke za prijavu za potencijalnu sekundarnu eksploataciju ili prodaju na ilegalnim tržištima.

Ovaj fokus na finansijsku dobit ističe važnost davanja prioriteta mjerama sajber bezbjednosti koje štite od ovih vrsta prijetnji. Organizacije moraju ostati budne i proaktivne u svojim bezbjednosnim strategijama, jer zlonamjerni akteri kontinuirano prilagođavaju i razvijaju svoje taktike kako bi postigli svoje ciljeve.

 

Funkcionisanje

Prometei se prvenstveno distribuira putem HTTP GET zahteva ka infrastrukturi koju kontroliše zlonamjerni akter. Zlonamjerni softver je često prikriven kao PHP skripta, sa obmanjujućom .php ekstenzijom. Međutim, nakon detaljnijeg pregleda, postaje jasno da je ovaj izvršni fajl zapravo UPX-pakovani 64-bitni ELF binarna datoteka dizajnirana za prikrivenost i anti-analizu.

Upotreba .php ekstenzije služi nekoliko svrha. Prvo, omogućava zlonamjernom akteru da se uklopi u legitiman internet saobraćaj, što otežava bezbjednosnim mjerama da otkriju zlonamjerne aktivnosti. Drugo, prisustvo PHP skripte može navesti branioce da se fokusiraju na tradicionalne PHP-bazirane napade, skrećući pažnju sa prave prirode zlonamjernog softvera.

Posebno je vrijedna pažnje UPX tehnika pakovanja koju koristi Prometei. Ova metoda uključuje kompresiju i šifrovanje izvršnog kôda pomoću Univerzalnog alata za pakovanje (eng. universal packing tool – UPX). Dobijena binarna datoteka se pojavljuje kao legitimna ELF datoteka, što otežava raspakivanje i analizu standardnim forenzičkim alatima. Pored toga, verzije objavljene od marta 2025. godine uključuju prilagođene JSON konfiguracione priključke u svoj sistem pakovanja.

Prometei Linux varijanta se  karakteriše modularnim dizajnom, koji omogućava zlonamjernom softveru da se prilagođava i razvija tokom vremena. Nakon izvršavanja, binarna datoteka se raspakuje u memoriji, pokreće pravi korisni teret i počinje profilisanje sistema. Ovaj proces uključuje prikupljanje različitih detalja o kompromitovanom sistemu. Upotreba tipičnih Linux uslužnih programa za prikupljanje podataka je pametna taktika koju koriste Prometei programeri. Korištenjem postojećih alata i komandi, oni mogu da održe nizak profil, a da i dalje prikupljaju vrijedne obavještajne podatke o sistemima svojih žrtava. Ovaj modularni pristup takođe omogućava zlonamjernom softveru da lako uključi nove funkcije ili izmjeni svoje ponašanje kao odgovor na promjenljive mjere bezbjednosti.

Mogućnosti Prometei profilisanja sistema su suštinski aspekt njegovog cjelokupnog dizajna. Prikupljanjem detaljnih informacija o kompromitovanom sistemu, zlonamjerni akteri mogu da prilagode svoje napade i povećaju uticaj na mreže žrtava. Podaci koje Prometei prikuplja uključuju:

  • Tip procesora: Ove informacije omogućavaju zlonamjernim akterima da utvrde da li uređaj žrtve koristi 32-bitno ili 64-bitno operativno okruženje;
  • Model matične ploče: Identifikovanjem specifičnih modela matičnih ploča, zlonamjerni akteri mogu da utvrde ranjivosti koje mogu biti prisutne u tim sistemima;
  • Verzija operativnog sistema: Poznavanje verzije operativnog sistema omogućava zlonamjernim akterima da ciljaju određene ranjivosti i osiguraju kompatibilnost sa svojim zlonamjernim softverom;
  • Vrijeme rada: Ova metrika pruža uvid u to koliko dugo uređaj žrtve radi bez prekida. Zlonamjerni akteri mogu da koriste ove informacije za planiranje ciljanih napada tokom perioda visoke aktivnosti ili kada su mašine najranjivije.

Podaci koje Prometei prikuplja se filtriraju do njegove krajnje tačke komandovanja i kontrole, gdje se analiziraju za dalju eksploataciju. C2 infrastruktura igra ključnu ulogu u ukupnom radu ove porodice zlonamjernog softvera, omogućavajući zlonamjernim akterima da koordiniraju svoje napore i efikasno reaguju na promjenljive okolnosti.

 

Napredne mogućnosti

Jedno od najznačajnijih dostignuća u mogućnostima Prometei zlonamjernog softvera je implementacija tajnog pristupa (eng. backdoor) za daljinsko upravljanje. Ova funkcija omogućava zlonamjernim akterima da pristupe i manipulišu inficiranim sistemima, a da ih tradicionalne bezbjednosne mjere ne otkriju. Tajni pristup omogućavaju niz zlonamjernih aktivnosti, uključujući krađu podataka, raspoređivanje korisnih podataka i bočno kretanje unutar kompromitovanih mreža.

Posebno su vrijedni pažnje tehnički detalji koji okružuju ovaj tajni pristup. Korištenjem uspostavljenih protokola i komunikacionih kanala, programeri Prometei zlonamjernog softvera su stvorili efikasno sredstvo za zlonamjerne aktere da održe kontrolu nad inficiranim sistemima. Ovaj pristup takođe olakšava integraciju dodatnih modula ili korisnih podataka, dodatno proširujući mogućnosti botnet mreže inficiranih uređaja. U praktičnom smislu, prisustvo alata za udaljeni pristup (eng. remote access tool – RAT) unutar Prometei zlonamjernog softvera naglašava njegov potencijal kao svestrane i prilagodljive prijetnje.

Još jedna ključna karakteristika u novijim verzijama je implementacija algoritama za generisanje domena (eng. domain generation algorithms – DGA). Ovi sofisticirani alati omogućavaju zlonamjernim akterima da kreiraju niz domena komandovanja i kontrole (C2), koji se koriste za komunikaciju između kompromitovanih sistema i njihovih odgovarajućih C2 servera. Upotreba algoritama za generisanje domena (DGA) služi u nekoliko svrha: povećava otpornost tako što otežava braniocima da identifikuju i blokiraju infrastrukturu botnet mreže inficiranih uređaja, omogućava veću fleksibilnost u pogledu izbora i rotacije domena i pruža sredstva zlonamjernim akterima da održe kontrolu nad inficiranim sistemima čak i ako su primijenjene tradicionalne bezbjednosne mjere.

Sa operativne perspektive, funkcionalnost Prometei algoritama za generisanje domena (DGA) je posebno vrijedna pažnje. Generišući više domena na zahtev, zlonamjerni akteri mogu stvoriti iluziju da se njihova C2 infrastruktura sastoji od brojnih nezavisnih entiteta, a ne od jednog centralizovanog sistema. Ovaj pristup otežava braniocima da identifikuju i ometaju komunikacione kanale.

Pored naprednih mogućnosti tajnog pristupa i algoritama za generisanje domena (DGA), Prometei takođe ima mehanizme samoažuriranja dizajnirane da izbjegnu otkrivanje tradicionalnim bezbjednosnim mjerama. Ova ažuriranja omogućavaju zlonamjernim akterima da održe kontrolu nad inficiranim sistemima čak i ako se koriste alati zasnovani na potpisima ili analizi ponašanja za identifikaciju prisustva zlonamjernog softvera.

Sa tehničke tačke gledišta, Prometei funkcija samoažuriranja je posebno vrijedna pažnje zbog svoje sposobnosti da se prilagodi i evoluira kao odgovor na promjenljive mjere bezbjednosti. Uključivanjem novih modula, korisnih opterećenja ili tehnika izbjegavanja u svoju kôdnu bazu, zlonamjerni akteri mogu osigurati da njihov zlonamjerni softver ostane efikasan čak i kada branioci primjenjuju napredne bezbjednosne mjere.

 

UTICAJ

Ponovna pojava Prometei botnet mreže inficiranih uređaja ima značajne implikacije na bezbjednost Linux servera. Ova sofisticirana operacija zlonamjernog softvera cilja računarske resurse, otimajući ih za rudarenje kriptovaluta i krađu akreditiva. Dvostruka prijetnja ove porodice zlonamjernog softvera znači da su i Linux i Windows uređaji ranjivi na napade.

Kao rezultat toga, organizacije sa Linux serverima moraju preduzeti hitne mjere kako bi ojačale svoje preventivne kontrole. To uključuje pregled sistema za indikatore kompromitovanja (eng. indicators of compromise – IOC) i implementaciju robusnih odbrambenih stavova krajnjih tačaka i mreže. Detekcija anomalija i mogućnosti brzog reagovanja biće ključne u ublažavanju uticaja ove  mreže inficiranih uređaja.

Porodica zlonamjernog softvera Prometei je u aktivnom razvoju, uključujući nove module i metode u svoje mogućnosti. Najnovije verzije imaju mogućnost tajnog pristupa koja omogućavaju razne zlonamjerne aktivnosti, uključujući funkcije samoažuriranja za prikrivenost i izbjegavanje. Ovaj nivo sofisticiranosti stvara potrebu da se ostane na oprezu i da se osiguraju robusne bezbjednosne mjere.

Pored tehničkih implikacija, ovaj botnet takođe predstavlja značajne ekonomske rizike. Otimanjem računarskih resursa, zlonamjerni akteri mogu generisati značajan prihod kroz rudarenje kriptovaluta. Osim toga, krađa pristupnih podataka može dovesti do neovlaštenog pristupa osjetljivim podacima, što rezultira finansijskim gubicima za organizacije. Zbog toga uticaj Prometei na bezbjednost Linux servera je dalekosežan i zahteva hitnu pažnju IT stručnjaka.

 

ZAKLJUČAK

Ponovna pojava Prometei botnet mreže inficiranih uređaja predstavlja značajnu prijetnju za Linux servere širom sveta. Ova operacija zlonamjernog softvera je vremenom evoluirala, prilagođavajući svoje taktike i tehnike kako bi izbjegla otkrivanje. Samoažurirajuća priroda zlonamjernog softvera mu omogućava da zamjeni ili proširi svoje module na inficiranim sistemima bez potrebe za novim lancem infekcije. Stoga, bezbjednosni timovi moraju ostati budni u svojim naporima praćenja.

Primarni cilj Prometei botnet mreže inficiranih uređaja je da preuzme računarske resurse za rudarenje kriptovalute Monero, a istovremeno krade podatke za prijavu sa kompromitovanih sistema. Ovaj pristup dvostruke prijetnje čini otkrivanje izazovnim i zahteva ažuriranu analitiku ponašanja i metode otkrivanja zasnovane na potpisima, dok upotreba antiforenzičkog UPX pakovanja i dinamičke konfiguracije dodatno komplikuje proces identifikacije.

Sposobnost zlonamjernog softvera da izbjegne otkrivanje ima značajne implikacije za bezbjednosne timove, koji se sada moraju nositi sa sofisticiranijim protivnikom. Stoga je neophodno da ovi timovi održavaju robusne odbrambene stavove krajnjih uređaja i mreže, fokusirajući se na otkrivanje anomalija i mogućnosti brzog reagovanja.

Prometei botnet mreža inficiranih uređaja predstavlja stalni izazov za administratore Linux servera širom sveta. Stoga je ključno da ove osobe ostanu informisane o ovom evoluirajućem okruženju prijetnji kako bi se osiguralo da su njihovi sistemi adekvatno zaštićeni od budućih napada.

 

ZAŠTITA

Kako bi se zaštitili od Prometei botnet mreža inficiranih uređaja koja predstavlja opasnost za Linux servere, mogu se primijeniti sljedeće preporuke:

  1. Bezbjednosni timovi moraju ostati budni u praćenju svojih sistema u potrazi za znacima prisustva Prometei zlonamjernog softvera. Ovo uključuje implementaciju robusnih odbrambenih mjera na krajnjim uređajima i mreži koje se fokusiraju na otkrivanje anomalija i brz odgovor. Redovno pregledanje sistemskih dnevnika i podataka o događajima može pomoći u identifikaciji potencijalnih bezbjednosnih incidenata prije nego što eskaliraju;
  2. Administratori treba da pregledaju konfiguracije Linux servera kako bi se uvjerili da su sve potrebne ispravke, ažuriranja i bezbjednosna podešavanja na mjestu. Ovo uključuje provjeru integriteta sistemskih datoteka, onemogućavanje nepotrebnih usluga i pravilno konfigurisanje zaštitnih zidova. Dobro konfigurisan sistem je bezbjedniji, smanjujući rizik od eksploatacije od strane zlonamjernog softvera poput Prometei botnet;
  3. Kontrole pristupa treba strogo primjenjivati na svim Linux serverima kako bi se spriječio neovlašteni pristup ili modifikacije. Ovo uključuje implementaciju kontrole pristupa zasnovane na ulogama (eng. role-based access control – RBAC), ograničavanje korisničkih privilegija i korištenje autentifikacije u više koraka (eng. multi-factor authentication – MFA) kad god je to moguće. Redovno pregledanje i ažuriranje politika pristupa može pomoći da se osigura da samo ovlašćeno osoblje ima pristup osjetljivim sistemima;
  4. Prilikom komunikacije sa spoljnim servisima ili prenosa podatke između servera, koristiti bezbjedne protokole kao što su HTTPS, SFTP ili SSH umjesto nebezbjednih alternativa poput FTP ili Telnet. Ovo pomaže u sprečavanju napada prisluškivanja i neovlaštenog mijenjanja šifrovanjem cijele komunikacije;
  5. Redovno praćenje performansi sistema može pomoći u identifikaciji potencijalnih bezbjednosnih incidenata prije nego što eskaliraju. Potražiti neuobičajene skokove u korištenju procesora, mrežne aktivnosti ili unosa/ispisa diska koji mogu ukazivati na prisustvo zlonamjernog softvera. Implementacija robusne strategije praćenja pomoću alata kao što su Nagios, Prometheus ili Grafana može pružiti vrijedne uvide u zdravlje sistema;
  6. Održavanje svih softverskih komponenti ažuriranim je ključno u sprečavanju eksploatacije poznatim ranjivostima. Redovno ažurirati Linux jezgro, aplikacije i biblioteke kako bi se osiguralo posjedovanje najnovijih bezbjednosnih ispravki. Koristiti alate kao što su yum-cron (na RHEL/CentOS) ili apt-daily (na Ubuntu/Debian) da bi se automatizovalo ažuriranje paketa;
  7. Zaštitni zid internet aplikacija (eng. web application firewall – WAF) može pomoći u zaštiti od uobičajenih internet napada, uključujući SQL ubrizgavanje i napade međulokacijskog skriptovanja (eng. cross-site scripting – XSS). Zaštitni zidovi internet aplikacija (WAF) poput ModSecurity ili OWASP ESAPI mogu se konfigurisati da blokiraju zlonamjerni saobraćaj prije nego što stigne do Linux servera;
  8. Segmentacija mreža u manje podmreže može pomoći u obuzdavanju širenja zlonamjernog softvera u slučaju da dođe do infekcije. Ograničavanjem komunikacije između segmenata smanjuje se rizik od bočnog kretanja i otežava zlonamjernim akterima pristup osjetljivim sistemima;
  9. Implementacija sistema za detekciju upada (eng. Intrusion Detection Systems – IDS) rješenja poput Snort ili Suricata može obezbijediti praćenje i upozoravanje u realnom vremenu o potencijalnim bezbjednosnim incidentima. Ovi alati pomažu u identifikaciji zlonamjernih obrazaca saobraćaja i pokreću upozorenja kada se otkrije sumnjiva aktivnost;
  10. Korištenje autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće pomaže u sprečavanju neovlaštenog pristupa tako što zahteva od korisnika da obezbijede drugi oblik verifikacije pored svoje lozinke. Alati poput Google Authenticator ili Authy mogu se koristiti za implementaciju autentifikacije u dva koraka (2FA) na Linux serverima i drugim sistemima;
  11. Informisanost o novim prijetnjama je ključna u zaštiti od zlonamjernog softvera poput Prometei botnet. Redovno pregledanje bezbjednosnih savjeta dobavljača, prisustva industrijskim konferencijama i učestvovanje u internet forumima omogućava da se ostane u toku sa najnovijim informacijama o prijetnjama;
  12. Implementacija plana odgovora na sajber prijetnju pomaže da se osigura da organizacija može brzo i efikasno da reaguje kada se dogodi bezbjednosni incident. Ovo uključuje definisanje uloga i odgovornosti timova za reagovanje, uspostavljanje komunikacionih protokola sa zainteresovanim stranama i definisanje procedura za obuzdavanje i iskorjenjivanje infekcija zlonamjernim softverom.

Prateći ove preporuke, organizacije mogu značajno smanjiti rizik od eksploatacije od strane zlonamjernog softvera poput Prometei botnet i održavati robusne odbrambene krajnjih uređaja i mreže, fokusirajući se na otkrivanje anomalija i brz odgovor.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.