{"id":4762,"date":"2023-05-03T09:05:08","date_gmt":"2023-05-03T07:05:08","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4762"},"modified":"2023-05-03T09:05:08","modified_gmt":"2023-05-03T07:05:08","slug":"napadaci-koriste-aukill-alatku-za-gasenje-sigurnosnog-softvera","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/03\/napadaci-koriste-aukill-alatku-za-gasenje-sigurnosnog-softvera\/","title":{"rendered":"Napada\u010di koriste AuKill alatku za ga\u0161enje sigurnosnog softvera"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su primijetili da napada\u010di koriste AuKill<\/em> alatku<\/a> za ga\u0161enje sigurnosnog softvera kori\u0161tenjem tehnike donesite svoj ranjivi upravlja\u010di softver (eng. Bring Your Own Vulnerable Driver \u2013 BYOVD<\/em>).<\/span><\/p>\n

\"AuKill

Napada\u010di koriste AuKill alatku za ga\u0161enje sigurnosnog softvera; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

\u0160ta je AuKill<\/em>?<\/strong><\/span><\/h2>\n

AuKill<\/em> je nova alatka za hakovanje koja se sve vi\u0161e koristi me\u0111u zlonamjernim napada\u010dima<\/a> zbog svojih skrivenih mogu\u0107nosti. Ovaj alat omogu\u0107ava napada\u010du da ugasi softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response \u2013 EDR<\/em>) koji koriste poslovne organizacije kao bi za\u0161titile svoje poslovno okru\u017eenje. Tokom tri mjeseca pra\u0107enja, sigurnosni istra\u017eiva\u010di su otkrili \u0161est razli\u010ditih verzija ovoga alata i analizirali promjene.<\/span><\/p>\n

AuKill<\/em> se koristi za ubacivanje ranjivog Windows<\/em> upravlja\u010dkog softvera procexp.sys<\/em> odmah pored onog koji koristi Microsoft<\/em> Process<\/em> Explorer<\/em> u verziji 16.32<\/em>, koji je legitimna i veoma popularna alatka koja poma\u017ee u prikupljanju informacija o aktivnim Windows<\/em> procesima.<\/span><\/p>\n

 <\/p>\n

Kako napad funkcioni\u0161e?<\/strong><\/span><\/h3>\n

AuKill<\/em> alatka cilja Process<\/em> Explorer<\/em> u verziji 16.32<\/em>, odnosno zastarjeli upravlja\u010di softver koji ova verzija koristi, kori\u0161tenjem tehnike donesite svoj ranjivi upravlja\u010di softver. Odmah nakon infekcije ure\u0111aja, dolazi do ubacivanja ranjivog upravlja\u010dkog softvera procexp.sys<\/em> na istu lokaciju gdje se\u00a0 nalazi legitimni upravlja\u010di softver za Process<\/em> Explorer<\/em>.<\/span><\/p>\n

U sljede\u0107em koraku dolazi do provjere da li je pokrenut sa sistemskim privilegijama. Ako nije poku\u0161ava se zloupotrijebiti TrustedInstaller<\/em> Windows<\/em> Modules<\/em> Installer<\/em> servs kako bi se do\u0161lo do potrebnih privilegija. Nakon toga, dolazi do pokretanja nekoliko procesa koji skeniranju i gase softver za detekciju i odgovor na prijetnje (EDR<\/em>).<\/span><\/p>\n

 <\/p>\n

\u201cAlat je kori\u0161\u0107en tokom najmanje tri incidenta sa ransomware-om od po\u010detka 2023. da bi se sabotirala za\u0161tita mete i primijenio ransomware. U januaru i februaru, napada\u010di su primijenili ransomware Medusa Locker nakon upotrebe alata; u februaru, napada\u010d je koristio AuKill neposredno pre postavljanja Lockbit ransomware-a.\u201d<\/em><\/span><\/p>\n

– Sophos X-Ops –<\/em><\/span><\/p>\n<\/blockquote>\n

Za\u0161tita<\/strong><\/span><\/h4>\n

Kako bi se za\u0161titili od ove vrste napada korisnici bi trebao da:<\/span><\/p>\n