{"id":5632,"date":"2023-11-09T20:41:54","date_gmt":"2023-11-09T19:41:54","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5632"},"modified":"2023-11-09T20:41:54","modified_gmt":"2023-11-09T19:41:54","slug":"novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/","title":{"rendered":"Novi GootLoader izbjegava otkrivanje i brzo se \u0161iri"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/securityintelligence.com\/x-force\/gootbot-gootloaders-new-approach-to-post-exploitation\/\" target=\"_blank\" rel=\"noopener\">Utvr\u0111eno je da nova varijanta <\/a>zlonamjernog softvera <em>GootLoader<\/em> pod nazivom <em>GootBot<\/em> olak\u0161ava <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> na kompromitovanim sistemima i izbjegava otkrivanje.<\/span><\/p>\n<div id=\"attachment_5636\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5636\" class=\"size-full wp-image-5636\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader.jpg\" alt=\"GootLoader malware\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/11\/GootLoader-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5636\" class=\"wp-caption-text\"><em>Novi GootLoader izbjegava otkrivanje i brzo se \u0161iri; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#GOOTLOADER\">GOOTLOADER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#GOOTBOT\">GOOTBOT<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#Bocno_kretanje\">Bo\u010dno kretanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#Prikupljanje_osnovnih_podataka\">Prikupljanje osnovnih podataka<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/novi-gootloader-izbjegava-otkrivanje-i-brzo-se-siri\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"GOOTLOADER\"><\/span><span style=\"font-size: 14pt;\"><strong>GOOTLOADER<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>GootLoader<\/em>, \u0161to se mo\u017ee zaklju\u010diti iz naziva, je <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> sposoban da preuzme zlonamjerni softver sljede\u0107e faze nakon \u0161to namami potencijalne \u017ertve kori\u0161tenjem taktike <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/15\/seo-poisoning\/\" target=\"_blank\" rel=\"nofollow noopener\">trovanja optimizacijom pretra\u017eiva\u010da<\/a> (<em>SEO<\/em>), nakon \u010dega bi napada\u010di u\u010ditavali <em>ransomware<\/em>, <em>IcedID<\/em>, <em>SystemBC<\/em> i <em>CobaltStrike<\/em> alate ili koristili <em>RDP<\/em> za \u0161irenje unutar mre\u017ee. Aktivan je od 2014. godine i povezan je sa zlonamjernim akterom koji se prati kao <em>Hive0127<\/em> (ili <em>UNC2565<\/em>). <em>Hive0127<\/em> obi\u010dno cilja Internet pretrage za ugovore, pravne forme ili druge dokumente u vezi sa poslovanjem.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Metama se servira kompromitovana Internet lokacija modifikovana da se pojavljuje kao legitimni forum na vrhu stranice rezultata zatrovanog pretra\u017eiva\u010da. U okviru razgovora na forumu, mete se prevarom nagovaraju da preuzmu arhivsku datoteku koja se odnosi na njihove po\u010detne termine za pretragu, ali koja zapravo sadr\u017ei <em>GootLoader<\/em> zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"GOOTBOT\"><\/span><span style=\"font-size: 14pt;\"><strong>GOOTBOT<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> koji stoje iza <em>GootLoader <\/em>zlonamjernog softvera izvr\u0161ili su i uvo\u0111enje sopstvenog prilago\u0111enog bota u kasnim fazama njihovog lanca napada je poku\u0161aj da se izbjegnu otkrivanje kada se koriste gotovi alati za <em>C2<\/em> kao \u0161to su <em>CobaltStrike<\/em> ili <em>RDP<\/em>. Ova nova varijanta je lagan, ali efikasan zlonamjerni softver koji omogu\u0107ava napada\u010dima da se brzo \u0161ire \u0161irom mre\u017ee i raspore\u0111uju dalje korisne sadr\u017eaje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Za razliku od <em>GootLoader<\/em> zlonamjernog softvera koji je ranije posmatran kao zlonamjerni softver za po\u010detni pristup, kampanje koje koriste <em>GootBot<\/em> za bo\u010dno kretanje predstavljaju zna\u010dajnu promjenu u pona\u0161anju nakon infekcije, jer ovaj prilago\u0111eni alat omogu\u0107ava zlonamjernim akterima da ostanu ispod radara du\u017ei period.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>GootBot<\/em> se preuzima kao <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a> nakon infekcije <em>GootLoader<\/em> zlonamjernim softverom i ima mogu\u0107nost da prima <em>C2<\/em> zadatke u obliku \u0161ifrovanih <em>PowerShell<\/em> skripti, koje se pokrec\u0301u kao poslovi. Za razliku od <em>GootLoader <\/em>zlonamjernog softvera, <em>GootBot<\/em> je lagana zamagljena <em>PowerShell<\/em> skripta, koja sadr\u017ei samo jedan <em>C2<\/em> server.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>GootBot<\/em> implantati, od kojih svaki sadr\u017ei druga\u010diji <em>C2<\/em> server koji radi na <em>WordPress<\/em> lokaciji pod kontrolom zlonamjernog aktera, \u0161irili su se po zara\u017eenim domenima preduzec\u0301a u velikom broju u nadi da \u0107e do\u0107i do kontrolora domena. Ova promjena u pona\u0161anju u procesu infekcije i alatima pove\u0107ava rizik od uspje\u0161nih faza nakon eksploatacije, kao \u0161to je aktivnost pridru\u017eenog <em>ransomvare<\/em> zlonamjernog softvera povezana sa <em>GootLoader <\/em>zlonamjernim softverom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bocno_kretanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Bo\u010dno kretanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>GootBot<\/em> je dizajniran da se \u0161iri bo\u010dno po okolini. Kada se inicijalni ure\u0111aj inficira, <em>GootBot<\/em> prima brojne skripte koje nabrajaju ure\u0111aj kao i domen. Primije\u0107eno je da nekoliko skripti koje koriste razli\u010dite tehnike za \u0161irenje ugra\u0111enog <em>GootBot<\/em> korisnog tereta na druge ure\u0111aje. <em>C2<\/em> infrastruktura <em>GootBot <\/em>zlonamjernog softvera mo\u017ee brzo da generi\u0161e veliki broj <em>GootBot<\/em> korisnih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a> koji \u0107e biti distribuirani, svaki sa razli\u010ditom <em>C2<\/em> adresom za kontakt. Oni se primjenjuju pomo\u0107u skripti za bo\u010dno kretanje na automatizovan na\u010din, \u0161to tako\u0111e mo\u017ee dovesti do toga da se ure\u0111aji ponovo inficiraju vi\u0161e puta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Prikupljanje_osnovnih_podataka\"><\/span><span style=\"font-size: 14pt;\"><strong>Prikupljanje osnovnih podataka<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>GootBot <\/em>pokrec\u0301e skriptu za izvi\u0111anje kao jedan od svojih prvih zadataka koja sadr\u017ei jedinstveni <em>GootBot<\/em> <em>ID<\/em> za ure\u0111aj, a prikuplja sljede\u0107e informacije i \u0161alje zlonamjernom akteru:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Domensko korisni\u010dko ime<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Operativni sistem<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Arhitektura sistema (<em>x64\/x86<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Domenski kontroler<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pokrenuti procesi<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Bezbjednosni identifikator (<em>SID<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Lokalnu <em>IP<\/em> adresu<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Naziv ure\u0111aja<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Otkri\u0107e ove <em>GootBot<\/em> varijante nagla\u0161ava napor koji \u0107e napada\u010di ulo\u017eiti da izbjegnu otkrivanje i djeluju prikriveno. Ovo je veoma efikasan zlonamjerni softver koji omogu\u0107ava napada\u010dima da se kre\u0107u bo\u010dno kroz okru\u017eenje sa lako\u0107om i brzinom i pro\u0161iruju svoje napade. Pored toga, kori\u0161tenje velikih grupa kompromitovanih <em>WordPress<\/em> domena od strane <em>Hive0127<\/em> ote\u017eava bezbjednosnim stru\u010dnjacima da blokiraju zlonamjerni saobra\u0107aj. Po\u0161to <em>GootLoader<\/em> \u010desto slu\u017ei za omogu\u0107avanje inicijalnog pristupa, svest o ovim tehnikama, taktikama i procedurama uz alate koji se razvijaju je va\u017ena za ubla\u017eavanje rizika od uticajnih aktivnosti nakon eksploatacije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ul>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena sigurnosna rije\u0161enja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da biste efikasno identifikovali i sprije\u010dili zlonamjerne aktivnosti.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Poslovne organizacije treba da osiguraju da je evidentiranje blokova skripti omogu\u0107eno i da prate relevantne evidencije <em>Windows<\/em> doga\u0111aja.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pratiti izvr\u0161avanje <em>JavaScript<\/em> datoteka koje su preuzete unutar <em>ZIP<\/em> arhiva.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pratiti pokretanje planiranih zadataka pomo\u0107u <em>wscript.exe<\/em> za izvr\u0161avanje <em>JavaScript<\/em> datoteka.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pratiti mre\u017eni saobra\u0107aj za <em>HTTP<\/em> zahtjevima sa adresama koje se zavr\u0161avaju sa \u201c<em>xmlrpc.php<\/em>\u201d<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pratiti bo\u010dno kretanje preko <em>WinRM<\/em>, <em>WMI<\/em> ili <em>SCM.<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Onemogu\u0107iti ili nadgledajte komandu \u201c<em>Start-Job<\/em>\u201d u svom okru\u017eenju.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Utvr\u0111eno je da nova varijanta zlonamjernog softvera GootLoader pod nazivom GootBot olak\u0161ava bo\u010dno kretanje na kompromitovanim sistemima i izbjegava otkrivanje. GOOTLOADER GootLoader, \u0161to se mo\u017ee zaklju\u010diti iz naziva, je zlonamjerni softver sposoban da preuzme&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5636,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[570,569,93],"class_list":["post-5632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-gootbot","tag-gootloader","tag-malware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5632"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5632\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5636"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}