{"id":6159,"date":"2024-02-17T19:40:21","date_gmt":"2024-02-17T18:40:21","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6159"},"modified":"2024-02-17T19:40:21","modified_gmt":"2024-02-17T18:40:21","slug":"raspberry-robin-opasnost-unutar-usb-medija","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/","title":{"rendered":"Raspberry Robin, opasnost unutar USB medija"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/research.checkpoint.com\/2024\/raspberry-robin-keeps-riding-the-wave-of-endless-1-days\/\" target=\"_blank\" rel=\"noopener\"><em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver<\/a> predstavlja opasnost unutar <em>USB<\/em> medija za korisnike, a <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> ga aktivno koriste za preuzimanje i instaliranje skrivenog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> na <em>Windows<\/em> sistemima.<\/span><\/p>\n<div id=\"attachment_6162\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6162\" class=\"size-full wp-image-6162\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin.jpg\" alt=\"Raspberry Robin\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Raspberry-Robin-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6162\" class=\"wp-caption-text\"><em>Raspberry Robin, opasnost unutar USB medija; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#RASPBERRY_ROBIN\">RASPBERRY ROBIN<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#FUNKCIONISANJE\">FUNKCIONISANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#MEHANIZMI_ZLOUPOTREBE\">MEHANIZMI ZLOUPOTREBE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#CVE-2023-36802_ranjivost\">CVE-2023-36802 ranjivost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#Ranije_ranjivosti\">Ranije ranjivosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#PROMJENE\">PROMJENE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#Taktike_izbjegavanja\">Taktike izbjegavanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#Bocno_kretanje\">Bo\u010dno kretanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#Komunikacija\">Komunikacija<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver nastavlja da mu\u010di poslovne organizacije i pojedince, a jedan od podmuklijih sojeva u posljednje vreme je zlonamjerni softver <em>Raspberry<\/em> <em>Robin<\/em>. Nedavno je primije\u0107en porast distribucije ovog zlonamjernog softvera koji posjeduje jedinstven skup mogu\u0107nosti i zabrinjavaju\u0107i nivo otpornosti koji ga izdvaja od mnogih drugih prijetnji. Korisnici i poslovne organizacije kojima je stalo da za\u0161tite li\u010dne podatke ili poslovanje od razornih sajber napada, klju\u010dno je da razumiju\u00a0 prirodu zlonamjernog softvera <em>Raspberry<\/em> <em>Robin<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"RASPBERRY_ROBIN\"><\/span><span style=\"font-size: 14pt;\"><strong><em>RASPBERRY ROBIN<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry<\/em> <em>Robin<\/em> je zlonamjerni softver \u2013 <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/worm\/\" target=\"_blank\" rel=\"nofollow noopener\">ra\u010dunarski crv<\/a>, koji je sigurnosna kompanija <em>Red Canary<\/em> prvi put identifikovala 2021. godine. \u0160iri se prvenstveno preko prenosivih ure\u0111aja za skladi\u0161tenje podataka kao \u0161to su <em>USB<\/em> mediji da bi uspostavio upori\u0161te na zara\u017eenim sistemima i olak\u0161ao primjenu dodatnih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih tovara<\/a> (eng. <em>payloads<\/em>). Ovaj zlonamjerni softver se povezuje sa zlonamjernim akterima kao \u0161to su <em>EvilCorp<\/em>, <em>FIN11<\/em>, <em>TA505 <\/em>i<a href=\"https:\/\/sajberinfo.com\/en\/2023\/06\/11\/cyclops-ransomware-grupa-nudi-kradljivca-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\"><em> Clop<\/em> <em>ransomware<\/em> zlonamjernim akterom<\/a> i drugom operacijama zlonamjernog softvera ali njegovi autori i programeri koji ga odr\u017eavaju ostaju nepoznati.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zna\u010dajna promjena u nedavnim kampanjama je upotreba <em>Discord<\/em> platforme za isporuku zlonamjernih arhivskih datoteka na cilj, vjerovatno nakon slanja linkova do cilja elektronskom po\u0161tom. Arhive sadr\u017ee digitalno potpisanu izvr\u0161nu datoteku <em>OleView.exe<\/em> i zlonamjernu <em>DLL<\/em> datoteku <em>aclui.dll<\/em> koja se bo\u010dno u\u010ditava kada \u017ertva pokrene izvr\u0161nu datoteku, \u010dime se aktivira <em>Raspberry<\/em> <em>Robin<\/em> u sistemu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong>FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U pro\u0161losti, <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver je imao nekoliko vektora napada preko kojih je inficirao korisni\u010dke ure\u0111aje, a to je naj\u010de\u0161\u0107e radio preko <em>LNK<\/em> datoteke preru\u0161ene u <em>USB<\/em> medij ili mre\u017eno dijeljenje. U trenutnoj kampanji, tok napada zapo\u010dinje koje se preuzimaju sa <em>Discord<\/em> platforme kao prilog. Arhiva sadr\u017ei legitimnu <em>Microsoft<\/em> digitalno potpisanu izvr\u0161nu datoteku <em>OleView.exe<\/em> i zlonamjernu <em>DLL<\/em> datoteku <em>aclui.dll<\/em> koja je potpisana, ali potpis nije va\u017ee\u0107i.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>OleView.exe<\/em> datoteka se se koristi za u\u010ditavanje zlonamjerne <em>DLL<\/em> datoteke, koja je upakovani <em>Raspberry<\/em> <em>Robin<\/em> uzorak koji poziva iz glavne funkcije. Napada\u010di obi\u010dno koriste <em>Oleview.exe<\/em> izvr\u0161nu datoteku kao metu za bo\u010dno u\u010ditavanje, prvenstveno zato \u0161to obi\u010dno ne postoji na disku sama po sebi i zahteva <em>DLL<\/em> datoteku da bi funkcionisala. Zbog toga nije neobi\u010dno kada se <em>Oleview.exe<\/em> izvr\u0161na datoteka prona\u0111e pored <em>DLL<\/em> datoteke u nasumi\u010dnom direktorijumu izvr\u0161eni zajedno. Pored toga, po\u0161to su <em>DLL<\/em> datoteke potpisane od strane kompanije <em>Microsoft,<\/em> njima se podrazumijevano vjeruje u nekim <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnim rje\u0161enjima<\/a>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"MEHANIZMI_ZLOUPOTREBE\"><\/span><span style=\"font-size: 14pt;\"><strong>MEHANIZMI ZLOUPOTREBE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Raspberry<\/em> <em>Robin<\/em> ima vi\u0161e na\u010dina za eskalaciju svojih privilegija. Jedan od na\u010dina je zloupotreba <em>LPE<\/em> jezgra. Zlonamjerni softver \u010duva mehanizme zloupotrebe <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> pomo\u0107u <em>RC4<\/em> klju\u010da i ovi mehanizmi se koriste samo ako je ure\u0111aj \u017ertve ranjiv na njih. Ovo zna\u010di da \u0107e zlonamjerni softver <em>Raspberry<\/em> <em>Robin <\/em>poku\u0161ati da iskoristi mehanizam infekcije samo na odre\u0111enim verzijama <em>Windows<\/em> operativnog sistema i njegovim izvr\u0161nim verzijama (eng. <em>build numbers<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U novim uzorcima, zlonamjerni softver ubrizgava eksploataciju jezgra u <em>cleanmgr.exe<\/em> datoteku (ranije je to bila <em>winver.exe<\/em> datoteka) koriste\u0107i metod ubrizgavanja <em>KernelCallbackTable<\/em> (kori\u0161\u0107en i u prethodnim uzorcima). <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver ubacuje jedinstveni program za u\u010ditavanje koji se nalazi u memoriji i u\u010ditava eksterni <em>PE<\/em> koji je zloupotreba. U trenutnoj verziji je do\u0161lo do promjene mehanizma za zloupotrebu u odnosu na prethodne iskori\u0161tavanjem <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-36802\" target=\"_blank\" rel=\"noopener\"><em>CVE-2023-36802<\/em><\/a> ranjivost.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CVE-2023-36802_ranjivost\"><\/span><span style=\"font-size: 14pt;\"><strong><em>CVE-2023-36802<\/em> ranjivost<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>CVE-2023-36802<\/em> je ranjivost tipske konfuzije u <em>Microsoft Streaming Service Proxy<\/em> servisu koji omogu\u0107ava lokalnom napada\u010du da eskalira privilegije. Ranjivost je otkrivena jo\u0161 12. septembra 2023. godine i progla\u0161ena je da je neko vreme bila aktivno eksploatisana prije nego \u0161to je kori\u0161\u0107ena kao ranjivost <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a>, ali nisu date informacije o grupi koja ju je koristila. Otkriveno je da je eksploatacija za <em>CVE-2023-36802<\/em> prodata na forumima na Mra\u010dnom internetu u februaru 2023. godine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ranije_ranjivosti\"><\/span><span style=\"font-size: 14pt;\"><strong>Ranije ranjivosti<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Raniji uzorci zlonamjernog softvera <em>Raspberry<\/em> <em>Robin<\/em> su koristili ranjivost <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-29360\" target=\"_blank\" rel=\"noopener\"><em>CVE-2023-29360<\/em><\/a> koja je javno objavljena u junu 2023. godine, a <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver je po\u010deo iskori\u0161tavati u avgustu 2023. godine. Ono \u0161to je zanimljivo za iskori\u0161tavanje ove ranjivost je to da je pisac eksploatacije imao radni uzorak pre nego \u0161to je postojao poznati na <em>GitHub<\/em> platformi kao i koliko brzo ga je <em>Raspberry<\/em> <em>Robin<\/em> po\u010deo koristiti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iskori\u0161tavanje ove ranjivosti ima isti program za u\u010ditavanje i istu \u0161emu zamagljivanja za stringove kao i kod <em>CVE-2023-36802<\/em> ranjivosti. Zanimljivo je da se ova ranjivost tako\u0111e koristi isti upravlja\u010dki program (eng. <em>driver<\/em>) \u0161to zna\u010di da pisac eksploatacije radi na toj funkcionalnosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tokom 2022. godine, <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver je koristio ranjivost <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-1732\" target=\"_blank\" rel=\"noopener\"><em>CVE-2021-1732<\/em><\/a> godinu dana nakon objave, dok je za <em>CVE-2023-36802<\/em> bilo potrebno dva mjeseca. Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera skra\u0107uju vrijeme potrebno za zloupotrebu ranjivosti za eskalaciju privilegija, \u0161to im poma\u017ee da du\u017ee vremena koriste ranjivost, po\u0161to je \u010dinjenica da korisnici ne a\u017euriraju <em>Windows<\/em> operativni sistem \u010desto.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"PROMJENE\"><\/span><span style=\"font-size: 14pt;\"><strong>PROMJENE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Funkcionisanje <em>Raspberry<\/em> <em>Robin<\/em> zlonamjernog softvera je manje vi\u0161e nepromijenjeno. On i dalje funkcioni\u0161e u vi\u0161e faza koje su uskladi\u0161tene u memoriji u prilago\u0111enom formatu koji se raspakuju i pokrec\u0301u bez informacije zaglavlja. K\u00f4d u svim fazama je jako zamagljen na isti na\u010din, uklju\u010duju\u0107i i sam glavni teret. Glavna faza anti-analize i dalje sadr\u017ei metode koje je imala u prethodnoj verziji. Me\u0111utim, u glavnom korisnom teretu, autori zlonamjernog softvera su dodali neke nove funkcije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Taktike_izbjegavanja\"><\/span><span style=\"font-size: 14pt;\"><strong>Taktike izbjegavanja<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<ul>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver provjerava da li postoje kakve promjene u <em>API<\/em> interfejsu, kao \u0161to su <em>GetUserDefaultLangID<\/em> i <em>GetModuleHandleW<\/em> da bi otkrio alate za pra\u0107enje, upore\u0111uju\u0107i prvi bajt ovih <em>API<\/em> interfejsa sa o\u010dekivanim vrijednostima kako bi izbjegao analizu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver prekida procese kao \u0161to su <em>runlegacycplelevated.exe<\/em> i <em>runonce.exe<\/em> da bi izbjegao otkrivanje i osigurao da njegove zlonamjerne aktivnosti mogu da nastave sa povi\u0161enim privilegijama bez podizanja alarma,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver primjenjuje a\u017euriranje na <em>NtTraceEvent API<\/em> interfejsu da bi zaobi\u0161ao prac\u0301enje doga\u0111aja na <em>Windows<\/em> operativnom sistemu, spre\u010davaju\u0107i evidentiranje njegovih zlonamjernih aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver implementira metode za blokiranje isklju\u010divanja sistema putem <em>AbortSystemShutdownW<\/em> ili povratnog poziva prozora pomo\u0107u <em>ShutdownBlockReasonCreate<\/em>, omogu\u0107avaju\u0107i neprekidan rad,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver vr\u0161i provjeru udaljene radne povr\u0161ine, odnosno odre\u0111uje da li je sistem pod daljinskom kontrolom tako \u0161to provjerava <em>GetSystemMetrics<\/em> povratnu vrijednost, ispituje vrijednosti sistemski registara i tra\u017ei indikatore kori\u0161\u0107enja udaljene radne povr\u0161ine,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver tra\u017ei upravlja\u010dke programe filtera <em>Unified Write Filter<\/em> \u2013 <em>UWF<\/em> da bi se identifikovali sistemi za\u0161ti\u0107eni od trajnih promjena, podsti\u010du\u0107i ga da se o\u010disti i ponovo pokrene kako bi pobjegao iz okru\u017eenja u kojima bi njegova postojanost mogla biti ugro\u017eena.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bocno_kretanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Bo\u010dno kretanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver je u novoj verziji je malo promijenio svoju logiku bo\u010dnog kretanja. Ovaj zlonamjerni softver sada koristi <em>PAExec.exe<\/em> koji je dizajniran da dozvoli administratorima da pokrec\u0301u procese na udaljenim sistemima, a koji je razvijen od strane <em>Sysinternals<\/em> (<em>Microsoft<\/em>) i \u0161to se \u0161iroko koristi i prepoznaje u <em>IT<\/em> zajednici za daljinsko izvr\u0161avanje procesa. Ostali dijelovi bo\u010dnog kretanja zlonamjernog softvera ostali su isti. Na primjer, korisni teret koji treba da se izvr\u0161i je i dalje samoraspakujuc\u0301i paket i konfiguracija je u istom \u0161ablonu i sintaksi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Komunikacija\"><\/span><span style=\"font-size: 14pt;\"><strong>Komunikacija<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Metode komunikacije <em>Raspberry<\/em> <em>Robin<\/em> zlonamjernog softvera su se neznatno promjenile. Po\u010dinje sa poku\u0161ajem kontaktiranja legitimne i dobro poznate <em>Tor<\/em> domene i provjerava da li dobija bilo kakav odgovor. Ako nema odgovora, <em>Raspberry<\/em> <em>Robin<\/em> ne poku\u0161ava da uspostavi komunikaciju sa pravim <em>C2<\/em> serverima. Ako dobije odgovor, <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver nasumi\u010dno bira domen sa druge liste koja sadr\u017ei 60 tvrdo k\u00f4diranih adresa <em>onion <\/em>adresa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Razlika u odnosu na prethodne uzorke je \u0161to <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver sada koristi <em>V3<\/em> <em>onion <\/em>adrese, a razlog za to je vjerovatno zato \u0161to su <em>V2<\/em> <em>onion<\/em> adrese zvani\u010dno zastarele i <em>Tor<\/em> pretra\u017eiva\u010d ih vi\u0161e ne podr\u017eava u najnovijoj verziji. Podaci koji se \u0161alju su i dalje veoma sli\u010dni prethodnoj verziji sa malim brojem podataka koji su dodati kao stablo procesa zlonamjernog softvera i nazivi datoteka. Ovi podaci su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovani<\/a> sa <em>RC4<\/em>, a zatim <em>b64<\/em> k\u00f4dirani kao putanja u komunikaciji sa <em>C2<\/em>. Komunikacija izme\u0111u <em>Raspberry<\/em> <em>Robin<\/em> zlonamjernog softvera i <em>C2<\/em> se obavlja preko <em>Tor<\/em> modula koji se ubacuje u drugi proces kao <em>rundll32.exe<\/em> ili <em>regsvr32.exe<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kao i mnoge porodice zlonamjernog softvera <em>Raspberry<\/em> <em>Robin<\/em>, konstantno evoluira kako bi izbjegao otkrivanje i odr\u017eao prednost. Nedavno primije\u0107ene promjene u tehnikama ovog zlonamjernog softvera koje podrazumijevaju upotrebu ranjivosti nultog dana, samo nagla\u0161avaju odlu\u010dnost njegovih operatera da iskoriste slabosti pre nego \u0161to bezbjednosna a\u017euriranja postanu \u0161irok dostupna.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver ote\u017eava analizu i otkrivanje kori\u0161tenjem te\u0161kog zamagljivanja k\u00f4da, stalno pakuju\u0107i i prikrivaju\u0107i k\u00f4d kako bio omeo sigurnosne istra\u017eiva\u010de koji poku\u0161avaju da razumiju njegovo unutra\u0161nje funkcionisanje. Ovo dodaje sloj za\u0161tite koji poma\u017ee da zlonamjerni softver <em>Raspberry<\/em> <em>Robin<\/em> ostane neotkriven. Pored toga varijante ovog zlonamjernog softvera koriste <em>Tor<\/em> mre\u017eu za komunikaciju, tehnologiju dizajniranu za anonimnost, da prikriju svoju komunikaciju sa komandnim i kontrolnim serverima, \u0161to ote\u017eava napore prac\u0301enja i omogu\u0107ava zlonamjernom softveru da odr\u017eava skrivenu vezu sa zlonamjernim akterima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Raspberry<\/em> <em>Robin<\/em> prevazilazi obi\u010dne zlonamjerne softvere, jer je dizajniran da djeluje kao ulaz za daleko razornije sajber napade. Ako se ne kontroli\u0161e, \u017ertve bi se mogle suo\u010diti sa stra\u0161nim posljedicama. Napada\u010di mogu da izvr\u0161e kra\u0111u osjetljivih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podatka<\/a>, uklju\u010duju\u0107i akreditive za prijavu, finansijske informacije ili privatne datoteke. To mo\u017ee dovesti do <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111e identiteta<\/a>, finansijskih gubitaka ili \u010dak gubitka reputacije. Za korisnike i poslovne organizacije, opasnost ne prestaje ovdje, jer je primije\u0107ena veza izme\u0111u ovog zlonamjernog softvera i <em>ransomware<\/em> bandi. To zna\u010di da bi manji napad na kriti\u010dne sisteme mogao iznenada dovesti do toga ovi sistemi budu \u0161ifrovani.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><span style=\"font-size: 14pt;\">Pored toga, nakon \u0161to stekne upori\u0161te na zara\u017eenoj ma\u0161ini, <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver mo\u017ee omogu\u0107iti napada\u010dima da se kre\u0107u bo\u010dno unutar cijele poslovne mre\u017ee, \u0161to omogu\u0107ava tiho izvi\u0111aju mete visoke vrijednosti, pove\u0107avaju\u0107i obim i potencijal \u0161tete po\u010detne infekcije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U borbi protiv <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerno softvera budnost je uslov o kojem se ne mo\u017ee pregovarati. Primjena nekih osnovnih pravila za\u0161tite u <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> mo\u017ee dramati\u010dno pove\u0107ati bezbjednosni polo\u017eaj korisnika i poslovnih organizacija:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Podizanje svijesti o opasnostima kori\u0161tenja <em>USB<\/em> medija i ohrabrivanje korisnika da se kolne nepoznatih ure\u0111aja. Tamo gdje se <em>USB<\/em> mediji upotrebljavaju, potrebno je razmisliti o dono\u0161enju smjernica koje ograni\u010davaju ili potpuno onemogu\u0107avaju kori\u0161tenje <em>USB<\/em> medija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje provjerenih sigurnosnih rije\u0161enja opremljenih naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije <em>Raspberry<\/em> <em>Robin <\/em>zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke za <em>Raspberry<\/em> <em>Robin<\/em> zlonamjerni softver,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pra\u0107enje mre\u017enog saobra\u0107aja radi neuobi\u010dajenih aktivnosti i porasta zahteva, kao i redovni pregled i a\u017euriranje procesa i alata za analizu mre\u017enog saobra\u0107aja.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Raspberry Robin zlonamjerni softver predstavlja opasnost unutar USB medija za korisnike, a zlonamjerni akteri ga aktivno koriste za preuzimanje i instaliranje skrivenog zlonamjernog softvera na Windows sistemima. Zlonamjerni softver nastavlja da mu\u010di poslovne organizacije&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6162,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[628,773,776,775,774,770,771,93,341,133,769,772,315,143],"class_list":["post-6159","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2","tag-clop","tag-cve-2021-1732","tag-cve-2023-29360","tag-cve-2023-36802","tag-evilcorp","tag-fin11","tag-malware","tag-payload","tag-ransomware","tag-raspberry-robin","tag-ta505","tag-usb","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6159"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6159\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6162"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}