{"id":6195,"date":"2024-02-23T19:48:20","date_gmt":"2024-02-23T18:48:20","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6195"},"modified":"2024-02-23T19:48:20","modified_gmt":"2024-02-23T18:48:20","slug":"glupteba-botnet","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/","title":{"rendered":"Glupteba botnet"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/glupteba-malware-uefi-bootkit\/#post-132484-_9pnlcgdp770l\" target=\"_blank\" rel=\"noopener\">Sigurnosni istra\u017eiva\u010di su utvrdili<\/a> da <em>Glupteba<\/em> <em>botnet<\/em> koristi prethodno nedokumentovanu <em>Unified Extensible Firmware Interface<\/em> (<em>UEFI<\/em>) <em>bootkit<\/em> funkciju koja mu dodaje jo\u0161 jedan sloj sofisticiranosti i skrivenosti.<\/span><\/p>\n<div id=\"attachment_6199\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6199\" class=\"size-full wp-image-6199\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet.jpg\" alt=\"Glupteba\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Glupteba-botnet-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6199\" class=\"wp-caption-text\"><em>Glupteba botnet; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#GLUPTEBA\">GLUPTEBA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#DISTRIBUCIJA\">DISTRIBUCIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#UEFI_BOOTKIT_FUNKCIONISANJE\">UEFI BOOTKIT FUNKCIONISANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#NOVA_FUNKCIONALNOST\">NOVA FUNKCIONALNOST<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/23\/glupteba-botnet\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"GLUPTEBA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>GLUPTEBA<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Glupteba<\/em> <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> je prije bio poznat po kriptootimcama (eng. <em>cryptojacking<\/em>), kra\u0111i li\u010dnih podataka korisnika, omogu\u0107avanju <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>pristupa i primjene <em>proxy<\/em> komponenti na inficiranom ure\u0111aju. A poznat je i po kori\u0161tenju <em>Bitcoin blockchain<\/em> sistema kao rezervnog sistema komande i kontrole (<em>C2<\/em>), \u0161to ote\u017eava njegovo uklanjanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>Glupteba<\/em> zlonamjerni softver mo\u017ee da isporu\u010duje <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a> (eng. <em>payload<\/em>), preuzima korisni\u010dke akreditive, podatke o kreditnim karticama, vr\u0161i prevaru sa oglasima ili da preuzme akreditive za rutere za dobijanje udaljenog administrativnog pristupa. Tokom protekle decenije, ovaj modularni zlonamjerni softver se usavr\u0161avao, postaju\u0107i sofisticirana prijetnja koja koristi slo\u017eene vi\u0161estepene lance zaraze kako bi zaobi\u0161la detekciju sigurnosnih rje\u0161enja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cZlonamjerni akteri \u010desto distribuiraju Glupteba-u kao dio slo\u017eenog lanca infekcije koji istovremeno \u0161iri nekoliko porodica zlonamjernog softvera. Ovaj lanac infekcije \u010desto po\u010dinje sa PrivateLoader ili SmokeLoader infekcijom koja u\u010ditava druge porodice zlonamjernog softvera, a zatim u\u010ditava Glupteba-u.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Lior Rochberger and Dan Yashnik, Palo Alto Networks Unit 42 &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA\"><\/span><span style=\"font-size: 14pt;\"><strong>DISTRIBUCIJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Distribucija <em>Glupteba<\/em> zlonamjernog softvera je bila poreme\u0107ena u decembru 2021. godine od strane <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/google-disrupts-massive-glupteba-botnet-sues-russian-operators\/\" target=\"_blank\" rel=\"noopener\">kompanije <em>Google<\/em><\/a><em>,<\/em> da bi ponovo po\u010dela u decembru 2022. godine. Zlonamjerni softver je nastavio svoje aktivnosti i tokom 2023. godine u \u0161iroko rasprostranjenoj kampanji koja poga\u0111a vi\u0161e regiona i industrija. Sli\u010dno drugim kampanjama, <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> \u0161ire <em>Glupteba<\/em> putem distribucije zasnovane na vebu i velikih <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napada koriste\u0107i instalacione pakete datoteka i piratski softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kampanja se sastoji iz nekoliko faza, a prva faza napada mami korisnike da preuzmu zlonamjerne <em>ZIP<\/em> datoteke la\u017enih instalacionih datoteka koje se la\u017eno predstavljaju kao neki drugi softver. Kada korisnik preuzme <em>ZIP<\/em> datoteku i poku\u0161a da instalira softver, po\u010dinje lanac infekcije. Zlonamjerni akteri \u010desto vr\u0161e distribuciju <em>Glupteba<\/em> zlonamjernog softvera kao dio slo\u017eenog lanca infekcije koji istovremeno \u0161iri nekoliko porodica zlonamjernog softvera, gdje se na kraju u\u010ditava <em>Glupteba<\/em> zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UEFI_BOOTKIT_FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong><em>UEFI<\/em> <em>BOOTKIT<\/em> FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U fazi prije izbora ure\u0111aja za pokretanje, upravlja\u010dki softver se u\u010ditava iz memorije serijskog perifernog interfejsa (eng. <em>Serial Peripheral Interface \u2013 SPI<\/em>). Zatim <em>EFI<\/em> sistemska particija (<em>ESP<\/em>), koja se nalazi ure\u0111aju za pokretanje sistema i koja sadr\u017ei <em>Windows Boot Manager<\/em> u\u010ditava, dok ure\u0111aj u\u010ditava <em>Windows<\/em> operativni sistem. Implant zlonamjernog softvera je dovoljan da u <em>EFI<\/em> sistemskoj particiji izvr\u0161i k\u00f4d prije nego \u0161to se <em>Windows<\/em> operativni sistem pokrene, gdje mo\u017ee lako da poremeti razli\u010dite bezbjednosne mehanizme.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Druga mogu\u0107nost je ubacivanje u <em>SPI<\/em> memoriju koja izvr\u0161ava k\u00f4d u ranijim fazama procesa pokretanja, omogu\u0107avaju\u0107i jo\u0161 ve\u0107u snagu i fleksibilnost. Me\u0111utim, primjena zlonamjernog softvera koji koristi implant upravlja\u010dkog softvera u fle\u0161 memoriji zahteva ve\u0107e privilegije nego kori\u0161tenje <em>ESP<\/em> implantata, pa je ovo slo\u017eenija opcija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVA_FUNKCIONALNOST\"><\/span><span style=\"font-size: 14pt;\"><strong>NOVA FUNKCIONALNOST<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sada je primije\u0107eno kako <em>Glupteba<\/em> zlonamjerni softver zloupotrebljava proces pokretanja <em>UEFI<\/em> funkcije. Ovo predstavlja kontinuirani pomak ka prikrivenijim i upornijim vektorima napada, jer se <em>UEFI<\/em> upravlja\u010dki softver (eng. <em>firmware<\/em>) koristi za pokretanje sekvence podizanja sistema prije nego \u0161to se operativni sistem u\u010dita, \u0161to otkrivanje i otklanjanje zlonamjernog softvera \u010dini posebno izazovnim.<\/span><\/p>\n<blockquote><p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u201cOvaj bootkit mo\u017ee da interveni\u0161e i kontroli\u0161e proces pokretanja [operativnog sistema], omogu\u0107avaju\u0107i Glupteba-i da se sakrije i stvori skrivenu postojanost koju mo\u017ee biti izuzetno te\u0161ko otkriti i ukloniti.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Lior Rochberger and Dan Yashnik, Palo Alto Networks Unit 42 &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>Glupteba<\/em> zlonamjerni softver koristi <em>UEFI<\/em> <em>bootkit<\/em> funkciju koja uklju\u010duje modifikovanu verziju projekta otvorenog k\u00f4da pod nazivom <em>EfiGuard<\/em>, koji mo\u017ee da onemogu\u0107i <em>PatchGuard<\/em> i provjeru potpisa upravlja\u010dkog softvera (eng. <em>Driver Signature Enforcement \u2013 DSE<\/em>) pri pokretanju. Onemogu\u0107avanjem ovih funkcija <em>Glupteba<\/em> zlonamjerni softver mo\u017ee da instalira poznati ranjivi upravlja\u010dki softver, a zatim da iskoristi taj drajver kako bi se efikasno sakrio na sistemu. Ovaj poseban metod infekcije zamjenjuje softver na <em>EFI<\/em> particiji, tako da \u0107e potpuno brisanje \u010dvrstog diska ukloniti zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Otkrivanje nedokumentovane tehnike <em>UEFI<\/em> zaobila\u017eenja samo nagla\u0161ava sposobnost <em>Glupteba<\/em> zlonamjernog softvera ka inovacijama i izbjegavanju detekcije. Ova nova metoda ne samo da predstavlja zna\u010dajan izazov za otkrivanje, ve\u0107 i nagla\u0161ava hitnu potrebu da stru\u010dnjaci u sajber bezbjednosti stalno pobolj\u0161avaju svoju odbranu i budu ispred novih prijetnji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Saradnja izme\u0111u sigurnosnih istra\u017eiva\u010da, profesionalaca u oblasti bezbjednosti i proizvo\u0111a\u010da mora biti najve\u0107i prioritet kako bi se ubla\u017eili rizici vezani za ovakve sofisticirane zlonamjerne prijetnje i kao mehanizam za\u0161tite od budu\u0107ih ranjivosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Za sad, u kiberneti\u010dkom okru\u017eenju koje se stalno razvija, <em>Glupteba<\/em> zlonamjerni softver se isti\u010de kao primjetan primjer slo\u017eenosti i prilagodljivosti koje pokazuju savremeni zlonamjerni akteri.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Borba protiv prijetnje koju predstavlja <em>Glupteba<\/em> zlonamjerni softver zloupotrebljavaju\u0107i proces pokretanja <em>UEFI<\/em> funkcije zahtjeva vi\u0161estrani pristup. Neke od preporuka koje se mogu primijeniti u ovom slu\u010daju su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje sigurnosne platforme koja mo\u017ee da prati promjene na\u00a0 upravlja\u010dkom softveru i izvr\u0161i detekciju zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjena mjera pobolj\u0161anja bezbjednosti <em>UEFI<\/em> upravlja\u010dkog softvera kao \u0161to je upotreba <em>Secure Boot<\/em> funkcionalnosti, za\u0161tita upravlja\u010dkog softvera <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkom<\/a> i redovno a\u017euriranje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Saradnja sa proizvo\u0111a\u010dima ure\u0111aja i <em>UEFI<\/em> upravlja\u010dkih softvera kako bi na vrijeme bili upoznati o potencijalnim ranjivostima i razvoju bezbjednijih implementacija upravlja\u010dkog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija sigurnosnih timova i krajnjih korisnika o rizicima povezanim sa <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napadima i rizicima povezanim sa zlonamjernim softverom na nivou upravlja\u010dkog softvera, uz nagla\u0161avanje va\u017enosti funkcija kao \u0161to je <em>Secure Boot<\/em> za spre\u010davanje ove vrste prijetnji.<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di su utvrdili da Glupteba botnet koristi prethodno nedokumentovanu Unified Extensible Firmware Interface (UEFI) bootkit funkciju koja mu dodaje jo\u0161 jedan sloj sofisticiranosti i skrivenosti. GLUPTEBA Glupteba zlonamjerni softver je prije bio poznat&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6199,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,139,113,745,812,810,140,809,813,341,61,279,391,278,143,811],"class_list":["post-6195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-bootkit","tag-botnet","tag-efi","tag-efiguard","tag-esp","tag-firmware","tag-glupteba","tag-patchguard","tag-payload","tag-phishing","tag-secure-boot","tag-spi","tag-uefi","tag-windows","tag-windows-boot-manager"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6195"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6199"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}