{"id":6265,"date":"2024-03-14T00:11:40","date_gmt":"2024-03-13T23:11:40","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6265"},"modified":"2024-03-15T22:55:08","modified_gmt":"2024-03-15T21:55:08","slug":"valak-zlonamjerni-softver-evolucija","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/","title":{"rendered":"Valak zlonamjerni softver: Evolucija"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/www.cybereason.com\/blog\/research\/valak-more-than-meets-the-eye\" target=\"_blank\" rel=\"noopener\">Sigurnosni istra\u017eiva\u010di kompanije <em>Cybereason<\/em><\/a> su do\u0161li do saznanja da je <em>Valak<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a>, koji je po\u010deo kao jednostavni program za u\u010ditavanje zlonamjernog softvera, do\u017eivio ogromnu transformaciju, evoluiraju\u0107i u napredni kradljivac podataka koji cilja osjetljive podatke na <em>Microsoft Exchange<\/em> serverima poslovnih organizacija.<\/span><\/p>\n<div id=\"attachment_6266\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6266\" class=\"size-full wp-image-6266\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware.jpg\" alt=\"Valak\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Valak-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6266\" class=\"wp-caption-text\"><em>Valak zlonamjerni softver: Evolucija; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#VALAK_ZLONAMJERNI_SOFTVER\" >VALAK ZLONAMJERNI SOFTVER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#ANALIZA\" >ANALIZA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#Moduli\" >Moduli<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#Systeminfo\" >Systeminfo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#Exchgrabber\" >Exchgrabber<\/a><ul class='ez-toc-list-level-5' ><li class='ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#Credential_i_CredentialType\" >Credential i CredentialType<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#Tipovi_akreditiva\" >Tipovi akreditiva<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#VALAK_EVOLUCIJA\" >VALAK EVOLUCIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#VALAK_INFRASTRUKTURA\" >VALAK INFRASTRUKTURA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#POVEZANI_ZLONAMJERNI_SOFTVERI\" >POVEZANI ZLONAMJERNI SOFTVERI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#DISTRIBUCIJA\" >DISTRIBUCIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/14\/valak-zlonamjerni-softver-evolucija\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"VALAK_ZLONAMJERNI_SOFTVER\"><\/span><span style=\"font-size: 14pt;\"><strong><em>VALAK<\/em> ZLONAMJERNI SOFTVER<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Valak<\/em> zlonamjerni softver je prvi put otkriven krajem 2019. godine, kada je klasifikovan kao program za u\u010ditavanje zlonamjernih softvera. Analiza kampanja u kojima je u\u010destvovao ovaj zlonamjerni softver je pokazivala da njegovi autori rade brzo na novoj i pobolj\u0161anoj verziji zlonamjernog softvera, tako da je u tridesetak razli\u010ditih verzija otkriveno mnogo zlonamjernih pobolj\u0161anja u veoma kratkom periodu, dobijajuc\u0301i neke od sljede\u0107ih karakteristika:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver ima fazu bez datoteka u kojoj koristi sistemske registre za skladi\u0161tenje razli\u010ditih komponenti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161i prikupljanje informacije o korisnicima, ure\u0111aju i mre\u017ei sa zara\u017eenih ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161i provjeru geolokacije inficiranog ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pravi snimke ekrana inficiranog ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Mo\u017ee preuzimati dodatni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">koristan teret<\/a> i drugi zlonamjerni softver,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Cilja administratore i mre\u017ee preduze\u0107a,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prikuplja i krade osjetljive informacije iz <em>Microsoft Exchange<\/em> sistema po\u0161te, uklju\u010duju\u0107i akreditive i certifikat domena.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Pored vi\u0161estrukog pristupa u koji <em>Valak<\/em> zlonamjernom softveru omogu\u0107ava da ostane neotkriven kombinuju\u0107i iznad navedene karakteristike, ovaj zlonamjerni softver koristi modularne dodatke, omogu\u0107avaju\u0107i mu da prilagodi svoje napade na osnovu specifi\u010dnog okru\u017eenja i ciljanih podataka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ANALIZA\"><\/span><span style=\"font-size: 14pt;\"><strong>ANALIZA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U ciljanim kampanjama koje sprovode <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> koji koriste ovaj zlonamjerni softver, naj\u010de\u0161\u0107i vektor infekcije je bio preko <em>Microsoft<\/em> <em>Word<\/em> dokumenata sa ugra\u0111enim zlonamjernim <em>macro<\/em> k\u00f4dom. Sadr\u017eaj dokumenata je na engleskom i njema\u010dkom jeziku u zavisnosti od cilja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon pokretanja zlonamjernog <em>macro<\/em> k\u00f4da dolazi do preuzimanja <em>DLL<\/em> datoteke \u010dije izvr\u0161avanje ima za cilj uspostavljanje upori\u0161ta na ure\u0111aju i povezivanje sa <em>C2<\/em> serverom napada\u010da. Nakon \u0161to je u prvoj fazi <em>Valak<\/em> zlonamjernom softver postavio temelje za napad, u drugoj fazi dolazi do preuzimanja dodatnih modula za izvi\u0111a\u010dke aktivnosti i kra\u0111u osjetljivih informacija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Moduli\"><\/span><span style=\"font-size: 14pt;\"><strong>Moduli<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Tokom analize, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> su otkrili nekoliko razli\u010ditih modula sa istim internim imenom <em>ManagedPlugin.dll<\/em>. Me\u0111u ovim komponentama, neke se fokusiraju na jednu jedinu, specifi\u010dnu aktivnost kako bi postigli svoj cilj i relativno su manje robusne od drugih kada su u pitanju sposobnosti i potencijalni uticaj. Ovo uklju\u010duje:<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>IPGeo<\/em>: Provjerava geolokaciju cilja koriste\u0107i uslugu <em>IP<\/em> otkrivanja,<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Procinfo<\/em>: Prikuplja informacije o pokrenutim procesima zara\u017eene ma\u0161ine,<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Netrecon<\/em>: Vr\u0161i izvi\u0111anje mre\u017ee,<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Screencap<\/em>: Pravi snimke ekrana inficiranog ure\u0111aja,<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">dok su <em>Systeminfo<\/em> i <em>Exchgrabber<\/em> mnogo napredniji moduli.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Systeminfo\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Systeminfo<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Ovaj modul je odgovoran za opse\u017ena izvi\u0111anja, cilja lokalne administratore i administratore domena i sadr\u017ei nekoliko funkcija za izvi\u0111anje koje se fokusiraju na prikupljanje informacija o korisniku, ure\u0111aju i postoje\u0107im <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim proizvodima<\/a>. Modul prikuplja informacije o korisniku i poku\u0161ava da provjeri da li je on lokalni administrator ili administrator domena. Ovo pokazuje da nakon inficiranja ma\u0161ine, <em>Valak<\/em> zlonamjerni softver bira da cilja uglavnom na administratore i administratore domena \u0161to ukazuje na sklonost ciljanju naloga vi\u0161eg profila.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Modul poku\u0161ava da prona\u0111e da li zara\u017eeni ure\u0111aj ima instalirane bezbjednosne proizvode i prikuplja prikuplja fizi\u010dku adresu (<em>MAC<\/em>) i <em>IP<\/em> adresu inficiranog ure\u0111aja. Dodatna izvi\u0111a\u010dka aktivnost se odvija uz nekoliko drugih funkcija koje omogu\u0107avaju dobijanje dodatnih informacija o korisniku, vremenu koliko ure\u0111aj radi i odre\u0111ivanje verzije <em>Windows<\/em> operativnog sistema. Dobijene informacije zlonamjerni softver eksfiltrira na udaljeni <em>C2<\/em> server \u010diji je domen uskladi\u0161ten u registru.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Exchgrabber\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Exchgrabber<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Exchgrabber<\/em> modul je sli\u010dan prethodnom modulu, me\u0111utim ima svoje jedinstvene karakteristike vezane za svoju funkcionalnost. Na prvi pogled izgleda da se modul koristi isklju\u010divo za kra\u0111u akreditiva, \u0161to se mo\u017ee vidjeti u nekoliko klasa i argumenata podataka sa jasnim imenima kao \u0161to su <em>Credential<\/em> i <em>CredentialType<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Credential_i_CredentialType\"><\/span><span style=\"font-size: 14pt;\"><strong><em>Credential <\/em>i <em>CredentialType<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Modul upravlja svojim akreditivima u klasi <em>Credential<\/em>, koja uklju\u010duje nekoliko funkcija koje rukuju aktivno\u0161\u0107u upravljanja akreditivima i tipovima podataka koji \u0107e dr\u017eati ove akreditive, a najzanimljivije je da ova funkcija prima \u010detiri argumenta: korisni\u010dko ime, <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinku<\/a>, cilj i tip akreditiva, ubacuju\u0107i akreditive u odgovaraju\u0107u promjenljivu modula. Jo\u0161 jedan zanimljiva funkcija je <em>CredentialType<\/em> gdje je tip akreditiva je odre\u0111en ovom promjenjivom koji sadr\u017ei svaki od akreditiva koje \u0107e modul poku\u0161ati da izdvoji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Tipovi_akreditiva\"><\/span><span style=\"font-size: 14pt;\"><strong>Tipovi akreditiva<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Tipovi akreditiva su osjetljive informacije koje se mogu izdvojiti iz podataka <em>Microsoft<\/em> <em>Exchange<\/em> servera preduze\u0107a, uklju\u010duju\u0107i lozinku za domen i certifikat domena. Preuzimanje ovih osjetljivih podataka omogu\u0107ava napada\u010du pristup unutra\u0161njem korisniku domena za interne usluge po\u0161te organizacije zajedno sa pristupom certifikatu domena organizacije. Pomo\u0107u funkcije <em>Systeminfo<\/em>, napada\u010d mo\u017ee da identifikuje koji je korisnik administrator domena, \u0161to stvara veoma opasnu kombinaciju curenja osjetljivih podataka i potencijalnog sajber \u0161pijuniranja ili kra\u0111e informacija velikih razmjera. Ovo tako\u0111e pokazuje da su glavna meta ovog zlonamjernog softvera prije svega poslovne organizacije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"VALAK_EVOLUCIJA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>VALAK<\/em> EVOLUCIJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><span style=\"font-size: 14pt;\"><em>Valak<\/em> zlonamjerni softver za sada ima najmanje 24 verzije i skoro svaka nova verzija je donosila izuzetne promjene. Neko od razlika izme\u0111u ranijih verzija i trenutne su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Pobolj\u0161ano prikrivanje zlonamjernog k\u00f4da: Ovaj zlonamjerni softver je u ranijim verzijama koristio samo jednu tehniku zamagljivanja k\u00f4da prilikom preuzimanja druge faze JavaScript k\u00f4da \u2013 <em>Base64<\/em>. Sada ovaj zlonamjerni softver koristi <em>XOR<\/em> kao dodatak za <em>Base64<\/em> dekripciju.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Upravljanje dodacima: Novije verzije <em>Valak<\/em> zlonamjernog softvera preuzimaju dva korisna tereta u prvoj fazi. Prvi korisni teretje komponenta za upravljanje dodatkom (<em>pluginhost.exe<\/em>), a drugi je drugostepeno <em>JavaScript <\/em>korisno optere\u0107enje. U ranijim verzijama, zlonamjerni softver nije uklju\u010divao <em>\u201cpluginhost\u201d<\/em> korisni teret.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>PowerShell<\/em> aktivnost: Kada je rije\u010d o dodacima, ovaj zlonamjerni softver je ranije koristio <em>PowerShell<\/em> za preuzimanje <em>JavaScript<\/em> druge faze. Novije verzije su napustile popularan i lako uo\u010dljiv pristup <em>PowerShell <\/em>preuzimanja i pre\u0161le na <em>PluginHost<\/em> kao sredstvo za upravljanje i preuzimanje dodatnih korisnih podataka.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Ova tranzicija samo ukazuje da zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera tra\u017ee skrivenije pristupe i na\u010dine da pobolj\u0161aju svoje tehnike izbjegavanja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"VALAK_INFRASTRUKTURA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>VALAK<\/em> INFRASTRUKTURA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Analizom ovog zlonamjernog softvera, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> su uo\u010dili ponavljanje adresa za povezivanje na niz domena koje su ugra\u0111ene u sam k\u00f4d. Pored toga, ovaj zlonamjerni softver ima zajedni\u010dku infrastrukturu sa gotovo svim svojim verzijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored infrastrukture koja se koristi za po\u010detnu distribuciju korisnog tereta povezanog sa <em>Valak<\/em> zlonamjernim softverom, zara\u017eeni sistemi tako\u0111e komuniciraju sa <em>C2<\/em> serverima kako bi prijeneli informacije i poku\u0161ali da dobiju dodatne module i uputstva za izvo\u0111enje zlonamjernih aktivnost. Analiza <em>C2<\/em> infrastrukturu povezanu sa razli\u010ditim <em>Valak<\/em> verzijama, pokazuje da je ista infrastruktura povezanu i sa mnogo drugih zlonamjernih aktivnosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"POVEZANI_ZLONAMJERNI_SOFTVERI\"><\/span><span style=\"font-size: 14pt;\"><strong>POVEZANI ZLONAMJERNI SOFTVERI<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Prvobitno je <em>Valak<\/em> zlonamjerni softver bio okarakterisan kao prili\u010dno jednostran zlonamjerni softver koji je uglavnom preuzimao drugi zlonamjerni softver, bilo da je to <em>Ursnif<\/em> ili <em>IcedID<\/em>. Posljednja analiza je pokazala da ovaj zlonamjerni softver ipak ima obostrani odnos sa drugim zlonamjernim softverom, po\u0161to je, na primjer, uo\u010deno da <em>Ursnif<\/em> zlonamjerni softver koji je pokrenuo lanac infekcije, preuzima <em>IcedID<\/em> i <em>Valak<\/em> zlonamjerne softvere sa istog servera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iako priroda odnosa izme\u0111u navedenih zlonamjernih softvera nije potpuno jasna, pretpostavlja se da je zasnovana na li\u010dnim vezama i me\u0111usobnom povjerenju podzemnih zajednica. S obzirom na \u010dinjenicu da se <em>Ursnif<\/em> ili <em>IcedID <\/em>zlonamjerni softveri smatraju dijelom elektronskog kriminalnog ekosistema ruskog govornog podru\u010dja, moguc\u0301e je da su i autori <em>Valak<\/em> zlonamjernog softvera dio te podzemne zajednice, po\u0161to je poznato je da ova zajednica odr\u017eava prili\u010dno bliske veze zasnovane na povjerenju i reputaciji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA\"><\/span><span style=\"font-size: 14pt;\"><strong>DISTRIBUCIJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Vektori distribucije <em>Valak<\/em> zlonamjernog softvera se jo\u0161 analiziraju u potrazi za specifi\u010dnostima, ali je o\u010digledno da koristi tehnike kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napadi<\/a>, posebno pripremljeni prilozi u elektronskoj po\u0161ti i softverske ranjivosti za dobijanje po\u010detnog pristupa. Kada dobije pristup, ovaj zlonamjerni softver koristi izvr\u0161avanje bez datoteka, skrivaju\u0107i se unutar legitimnih procesa i omogu\u0107ava postojanost u sistemskim registrima da bi odr\u017eao svoje prisustvo. Tako\u0111e koristi modularne dodatke za prilago\u0111avanje napada na osnovu ciljnog okru\u017eenja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Valak<\/em> zlonamjerni softver se prvobitno bio klasifikovan kao program za u\u010ditavanje zlonamjernog softvera od strane mnogih sigurnosnih istra\u017eiva\u010da, da bi posljednja analiza pokazala da je on trenutno modularni zlonamjerni softver prepun mno\u0161tva funkcija za izvi\u0111anje i kra\u0111u informacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kroz veliki broj verzija ovog zlonamjernog softvera u veoma kratkom vremenskom periodu vidljiv je ubrzan razvoj koji je u svakoj novoj verziji donio pro\u0161irenje mogu\u0107nosti zlonamjernog softvera uz dodatne mehanizme izbjegavanja detekcije. Uo\u010deno je najmanje \u0161est dodatka koji omogu\u0107avaju napada\u010dima da dobiju osjetljive informacije od svojih \u017ertava. Sve ovo ukazuje da se <em>Valak<\/em> zlonamjerni softver mo\u017ee koristiti nezavisno bez udru\u017eivanja sa drugim zlonamjernim softverom. Me\u0111utim, ipak je primije\u0107eno da zlonamjerni akteri koji iza ovog zlonamjernog softvera sara\u0111uju sa drugim zlonamjernim akterima kako bi stvorili jo\u0161 opasniji zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Generalno gledano, svako mo\u017ee biti potencijalna meta ovog zlonamjernog softvera, a zlonamjerni akteri koji stoje iza njega trenutno imaju fokus na ameri\u010dke i njema\u010dke poslovne organizacije svih veli\u010dina. Posebna meta <em>Valak<\/em> zlonamjernog softvera su organizacije koje koriste <em>Microsoft Exchange<\/em> servere, \u0161to ima potencijal da im omogu\u0107i pristup kriti\u010dnim nalozima poslovne organizacije, uzrokujuc\u0301i \u0161tetu organizacijama, degradaciju brenda i na kraju gubitak povjerenja potro\u0161a\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titile, poslovne organizacije mogu preduzeti nekoliko koraka ubla\u017eavanja rizika:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera, sa posebnim naglaskom na <em>Microsoft Exchange<\/em> servere je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, mogu se zatvoriti potencijalne ulazne ta\u010dke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena sigurnosna rije\u0161enja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Dodatni sloj bezbjednosti kao \u0161to je autentifikacija u vi\u0161e koraka (eng. <em>Multi-Factor Authentication \u2013 MFA<\/em>) ote\u017eava napada\u010dima da dobiju pristup korisni\u010dkim nalozima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o <em>phishing<\/em> prijetnjama, nagla\u0161avaju\u0107i rizike povezane sa otvaranjem priloga ili klikom na linkove u ne\u017eeljenim elektronskoj po\u0161ti, kao i obuka za prepoznavanje taktika socijalnog in\u017eenjeringa koje koriste zlonamjerni akteri, omogu\u0107ava korisnicima da izbjegnu da postanu \u017ertve obmanjujuc\u0301ih trikova koji vode ka izvr\u0161avanju zlonamjernih datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati sveobuhvatna rje\u0161enja za prac\u0301enje i otkrivanje anomalne mre\u017ene aktivnosti i potencijalne indikatore kompromisa. Prac\u0301enje u realnom vremenu omogu\u0107ava brzu reakciju na incidente i ubla\u017eavanje sigurnosnih incidenata prije nego \u0161to oni eskaliraju.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di kompanije Cybereason su do\u0161li do saznanja da je Valak zlonamjerni softver, koji je po\u010deo kao jednostavni program za u\u010ditavanje zlonamjernog softvera, do\u017eivio ogromnu transformaciju, evoluiraju\u0107i u napredni kradljivac podataka koji cilja osjetljive&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6266,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[628,864,148,655,93,255,61,275,863,862],"class_list":["post-6265","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2","tag-icedid","tag-infostealer","tag-javascript","tag-malware","tag-microsoft-exchange","tag-phishing","tag-powershell","tag-ursnif","tag-valak"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6265","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6265"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6265\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6266"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6265"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6265"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6265"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}