{"id":6600,"date":"2024-05-12T22:43:26","date_gmt":"2024-05-12T20:43:26","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6600"},"modified":"2024-05-12T22:43:26","modified_gmt":"2024-05-12T20:43:26","slug":"cuttlefish-zlonamjerni-softver-napada-rutere","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/","title":{"rendered":"Cuttlefish zlonamjerni softver napada rutere"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Cuttlefish<\/em> je nedavno <a href=\"https:\/\/blog.lumen.com\/eight-arms-to-hold-you-the-cuttlefish-malware\/\" target=\"_blank\" rel=\"noopener\">otkriven zlonamjerni softver od strane <em>Black Lotus Labs<\/em> tima<\/a> kompanije <em>Lumen Technologies<\/em>. Ovaj <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> cilja rutere za ku\u0107u i male kancelarije (eng. <em>small office\/home office \u2013 SOHO<\/em>). Po\u010dinje instaliranjem filtera paketa za inspekciju svih odlaznih veza koriste\u0107i odre\u0111ene portove, protokole i odredi\u0161ne <em>IP<\/em> adrese. Zlonamjerni softver tada stalno prati sav saobra\u0107aj koji prolazi kroz ure\u0111aj i uklju\u010duje se kada otkrije odre\u0111ene aktivnosti.<\/span><\/p>\n<div id=\"attachment_6601\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6601\" class=\"size-full wp-image-6601\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware.jpg\" alt=\"Cuttlefish\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Cuttlefish-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6601\" class=\"wp-caption-text\"><em>Cuttlefish zlonamjerni softver napada rutere; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#CUTTLEFISH\">CUTTLEFISH<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#Funkcionisanje\">Funkcionisanje<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#Prikupljanje_akreditiva\">Prikupljanje akreditiva<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#Funkcionalnost_otmice\">Funkcionalnost otmice<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#VPN_funkcionalnost\">VPN funkcionalnost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#Proxy_funkcionalnost\">Proxy funkcionalnost<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/12\/cuttlefish-zlonamjerni-softver-napada-rutere\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"CUTTLEFISH\"><\/span><strong><span style=\"font-size: 14pt;\">CUTTLEFISH<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Cuttlefish<\/em> je sofisticirana operacija <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a> koja je u \u0161irokoj upotrebi od najmanje jula 2023. godine, a najnovija kampanja je trajala od oktobra 2023. do aprila 2024. godine. Ovaj zlonamjerni softver je prvenstveno ciljao dva turska telekomunikaciona pru\u017eaoca usluga i zarazio je oko 600 jedinstvenih <em>IP<\/em> adresa. Po\u010detni vektor pristupa koji se koristi za kompromitovanje mre\u017ene opreme ostaje nejasan.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>Cuttlefish<\/em> cilja <em>SOHO<\/em> rutere na kojima napada\u010di po dobijanju pristupa primjenjuju <em>bash<\/em> skriptu koja prikuplja podatke zasnovane na hostu. Skripta preuzima i izvr\u0161ava zlonamjerni softver, koji je kompajliran za razli\u010dite arhitekture koje koriste <em>SOHO<\/em> operativni sistemi. Jednom instaliran, <em>Cuttlefish<\/em> postavlja filtere paketa za pra\u0107enje saobra\u0107aja koji prolazi kroz ure\u0111aj. On \u201c<em>nju\u0161ka<\/em>\u201d akreditive poslate na javne <em>IP<\/em> adrese i otima saobra\u0107aj namijenjen privatnim <em>IP<\/em> adresama. Primarni ciljevi ovog zlonamjernog softvera su usluge zasnovane na oblaku kao \u0161to su <em>Alibaba Cloud<\/em>, <em>AWS<\/em>, <em>Digital<\/em> <em>Ocean<\/em>, <em>CloudFlare <\/em>i <em>BitBucket<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cSvi podaci poslati preko mre\u017ene opreme u koju je infiltriran ovaj zlonamjerni softver potencijalno su izlo\u017eeni. Ono \u0161to ovu porodicu zlonamjernog softvera \u010dini tako podmuklom je mogu\u0107nost da se izvr\u0161i otmica HTTP i DNS za konekcije sa privatnim IP adresama. Cuttlefish \u010deka, pasivno nju\u0161kajuc\u0301i pakete, djeluju\u0107i samo kada je aktivira unaprijed definisani skup pravila. Nju\u0161kanje paketa koji koristi Cuttlefish dizajniran je za prikupljanje materijala za autentifikaciju, sa naglaskom na javne usluge zasnovane na oblaku.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Black Lotus Labs &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>Cuttlefish hijack <\/em>funkcija omogu\u0107ava da potencijalno izbjegne anomalnu analitiku zasnovanu na prijavljivanju kori\u0161tenjem ukradenih akreditiva za autentifikaciju. Tako\u0111e mo\u017ee da otme interni mre\u017eni saobra\u0107aj izme\u0111u ure\u0111aja unutar odre\u0111enog data centra, tzv. istok-zapad saobra\u0107aj preko rutera ili saobra\u0107aj od lokacije do lokacije gdje postoji <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em> <\/a>veza uspostavljena izme\u0111u rutera, daju\u0107i napada\u010dima pristup bezbjednim resursima koji nisu dostupni putem javnog interneta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Primjena <em>bash<\/em> skripta je prva faza ovog napada, koja po\u010dinje nabrajanjem ure\u0111aja radi dobijanja detalja kao \u0161to su lista direktorijuma, sadr\u017eaj <em>\/etc<\/em>, pokrenuti procesi, aktivne veze (preko <em>netstat<\/em> funckije), montiranja i sadr\u017eaj \u201c<em>\/etc \/config<\/em>\u201d Kada prikupi sve potrebne informacije, arhivira podatke u datoteku pod nazivom \u201c<em>co.tmp.tar.gz<\/em>\u201d i otprema je na domen koji kontroli\u0161e zlonamjerni akter.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver zatim preuzima i izvr\u0161ava <em>Cuttlefish <\/em>korisni tovar (eng. <em>payload<\/em>) u zavisnosti od arhitekture rutera, kao \u0161to je <em>Arm<\/em>, <em>i386<\/em>, <em>i386_i64<\/em>, <em>i386_x64<\/em>, <em>mips32<\/em> ili <em>mips64<\/em>. Ova faza napada je prvenstveno dizajnirana da pasivno nju\u0161ka mre\u017ene pakete i izdvaja podatke za autentifikaciju koji su povezani sa javnim servisima zasnovanim na oblaku kao \u0161to su <em>Alibaba Cloud<\/em>, <em>AWS<\/em>, <em>Digital<\/em> <em>Ocean<\/em>, <em>CloudFlare <\/em>i <em>BitBucket <\/em>kreiranjem pro\u0161irenog filtera <em>Berkeley<\/em> paketa (eng. <em>extended Berkeley Packet Filter \u2013 eBPF<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Funkcionalnost kra\u0111e akreditiva je regulisana na osnovu skupa pravila koji diktira zlonamjerni softver da ili otme saobra\u0107aj namijenjen privatnoj <em>IP<\/em> adresi ili da pokrene funkciju nju\u0161kanja za saobra\u0107aj koji ide ka javnim <em>IP<\/em> adresama. Ovaj pristup omogu\u0107ava <em>Cuttlefish<\/em> zlonamjernom softveru da cilja i eksfiltrira osjetljive podatke iz usluga zasnovanih na oblaku, \u0161to potencijalno dovodi do zna\u010dajne \u0161tete i neovla\u0161tenog pristupa.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Prikupljanje_akreditiva\"><\/span><strong><span style=\"font-size: 14pt;\">Prikupljanje akreditiva<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Prikupljanje akreditiva je tehnika koju zlonamjerni softver <em>Cuttlefish<\/em> koristi za dobijanje neovla\u0161tenog pristupa razli\u010ditim sistemima i resursima u oblaku. Napada\u010di koriste <em>libpcap<\/em> da kreiraju pro\u0161ireni <em>Berkeley<\/em> paketski filter (<em>eBPF<\/em>) za prislu\u0161kivanje i otmicu <em>IP<\/em> opsega. Oni tra\u017ee odre\u0111ene oznake u mre\u017enom saobra\u0107aju koji ukazuju na informacije o akreditivima, kao \u0161to su korisni\u010dka imena, <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> ili tokeni za autentifikaciju. Ove oznake uklju\u010duju unaprijed definisane stringove kao \u0161to su \u201c<em>username<\/em>\u201d, \u201c<em>password<\/em>\u201d, ili \u201c<em>access_token<\/em>\u201d ali i one koje su vi\u0161e ciljane vezane za usluge zasnovane na oblaku.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver tra\u017ei ove oznake akreditiva u mre\u017enom saobra\u0107aju koji se poklapa sa odre\u0111enim parametrima izlazne mre\u017ee. Kada identifikuje podudaranje, zlonamjerni softver bilje\u017ei ove informacije i \u0161alje ih svom komandnom i kontrolnom (<em>C2<\/em>) serveru preko <em>HTTP<\/em> veza sa <em>Base64<\/em> kodiranjem. Ova tehnika omogu\u0107ava napada\u010dima da potencijalno dobiju pristup osjetljivim podacima uskladi\u0161tenim na resursima u oblaku, a da ne moraju da probiju tradicionalne mre\u017ene perimetre koji mogu imati evidentiranje ili druge bezbjednosne kontrole.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cIma sposobnost da izvr\u0161i manipulaciju rutama, otmice veze i koristi sposobnost pasivnog nju\u0161kanja. Sa ukradenim klju\u010dnim materijalom, zlonamjerni akter ne samo da preuzima resurse u oblaku povezane sa ciljanim entitetom, ve\u0107 dobija upori\u0161te u tom ekosistemu oblaka.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Black Lotus Labs &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Funkcionalnost_otmice\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionalnost otmice<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Funkcionalnost otmice je karakteristika <em>Cuttlefish\u00a0 <\/em>zlonamjernog softvera koja mu omogu\u0107ava da presretne i preusmjeri saobra\u0107aj namijenjen privatnim <em>IP<\/em> adresama. Ova mogu\u0107nost omogu\u0107ava napada\u010dima da dobiju pristup internim mre\u017eama i za\u0161ti\u0107enim resursima koji nisu dostupni putem javnog interneta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Proces otmice po\u010dinje preuzimanjem pravila sa servera za komandu i kontrolu (<em>C2<\/em>), koji odre\u0111uje\u00a0 interval javljanja za provjeru pravila a\u017euriranja i razli\u010dite parametre otmice za <em>HTTP<\/em> zahteve i <em>DNS<\/em> pretrage. Zlonamjerni softver tada pokre\u0107e dvije niti: jednu da nadgleda a\u017euriranja u odre\u0111enom vremenskom intervalu, a drugu da nadgleda sav mre\u017eni saobra\u0107aj koji prolazi kroz ruter, \u010dekaju\u0107i veze na privatne <em>IP<\/em> adrese ili odre\u0111ene portove (kao \u0161to je port <em>80<\/em> za <em>HTTP<\/em> saobra\u0107aj ili port <em>53<\/em> za <em>DNS<\/em> upite) da budu prisutni.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada se ovi uslovi ispune, zlonamjerni softver \u0161alje zahtev preko rutera da otme vezu i presre\u0107e podatke koji se prenose. Tako\u0111e tra\u017ei akreditive za autentifikaciju u saobra\u0107aju i krade ih za dalju upotrebu od strane napada\u010da. Slanjem zahteva preko kompromitovanog rutera, zlonamjerni akteri mogu potencijalno da izbjegnu anomalnu analitiku zasnovanu na prijavi koriste\u0107i ukradene akreditive za autentifikaciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"VPN_funkcionalnost\"><\/span><strong><span style=\"font-size: 14pt;\">VPN funkcionalnost<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Cuttlefish VPN<\/em> funkcionalnost koristi projekat otvorenog k\u00f4da pod nazivom <em>n2n<\/em> za svoje <em>VPN<\/em> mogu\u0107nosti. Kompromitovani host pokre\u0107e odre\u0111ene komande da omogu\u0107i <em>IP<\/em> proslje\u0111ivanje i postavi <em>NAT<\/em> pravila za maskiranje saobra\u0107aja. Zatim preuzima konfiguraciona pravila sa servera za komandu i kontrolu (<em>C2<\/em>) i \u010duva ih kao <em>\/tmp\/n2nconfigjs<\/em>. Kori\u0161tenjem ove <em>VPN<\/em> funkcionalnosti, zlonamjerni akter mo\u017ee potencijalno da izbjegne otkrivanje slanjem zahteva preko rutera sa ukradenim akreditivima za autentifikaciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>Da bi eksfiltrirao podatke, zlonamjerni akter prvo kreira ili proxy ili VPN tunel nazad kroz kompromitovani ruter, a zatim koristi ukradene akreditive za pristup ciljanim resursima. Slanjem zahteva preko rutera, sumnjamo da akter mo\u017ee da izbjegne anomalnu analitiku zasnovanu na prijavi koriste\u0107i ukradene akreditive za autentifikaciju.<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Black Lotus Labs &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Proxy_funkcionalnost\"><\/span><strong><span style=\"font-size: 14pt;\">Proxy funkcionalnost<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Proxy<\/em> funkcionalnost se koristi kao alternativa <em>VPN<\/em> tunelu za usmjeravanje saobra\u0107aja nazad kroz zara\u017eeni ure\u0111aj. Omogu\u0107ava zlonamjernim akterima da iskoriste ukradene akreditive sa <em>IP<\/em> adrese povezane sa poznatim korisnikom. \u010cini se da je ova funkcija zasnovana na projektu otvorenog k\u00f4da koji se zove \u201c<em>socks<\/em> <em>proxy<\/em>\u201d. <em>Proxy<\/em> se vezuje za sve eksterne interfejse na slu\u010dajnom portu i koristi \u010dvrsto kodirano korisni\u010dko ime i lozinku za <em>proxy<\/em> autentifikaciju <em>socks5<\/em>. Za razliku od drugih <em>proxy<\/em> zlonamjernih softvera, ovaj <em>proxy<\/em> pristup koriste samo <em>Cuttlefish <\/em>zlonamjerni akteri.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Cuttlefish<\/em> je slo\u017een i napredan dio zlonamjernog softvera koji primarno cilja <em>SOHO<\/em> rutere, dizajniran za prikupljanje informacija o mre\u017enom okru\u017eenju, kra\u0111u akreditiva i dobijanje trajnog pristupa resursima u oblaku povezanim sa ciljanim entitetom. Njegova upotreba <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> za komunikaciju sa <em>C2<\/em> serverom, tehnike izbjegavanja kao \u0161to je sakrivanje u memoriji i mogu\u0107nost preuzimanja skupova pravila ote\u017eavaju otkrivanje i ubla\u017eavanje. <em>Cuttlefish<\/em> je prva instanca zlonamjernog softvera posebno dizajniranog da tra\u017ei privatne <em>IP<\/em> veze za otmicu, \u0161to ga \u010dini zna\u010dajnom prijetnjom za savremena preduze\u0107a, jer mo\u017ee zaobi\u0107i njihove <em>TLS<\/em> konfiguracije i dobiti neovla\u0161teni pristup osjetljivim informacijama na internim mre\u017eama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se smanjio rizik od infekcije <em>Cuttlefish<\/em> zlonamjernim softverom, od su\u0161tinskog je zna\u010daja da se slijede najbolje prakse za bezbjednost mre\u017ee i upravljanje ure\u0111ajima. Evo nekoliko preporu\u010denih radnji:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su svi ure\u0111aji, uklju\u010duju\u0107i <em>SOHO<\/em> rutere, zamijenjeni kada stignu do kraja \u017eivotnog vijeka proizvo\u0111a\u010da (eng. <em>end-of-life \u2013 EOL<\/em>) i da vi\u0161e nisu podr\u017eani bezbjednosnim a\u017euriranjima. Ovo \u0107e pomo\u0107i da se samnji rizik od infekcije poznatim ranjivostima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Osigurati redovno a\u017euriranje upravlja\u010dkog softvera na ure\u0111ajima na najnoviju verziju. A\u017euriranja \u010desto uklju\u010duju bezbjednosne ispravke koje mogu pomo\u0107i u za\u0161titi od poznatih ranjivosti. Proizvo\u0111a\u010di rutera \u010desto objavljuju ispravke za rje\u0161avanje bezbjednosnih problema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nadgledati napade na slabe akreditive i sumnjive poku\u0161aje prijavljivanja, \u010dak i ako poti\u010du sa stambenih <em>IP<\/em> adresa koje zaobilaze geofending i <em>ASN<\/em> zasnovano blokiranje. Uvjeriti se da svi korisni\u010dki nalozi imaju jake lozinke i da se redovno a\u017euriraju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">\u0160ifrovati mre\u017eni saobra\u0107aj kao bi se sprije\u010dilo nju\u0161kanje prilikom preuzimanja ili slanja podataka koji se nalaze na udaljenim lokacijama, kao \u0161to su usluge zasnovane na oblaku ili procesi autentifikacije. Mre\u017eni saobra\u0107aj \u0161ifrovati pomo\u0107u <em>TLS\/SSL<\/em> protokola. Ovo \u0107e pomo\u0107i u za\u0161titi od <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/17\/man-in-the-middle-attack-mitm\/\" target=\"_blank\" rel=\"nofollow noopener\">napada \u010dovjeka u sredini<\/a> (eng. <em>Man-in-the-Middle Attack \u2013 MitM<\/em>) koji mogu dovesti do \u0161irenja zlonamjernog softvera poput <em>Cuttlefish<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno provjeravati <em>SOHO<\/em> ure\u0111aje na prisustvo abnormalnih datoteka kao \u0161to su binarne datoteke koje se nalaze u direktorijumu <em>\/tmp<\/em> ili la\u017eni <em>iptables<\/em> unosi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da upravlja\u010dki interfejsi <em>SOHO<\/em> rutera nisu dostupni preko interneta i da koristite jake lozinke za pristup. Uz to, redovno primjenjivati najbolje preporu\u010dene prakse za obezbje\u0111enje mre\u017ene opreme,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Rutinsko ponovno pokretanje <em>SOHO<\/em> ure\u0111aji mo\u017ee da pomognu u uklanjanju uzoraka zlonamjernog softvera iz memorije i spre\u010davanju da se preuzmu trajne prijetnje poput <em>Cuttlefish <\/em>zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti informisan o najnovijim prijetnjama i najboljim praksama za bezbjednost mre\u017ee prate\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/\" target=\"_blank\" rel=\"nofollow noopener\">renomirane izvore informacija<\/a>. Uspostaviti saradnju sa zajednicom za istra\u017eivanje bezbednosti kako bi se dijelili nalazi u vezi sa novom infrastrukturom, aktivnostima ciljanja i pro\u0161irenjem taktike, tehnike i procedure (<em>TTP<\/em>) prijetnji poput <em>Cuttlefish <\/em>zlonamjernog softvera.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Cuttlefish je nedavno otkriven zlonamjerni softver od strane Black Lotus Labs tima kompanije Lumen Technologies. Ovaj zlonamjerni softver cilja rutere za ku\u0107u i male kancelarije (eng. small office\/home office \u2013 SOHO). Po\u010dinje instaliranjem filtera&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6601,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1244,1225,1240,1224,1245,1241,1246,1242,1243],"class_list":["post-6600","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cloud-security-threat","tag-credentials-theft","tag-cuttlefish-malware","tag-data-exfiltration","tag-end-of-life-devices","tag-iot-malware","tag-network-defense","tag-routers-vulnerability","tag-telecommunications-providers"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6600"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6600\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6601"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}