{"id":6633,"date":"2024-05-19T18:36:37","date_gmt":"2024-05-19T16:36:37","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6633"},"modified":"2024-05-19T18:36:37","modified_gmt":"2024-05-19T16:36:37","slug":"danabot-zloupotrebljava-word-dokumente","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/danabot-zloupotrebljava-word-dokumente\/","title":{"rendered":"DanaBot zloupotrebljava Word dokumente"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>DanaBot<\/em> je sofisticirani tip <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> poznat po svojim tehnikama samoubrizgavanja za zaobila\u017eenje otkrivanja i uspostavljanje postojanosti na zara\u017eenim sistemima. Zlonamjerna kampanja po\u010dinje elektronskom po\u0161tom koja sadr\u017ei u prilogu <em>Word<\/em> dokument koji, kada se otvori, pokre\u0107e niz procesa kako bi do\u0161lo do infekcije sistema.<\/span><\/p>\n<div id=\"attachment_6636\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6636\" class=\"size-full wp-image-6636\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware.jpg\" alt=\"DanaBot\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/DanaBot-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6636\" class=\"wp-caption-text\"><em>DanaBot zloupotrebljava Word dokumente; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/danabot-zloupotrebljava-word-dokumente\/#DANABOT\" >DANABOT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/danabot-zloupotrebljava-word-dokumente\/#NOVA_KAMPANJA\" >NOVA KAMPANJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/danabot-zloupotrebljava-word-dokumente\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/danabot-zloupotrebljava-word-dokumente\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"DANABOT\"><\/span><strong><span style=\"font-size: 14pt;\">DANABOT<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>DanaBot<\/em> je dobro napravljen i prilagodljiv zlonamjerni softver napisan prvenstveno u programskom jeziku <em>Delphi.<\/em> Ovaj zlonamjerni softver se nudi kao usluga, omogu\u0107avaju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da ga prilagode svojim specifi\u010dnim ciljevima. Za razliku od <em>ransomware<\/em> zlonamjernog softvera koji zahteva trenutnu naplatu, <em>DanaBot<\/em> daje prednost dugotrajnoj postojanosti i kra\u0111i osjetljivih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a>. Kori\u0161\u0107en je u raznim napadima, uklju\u010duju\u0107i kra\u0111u akreditiva, finansijske prevare i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/25\/ddos\/\" target=\"_blank\" rel=\"nofollow noopener\">distribuirane napade uskra\u0107ivanja usluge<\/a> (eng. <em>distributed denial-of-service \u2013 DDoS<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prvi put dokumentovan 2018. godine, prvobitno ga je koristio jedan akter protiv australijskih kompanija, ali se od tada pro\u0161irio na druge regione kao \u0161to su Evropa i Sjeverna Amerika. Ovaj zlonamjerni softver se \u0161iri preko ne\u017eeljenih poruka elektronske po\u0161te preru\u0161enih u fakture sa prilozima koji, kada se izvr\u0161e, koriste <em>PowerShell<\/em> i <em>Visual Basic<\/em> skripte za preuzimanje i izvr\u0161avanje <em>DanaBot<\/em> modula. <em>DanaBot<\/em> je u po\u010detku koristio <em>Word<\/em> dokumente sa ugra\u0111enim makroima za distribuciju, ali je kasnije evoluirao i po\u010deo da koristi druge metode kao \u0161to je <em>PowerShell<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Skup funkcija zlonamjernog softvera uklju\u010duje karakteristike bankarskog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanca<\/a>, iako neke od njegovih karakteristika ukazuju na to da postaje svestraniji. <em>DanaBot<\/em> se sastoji od tri glavne komponente: programa za u\u010ditavanje, primarnog tereta i modula. Program za u\u010ditavanje je dizajniran da preuzme glavnu komponentu, koja zatim instalira odre\u0111ene module koje je napada\u010d izabrao za svaku kampanju. Ovi moduli pru\u017eaju razli\u010dite funkcionalnosti u zavisnosti od njihovog izbora.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako bi ote\u017eao napore sigurnosnih istra\u017eiva\u010da, <em>DanaBot<\/em> nekoliko tehnika izbjegavanja. Jedna od njih je dodavanje velike koli\u010dine nepotrebnog k\u00f4da da bi se zavarali sigurnosni istra\u017eiva\u010di\u00a0 i automatizovana izolovana okru\u017eenja (eng. <em>sandboxes<\/em>). Tu je i upotreba <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripcije<\/a> za za\u0161titu svoje osnovne funkcionalnosti od analize, kao i modifikacija naziva <em>Windows API<\/em> funkcija, \u0161to ote\u017eava sigurnosnim istra\u017eiva\u010dima da identifikuju njihovu prvobitnu svrhu u k\u00f4du zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVA_KAMPANJA\"><\/span><strong><span style=\"font-size: 14pt;\">NOVA KAMPANJA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U novoj kampanji <a href=\"https:\/\/asec.ahnlab.com\/en\/65399\/\" target=\"_blank\" rel=\"noopener\">otkrivenoj od strane kompanije <em>AhnLab<\/em><\/a>, <em>DanaBot <\/em>se infiltrira u ra\u010dunarski sistem putem ne\u017eeljene elektronske po\u0161te sa zlonamjernim prilogom. Napad po\u010dinje kada primalac otvori <em>Word<\/em> dokument prilo\u017een uz elektronsku poruku, \u0161to pokre\u0107e niz procesa koji uklju\u010duju <em>Outlook<\/em> (<em>outlook.exe<\/em>), <em>Word<\/em> (<em>winword.exe<\/em>), <em>Command<\/em> <em>Prompt<\/em> (<em>cmd.exe<\/em>), <em>PowerShell<\/em> (<em>powershell.exe<\/em>), i <em>rundll32<\/em>.<em>exe<\/em>, \u0161to na kraju dovodi do izvr\u0161enja <em>DanaBot<\/em> zlonamjernog softvera (<em>iu4t4.exe<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Makro dokument ugra\u0111en u elektronsku po\u0161tu sadr\u017ei kodirane <em>CMD<\/em> komande koje se dekodiraju pomo\u0107u k\u00f4da makroa. Kada se izvr\u0161e, ove komande preuzimaju <em>PowerShell<\/em> skriptu sa servera za komandu i kontrolu (<em>C2<\/em>), koji zatim preuzima i instalira <em>DanaBot<\/em> zlonamjerni softver na sistem. Zlonamjerni softver se \u010duva u javnom direktorijumu korisnika (<em>C:\\Users\\Public<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>DanaBot<\/em> koristi prikrivene tehnike, kao \u0161to je samoubrizgavanje, gdje koristi <em>rundll32<\/em>.<em>exe<\/em> da izvr\u0161i funkcionalnost <em>shell32<\/em>.<em>dll<\/em> i radi pod maskom ove datoteke. Ovo omogu\u0107ava <em>DanaBot<\/em> zlonamjernom softveru da zaobi\u0111e sisteme za otkrivanje i uspostavi postojanost na zara\u017eenom sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon infekcije, <em>DanaBot<\/em> obavlja razli\u010dite zlonamjerne aktivnosti uklju\u010duju\u0107i snimanje snimaka ekrana, kra\u0111u osjetljivih informacija sa ra\u010dunara i kra\u0111u akreditiva za nalog pregleda\u010da. Ove radnje mogu kompromitovati cio sistem bez potrebe za stalnom komunikacijom sa njegovim komandnim i kontrolnim serverom (<em>C2<\/em>).<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>DanaBot<\/em> je zlonamjerni softver koji se u ovoj kampanji isporu\u010duje \u017ertvama putem zlonamjernih priloga elektronske po\u0161te, posebno <em>Word<\/em> dokumenata. Sami dokumenti ne sadr\u017ee zlonamjerni softver, ve\u0107 umjesto toga prevare korisnike da kliknu na spoljnu vezu koja pokre\u0107e proces infekcije. Koristi razli\u010dite tehnike kako bi izbjegao otkrivanje i uspostavio postojanost na zara\u017eenim sistemima, \u0161to ga \u010dini zna\u010dajnom prijetnjom i organizacijama i pojedincima. Kontinuirano pra\u0107enje kori\u0161tenjem bezbjednosnih proizvoda je klju\u010dno za otkrivanje i kontrolu neovla\u0161tenog pristupa za <em>DanaBot<\/em> zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici za\u0161titili od <em>DanaBot<\/em> zlonamjernog softvera, mogu slijedite ove korake:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Paziti na ne\u017eeljene elektronske poruke i priloge, tako \u0161to ne\u00a0 treba otvarati otvarajte priloge elektronske po\u0161te niti kliknuti na veze u elektronskim porukama iz nepoznatih izvora, \u010dak i ako se \u010dini da su to molbe za posao. Zlonamjerne poruke elektronske po\u0161te mogu se maskirati kao legitimne kako bi prevarile korisnike da otvorite prilog ili kliknu na vezu koja pokre\u0107e proces infekcije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Makroi bi trebalo da budu podrazumijevano onemogu\u0107eni u pode\u0161avanjima <em>Microsoft Office<\/em> paketa. Ako treba da koristiti makroe, uvjeriti se da dolaze iz pouzdanih izvora. Zlonamjerni softver \u010desto koristi makroe za izvr\u0161avanje zlonamjernog k\u00f4da i infekciju sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017eurirati operativni sistem, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> i internet pregleda\u010de kako bi se ispravile ranjivosti koje bi zlonamjerni softver, kao \u0161to je <em>DanaBot<\/em>, mogao iskoristiti. A\u017euriranje softvera poma\u017ee u za\u0161titi od poznatih prijetnji i smanjuje rizik od infekcije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontinuirano pra\u0107enje kori\u0161tenja bezbjednosnih proizvoda je klju\u010dno za otkrivanje i kontrolu neovla\u0161tenog pristupa od strane zlonamjernih prijetnji. Potrebno je koristiti pouzdano antivirusno rije\u0161enje, kao i softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) koji \u0107e pomo\u0107i da se identifikuju prijetnje i odgovori na njih u realnom vremenu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti informisan o najnovijim trendovima u <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbednosti<\/a> i prijetnjama kao \u0161to je <em>DanaBot<\/em> zlonamjerni softver. Redovno pratiti najbolje bezbjednosne prakse i uvjeriti se da su svi korisnici u organizaciji svjesni potencijalnih rizika i na\u010dina da ih ubla\u017ee,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jedinstvene i slo\u017eene <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za svaki nalog, posebno one povezane sa osvetljivim informacijama ili finansijskim transakcijama. Jake lozinke poma\u017eu u spre\u010davanju neovla\u0161tenog pristupa nalozima i smanjuju rizik od eksfiltracije podataka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>), \u0161to \u0107e pru\u017eiti dodatni nivo bezbednosti zahtjevaju\u0107i od korisnika da obezbijede dodatni oblik verifikacije pre nego \u0161to se prijave na svoj nalog, \u0161to ote\u017eava napada\u010dima da dobiju neovla\u0161teni pristup \u010dak i ako uspiju da dobiju korisni\u010dku lozinku.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>DanaBot je sofisticirani tip zlonamjernog softvera poznat po svojim tehnikama samoubrizgavanja za zaobila\u017eenje otkrivanja i uspostavljanje postojanosti na zara\u017eenim sistemima. Zlonamjerna kampanja po\u010dinje elektronskom po\u0161tom koja sadr\u017ei u prilogu Word dokument koji, kada se&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6636,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1297,1294,1290,1298,1299,1293,1291,304,61,275,1295,1296,1292],"class_list":["post-6633","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2-servers","tag-cmdexe","tag-danabot-malware","tag-email-security","tag-job-applications","tag-macros","tag-malicious-email-attachments","tag-microsoft-office","tag-phishing","tag-powershell","tag-rundll32exe","tag-selfinjection-technique","tag-word-documents"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6633","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6633"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6633\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6636"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}