{"id":7076,"date":"2024-08-18T22:58:08","date_gmt":"2024-08-18T20:58:08","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7076"},"modified":"2024-08-18T22:58:08","modified_gmt":"2024-08-18T20:58:08","slug":"sbaproxy-zloupotrebljava-antivirusni-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/08\/18\/sbaproxy-zloupotrebljava-antivirusni-softver\/","title":{"rendered":"SbaProxy zloupotrebljava antivirusni softver"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>SbaProxy<\/em> je <a href=\"https:\/\/cybersecurity.att.com\/blogs\/labs-research\/hijacked-how-cybercriminals-are-turning-anti-virus-software-against-you\" target=\"_blank\" rel=\"noopener\">nedavno otkrivena alatka<\/a> od strane kompanije <em>LevelBlue Labs<\/em>, koja je postala dio evoluiraju\u0107e taktike <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a>, omogu\u0107avaju\u0107i zlonamjernim akterima da iskoriste legitimni <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> u zlonamjerne svrhe. Ovaj sofisticirani napad koristi <em>SbaProxy<\/em> kao <em>proxy<\/em> komponentu, maskiraju\u0107i se kao legitimni antivirusni element za uspostavljanje veza preko komandnog i kontrolnog (<em>C&amp;C<\/em>) servera.<\/span><\/p>\n<div id=\"attachment_7077\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7077\" class=\"size-full wp-image-7077\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware.jpg\" alt=\"SbaProxy\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SbaProxy-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7077\" class=\"wp-caption-text\"><em>SbaProxy zloupotrebljava antivirusni softver; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/18\/sbaproxy-zloupotrebljava-antivirusni-softver\/#SBAPROXY\">SBAPROXY<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/18\/sbaproxy-zloupotrebljava-antivirusni-softver\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/18\/sbaproxy-zloupotrebljava-antivirusni-softver\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/18\/sbaproxy-zloupotrebljava-antivirusni-softver\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"SBAPROXY\"><\/span><strong><em>SBAPROXY<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Razvoj zlonamjernih prijetnji do\u017eivio je zna\u010dajnu promjenu posljednjih godina sa zlonamjernim akterima koji koriste sve naprednije tehnike da zaobi\u0111u bezbjednosne mjere. Jedan takav metod je otmica legitimnog antivirusnog softvera u zlonamjerne svrhe. Zlonamjerni akteri modifikuju ove komponente, \u010dine\u0107i ih te\u0161kim za otkrivanje dok izvode svoje napade. Neka ciljana rje\u0161enja uklju\u010duju <em>Malwarebytes<\/em>, <em>BitDefender<\/em> i <em>APEX<\/em>\u00a0 proizvode.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>SbaProxy<\/em> predstavlja zna\u010dajno odstupanje od tradicionalnih sajber prijetnji koje se oslanjaju na stvaranje novog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> ili iskori\u0161\u0107avanje poznatih ranjivosti. Umjesto toga, zlonamjerni akteri su izabrali suptilniji pristup: ciljaju upravo na alate dizajnirane da za\u0161tite korisnike od takvih napada \u2013 antivirusni softver. \u010cine\u0107i to, oni odr\u017eavaju benigni izgled softvera dok mu ubrizgavaju zlonamjerni k\u00f4da koji mo\u017ee da nanese ogromnu \u0161tetu inficiranim korisnicima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>SbaProxy<\/em> je dizajniran da otme legitimni antivirusni softver tako \u0161to se predstavlja kao komponenta od povjerenja, \u0161to ote\u017eava otkrivanje i blokiranje bezbjednosnih rje\u0161enja. Zlonamjerni softver koristi va\u017ee\u0107e certifikate izdate od pouzdanih autoriteta za certifikate (eng. <em>certificate authorities \u2013 CA<\/em>), \u0161to dodatno komplikuje proces otkrivanja prijetnji. Integri\u0161u\u0107i se u postoje\u0107i antivirusni softver ili kreiraju\u0107i nove binarne datoteke koje opona\u0161aju legitimne, <em>SbaProxy<\/em> mo\u017ee zaobi\u0107i tradicionalna antivirusna rje\u0161enja zasnovana na potpisima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>SbaProxy<\/em> dolazi u razli\u010ditim formatima kao \u0161to su <em>DLL<\/em>, <em>EXE<\/em> i <em>PowerShell<\/em> skripte. Ove datoteke su \u010desto maskirane kao legitimne komponente ili a\u017euriranja za popularni softver kako bi se izbjegla detekcija od strane bezbjednosnih rje\u0161enja. Jednom instaliran na sistemu \u017ertve, <em>SbaProxy<\/em> uspostavlja vi\u0161estruke veze sa svojim <em>C&amp;C<\/em> serverom tako \u0161to po\u010dinje sa dodjeljivanjem memorije za <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a>, de\u0161ifrovanjem pomo\u0107u \u010dvrsto kodiranog vi\u0161ebajtnog <em>XOR<\/em> klju\u010da i njegovim izvr\u0161avanjem.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova po\u010detna komunikacija sa serverom za komandu i kontrolu (<em>C&amp;C<\/em>) prili\u010dno je neobi\u010dna, jer obavlja seriju poziva funkcije \u201c<em>send<\/em>\u201d sa nultim sadr\u017eajem i du\u017einama od 16, 4 i 0 bajtova, respektivno. Iako posljednje slanje ima du\u017einu korisnog optere\u0107enja od 0 bajtova, ono i dalje izaziva slanje <em>TCP<\/em> paketa preko mre\u017ee. Ovu magi\u010dnu sekvencu vjerovatno koristi zlonamjerni klijent da bi obezbijedio da samo <em>C&amp;C<\/em> server odgovori, \u010dime se uspostavlja bezbjedna veza izme\u0111u njih.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon ove po\u010detne komunikacije, klijent prima 16 bajtova od <em>C&amp;C<\/em> servera i \u0161alje ih nazad preko novog priklju\u010dka (eng. <em>socket<\/em>). Kreiranje novog priklju\u010dka za svaki primljeni odgovor omogu\u0107ava nekoliko aktivnih veza paralelno, omogu\u0107avaju\u0107i napada\u010dima da efikasno upravljaju velikim koli\u010dinama saobra\u0107aja. Ova iterativna petlja se nastavlja sve dok <em>C&amp;C<\/em> server ne odlu\u010di da prekine vezu ili kada klijent dostigne svoj maksimalni kapacitet za otvorene priklju\u010dke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Model generisanja prihoda koji koristi <em>SbaProxy<\/em> je raznolik i prilagodljiv. Mo\u017ee da presre\u0107e mre\u017eni saobra\u0107aj i da ga mijenja po potrebi pre nego \u0161to ga po\u0161alje nazad na odredi\u0161te. Ovo omogu\u0107ava napada\u010dima da ukradu osjetljive informacije, ubace zlonamjerni softver u internet stranice ili \u010dak izvedu <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/17\/man-in-the-middle-attack-mitm\/\" target=\"_blank\" rel=\"nofollow noopener\">napade \u010dovjek u sredini<\/a> (eng. <em>Man-in-the-Middle Attack \u2013 MitM<\/em>). Pored toga, <em>SbaProxy<\/em> se mo\u017ee koristiti za prevaru u vezi sa klikovima, gdje generi\u0161e la\u017ene klikove na internet oglasima kako bi ostvario prihod za zlonamjerne aktere. Potencijal za finansijsku dobit je zna\u010dajan, \u0161to ovo \u010dini veoma unosnim poduhvatom za zlonamjerne aktere.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SbaProxy<\/em> izaziva zna\u010dajnu zabrinutost u sajber bezbjednosnoj zajednici zbog svoje sposobnosti da radi ispod radara koriste\u0107i pouzdane bezbjednosne alate. Primarna komponenta zlonamjernog softvera je dizajnirana tako da je te\u017ee otkriti, jer se za izvr\u0161enje oslanja na legitiman softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna od <em>SbaProxy <\/em>najistaknutijih taktika izbjegavanja uklju\u010duje upotrebu va\u017ee\u0107ih ili naizgled validnih certifikata za potpisivanje zlonamjernih binarnih datoteka. Ova tehnika omogu\u0107ava zlonamjernom softveru da zaobi\u0111e bezbjednosne provjere i efikasno se sakrije na vidnom mjestu. Napadi zasnovani na certifikatima postali su sve \u010de\u0161\u0107i, jer zlonamjerni akteri prepoznaju potencijal da izbjegnu sisteme za otkrivanje koji se oslanjaju na validaciju certifikata.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>SbaProxy<\/em> se distribuira kroz razli\u010dite formate, uklju\u010duju\u0107i <em>DLL<\/em>, <em>EXE<\/em> i <em>PowerShell<\/em> skripte. Zajedni\u010dka funkcionalnost izme\u0111u ovih razli\u010ditih metoda distribucije pove\u0107ava otpornost napada tako \u0161to ote\u017eava bezbjednosnim rje\u0161enjima da otkriju dosljedne obrasce. Ovaj vi\u0161estruki pristup nagla\u0161ava prilagodljivost savremenih prijetnji zlonamjernog softvera i nagla\u0161ava va\u017enost sna\u017ene odbrambene strategije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno borili protiv <em>SbaProxy<\/em> zlonamjernog softvera i sli\u010dnih naprednih prijetnji, organizacije moraju da ostanu budne i proaktivne u svojim naporima <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Ovo uklju\u010duje implementaciju vi\u0161eslojnih bezbjednosnih rje\u0161enja koja mogu da otkriju anomalno pona\u0161anje i prilagode se novim trendovima prijetnji. Pored toga, kontinuirano pra\u0107enje mre\u017enog saobra\u0107aja i sistemskih evidencija je klju\u010dno za identifikaciju potencijalnih prijetnji pre nego \u0161to izazovu zna\u010dajnu \u0161tetu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da biste se za\u0161titili od <em>SbaProxy<\/em> zlonamjernog alata, neophodno je primijeniti vi\u0161eslojni bezbjednosni pristup koji uklju\u010duje slijede\u0107e mjere:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati antivirusni softver a\u017eurnim i uvjeriti se da se koristi najnovija verzija antivirusnog softvera instalirana na svim ure\u0111ajima uz redovno a\u017euriranje. Ovo \u0107e pomo\u0107i u za\u0161titi od poznatih prijetnji, uklju\u010duju\u0107i one distribuirane u obliku zlonamjernih binarnih datoteka potpisanih sa va\u017ee\u0107im ili naizgled va\u017ee\u0107im certifikatima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preuzimati softver samo iz pouzdanih izvora da bi se smanjili rizici od uno\u0161enja zlonamjernog softvera. Biti oprezan sa elektronskom po\u0161tom i internet lokacijama koje nude besplatno preuzimanje softvera, jer mogu sadr\u017eati zlonamjerne priloge ili veze,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati listu dozvoljenih aplikacija, jer ova bezbjednosna mjera dozvoljava samo odobrenim aplikacijama da se pokre\u0107u na ure\u0111aju. Primjenom ove mjere mo\u017ee se sprije\u010diti izvr\u0161avanje bilo kog neodobrenog softvera, uklju\u010duju\u0107i i onaj koji se distribuira u obliku <em>SbaProxy <\/em>zlonamjernog alata i drugih sli\u010dnih alata,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti za\u0161titni zid, jer mo\u017ee pomo\u0107i da se blokiraju dolazne veze sa poznatih zlonamjernih <em>IP<\/em> adresa ili domena povezanih sa <em>C&amp;C<\/em> serverima koje koriste zlonamjerni akteri za distribuciju <em>SbaProxy<\/em> i drugih alata zlonamjernih alata,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno skenirati sisteme u potrazi za ranjivostima, uklju\u010duju\u0107i zastareli softver, pogre\u0161no konfigurisanim pode\u0161avanjima i slabim <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkama<\/a>. Ovo \u0107e pomo\u0107i u identifikaciji potencijalnih slabosti koje bi napada\u010di mogli da iskoriste koriste\u0107i sofisticirane taktike poput onih koje koristi <em>SbaProxy<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obu\u010diti zaposlene o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em><\/a> napadima koji su su uobi\u010dajeni vektor za distribuciju zlonamjernog softvera. Zaposleni bi trebalo da prepoznaju i prijave sumnjive elektronske poruke, posebno one koje sadr\u017ee priloge ili veze koje od njih tra\u017ee da preuzmu softver ili daju osjetljive informacije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati segmentaciju mre\u017ee, jer mo\u017ee pomo\u0107i u ograni\u010davanju \u0161irenja zlonamjernog softvera u slu\u010daju da napada\u010d uspije da zaobi\u0111e druge mjere bezbjednosti. Izolovanjem kriti\u010dnih sistema iz manje bezbjednih dijelova mre\u017ee, mo\u017ee se smanjiti potencijalna \u0161teta uzrokovana uspje\u0161nim napadom,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti izolovana okru\u017eenja (eng. <em>sandbox<\/em>) za testiranje softvera prije nego \u0161to se novi softver primjeni na proizvodnim mre\u017eama. Testiranje novog softvera mo\u017ee omogu\u0107iti identifikaciju svih potencijalnih ranjivosti ili zlonamjernog pona\u0161anja koje bi moglo da dovede sisteme u opasnost.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>SbaProxy je nedavno otkrivena alatka od strane kompanije LevelBlue Labs, koja je postala dio evoluiraju\u0107e taktike zlonamjernih aktera, omogu\u0107avaju\u0107i zlonamjernim akterima da iskoriste legitimni antivirusni softver u zlonamjerne svrhe. Ovaj sofisticirani napad koristi SbaProxy&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7077,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1829,1325,1971,1968,1969,1485,1970,1972,1521,1967,1966,1974,1973,1975],"class_list":["post-7076","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-antivirus-software","tag-cc-server","tag-detectability-challenges","tag-dlls","tag-exes","tag-hackers","tag-legitimate-appearance","tag-modified-binaries","tag-powershell-scripts","tag-revenue-generation","tag-sbaproxy","tag-security-check-bypass","tag-valid-certificates","tag-xor-encrypted"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7076"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7076\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7077"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}