{"id":7220,"date":"2024-09-29T15:07:09","date_gmt":"2024-09-29T13:07:09","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7220"},"modified":"2024-09-29T15:07:09","modified_gmt":"2024-09-29T13:07:09","slug":"minifilter-se-moze-zloupotrebiti","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/","title":{"rendered":"MiniFilter se mo\u017ee zloupotrebiti da bi se zaobi\u0161ao EDR"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>MiniFilter<\/em> se mo\u017ee zloupotrebiti da bi se zaobi\u0161ao softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) <a href=\"https:\/\/tierzerosecurity.co.nz\/2024\/09\/18\/blind-edr-revisited.html\" target=\"_blank\" rel=\"noopener\">otkriva <em>Eito<\/em> <em>Tamura<\/em><\/a>, sigurnosni istra\u017eiva\u010d kompanije <em>Tier Zero Security<\/em>. Otkri\u0107e pokazuje da bi <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> mogli iskoristiti <em>Windows<\/em> <em>MiniFilter<\/em> upravlja\u010dke softvere kako bi zaobi\u0161li softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>) i na taj na\u010din potencijalno ugrozili bezbjednost sistema koji rade na <em>Windows<\/em> platformi.<\/span><\/p>\n<div id=\"attachment_7223\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7223\" class=\"size-full wp-image-7223\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse.jpg\" alt=\"MiniFilter\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/MiniFilter-Abuse-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7223\" class=\"wp-caption-text\"><em>MiniFilter se mo\u017ee zloupotrebiti da bi se zaobi\u0161ao EDR; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#MINIFILTER\">MINIFILTER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#Zloupotreba\">Zloupotreba<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#Ublazavanja_zloupotrebe\">Ubla\u017eavanja zloupotrebe<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#Zaobilazenje_ublazavanja\">Zaobila\u017eenje ubla\u017eavanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#Uticaj\">Uticaj<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/29\/minifilter-se-moze-zloupotrebiti\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"MINIFILTER\"><\/span><strong><em>MINIFILTER<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>MiniFilter<\/em> upravlja\u010dki softveri (eng. <em>drivers<\/em>) su klju\u010dna komponenta u operativnom sistemu <em>Windows<\/em>, odgovorni za nadgledanje i filtriranje aktivnosti sistema datoteka. Oni rade unutar prostora sistemskog jezgra (eng. <em><span class=\"md svelte-8tpqd2 chatbot prose\">kernel<\/span>),<\/em> \u0161to im omogu\u0107ava da presretnu i manipuli\u0161u podacima pre nego \u0161to stignu na svoje odredi\u0161te. Jedan od takvih upravlja\u010dkih softvera je <em>Sysmon<\/em>, koji profesionalci za bezbjednost \u010desto koriste za tra\u017eenje prijetnji i reagovanje na incidente zbog njegovih \u0161irokih mogu\u0107nosti evidentiranja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zloupotreba\"><\/span><strong>Zloupotreba<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ranjivost koja se koristi u ovom slu\u010daju se vrti oko <em>Altitude<\/em> postavke unutar unosa u registru upravlja\u010dkih softvera <em>MiniFilter<\/em>. Ovi upravlja\u010dki softveri su klju\u010dna komponenta <em>Windows<\/em> ekosistema, odgovorni za upravljanje i modifikovanje ulazno\/izlaznih (<em>I\/O<\/em>) operacija unutar operativnog sistema bez direktnog pristupa sistemu datoteka. Oni koriste <em>Filter<\/em> <em>Manager<\/em> za pojednostavljeni razvoj, omogu\u0107avaju\u0107i im da dosljedno presretnu razli\u010dite operacije sa datotekama. Me\u0111utim, ovaj dizajn mogu da iskoriste zlonamjerni akteri koji \u017eele da izbjegnu softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ranjivost le\u017ei u <em>Altitude <\/em>vrijednosti koja je dodijeljena svakom <em>MiniFilter <\/em>upravlja\u010dkom softveru (izme\u0111u 0 i 429900), koja odre\u0111uje njihov redosljed <em>Filter<\/em> <em>Manager <\/em>u\u010ditavanja. Manipuli\u0161u\u0107i <em>Windows<\/em> sistemskim registrima, zlonamjerni akter mo\u017ee da ponovo dodjeli <em>Altitude <\/em>vrijednost <em>EDR<\/em> upravlja\u010dkog softvera drugom <em>MiniFilter<\/em> upravlja\u010dkom softveru koji se ranije u\u010ditava, spre\u010davaju\u0107i da se softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>) registruje u <em>Filter<\/em> <em>Manager-<\/em>u. Ovo efikasno zaslepljuje telemetriju softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>), dozvoljavaju\u0107i zlonamjernim aktivnostima da ostanu neotkrivene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo funkcioni\u0161e tako \u0161to zlonamjerni akteri mogu da koriste nekonvencionalni tip sistemskog registra koji se zove <em>REG_MULTI_SZ<\/em> umjesto standardnog <em>REG_DWORD<\/em> za <em>Altitude<\/em> unose. Ovaj pristup omogu\u0107ava zlonamjernim akterima da dodjeljuju vi\u0161e vrijednosti jednom unosu, efektivno stvaraju\u0107i duple <em>Altitude<\/em> vrijednosti koje nisu mogle biti otkrivene kao neva\u017ee\u0107e zbog ograni\u010denja procesa validacije kompanije <em>Microsoft, <\/em>proizvo\u0111a\u010da <em>Windows<\/em> operativnog sistema. Ova tehnika mo\u017ee da blokira u\u010ditavanje <em>EDR<\/em> upravlja\u010dkog softvera, onemogu\u0107avaju\u0107i za\u0161titu u realnom vremenu i omogu\u0107avaju\u0107i izvr\u0161avanje zlonamjernih alata kao \u0161to je <em>Mimikatz<\/em> bez otkrivanja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOvo efikasno zaslepljuje telemetriju blokiranjem povratnih poziva sistemskog jezgra. Ovo iskori\u0161tava redosljeda MiniFilter u\u010ditavanja i zahtev da Altitude svakog MiniFilter upravlja\u010dkog softvera mora biti jedinstvena\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Eito Tamura, Principal Consultant, Tier Zero Security &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ublazavanja_zloupotrebe\"><\/span><strong>Ubla\u017eavanja zloupotrebe<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kao odgovor na ovu zloupotrebu, kompanija <em>Microsoft<\/em> je primijenila nekoliko ubla\u017eavanja. Jedna takva mjera uklju\u010duje pojavu upozorenja i prekid <em>regedit<\/em> procesa kada se poku\u0161a promijeniti <em>Altitude<\/em> vrijednost <em>Sysmon<\/em> upravlja\u010dkog softvera kori\u0161tenjem nepodr\u017eanih tipova sistemskih registra. Ova akcija efikasno spre\u010dava zlonamjerne aktere da iskoriste ovu ranjivost.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, ovo ne elimini\u0161e druge vektore napada kao \u0161to je kori\u0161tenje podrazumijevanih <em>MiniFilter<\/em> upravlja\u010dkih softvera ili ciljanje kriti\u010dnih upravlja\u010dkih softvera kao \u0161to su <em>WdFilter<\/em> i <em>MsSecFlt<\/em>. Da bi rije\u0161ili ove preostale ranjivosti, neophodno je da timovi u bezbjednosno operativnim centrima (eng. <em>Security<\/em> <em>Operation<\/em> <em>Center<\/em> \u2013 <em>SOC<\/em>) usvoje vi\u0161eslojnu strategiju odbrane koja uklju\u010duje pra\u0107enje promjena sistemskih registara u vezi sa <em>Altitude<\/em> vrijednostima u svim <em>MiniFilter<\/em> upravlja\u010dkim softverima, implementaciju jakih kontrola pristupa, a\u017euriranje softvera i edukaciju korisnika o rizik od klikanja na sumnjive veze ili preuzimanja neprovjerenih datoteka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zaobilazenje_ublazavanja\"><\/span><strong>Zaobila\u017eenje ubla\u017eavanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Igra ma\u010dke i mi\u0161a izme\u0111u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnih istra\u017eiva\u010da<\/a> i bezbjednosnih timova sa jedne strane i zlonamjernih aktera sa druge strane se nastavlja. Kako se razvijaju tehnike ubla\u017eavanja, tako se razvijaju i metode za njihovo zaobila\u017eenje. U nastavke \u0107e biti rije\u010di o potencijalnim na\u010dinima zaobila\u017eenja iznad navedenog ubla\u017eavanja kompanije <em>Microsoft<\/em> koje spre\u010dava promjenu <em>Altitude<\/em> vrijednosti <em>Sysmon<\/em> upravlja\u010dkog softvera kori\u0161tenjem nepodr\u017eanih tipova sistemskih registra. Zlonamjernim akterima potencijalno ostaju sljede\u0107e mogu\u0107nosti:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Manipulacija zasnovana na vremenu, gdje bi zlonamjerni akteri mogli da manipuli\u0161u redosljedom u\u010ditavanja <em>MiniFilter<\/em> upravlja\u010dkih softvera uvo\u0111enjem ka\u0161njenja u njihovo vreme u\u010ditavanja, \u0161to bi im omogu\u0107ilo da izmjene pode\u0161avanja sistemskih registara prije nego \u0161to legitimni <em>EDR<\/em> upravlja\u010dki softveri budu imali priliku da se registruju kod <em>Filter<\/em> <em>Manager-<\/em>a,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ako se manipulacija zasnovana na vremenu poka\u017ee neuspje\u0161nom, zlonamjerni akteri bi mogli da tra\u017ee alternativne metode za modifikaciju pode\u0161avanja sistemskog registra, kao \u0161to je iskori\u0161tavanje ranjivosti u operativnom sistemu ili kori\u0161tenje nedokumentovanih funkcija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni akteri mogu koristiti vi\u0161estepene napade, gdje prvo zaobilaze ubla\u017eavanja da bi dobili pristup, a zatim koriste taj pristup da dalje manipuli\u0161u sistemom i izbjegavaju otkrivanje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">U nekim slu\u010dajevima, zlonamjerni akteri mogu da pribjegnu taktikama dru\u0161tvenog in\u017eenjeringa kako bi ubijedili administratore sistema ili programere da namjerno ili nenamjerno izmjene pode\u0161avanja sistemskih registara na svojim sistemima.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj\"><\/span><strong>Uticaj<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Uticaji ove ranjivosti su dalekose\u017ene, jer nagla\u0161avaju potencijalnu slabost odbrambenih mehanizama operativnog sistema <em>Windows<\/em> od sajber prijetnji. Zlonamjerni akteri sada mogu da koriste <em>MiniFilter<\/em> upravlja\u010dke softvere ne samo za manipulaciju <em>EDR<\/em> upravlja\u010dkim softverima, ve\u0107 i na svim upravlja\u010dkim softverima prisutnim u sistemu, \u0161to podvla\u010di da je sveobuhvatno pra\u0107enje i reagovanje klju\u010dno za efikasnu odbranu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi se suprotstavili ovoj prijetnji, timovi u bezbjednosno operativnim centrima (<em>SOC<\/em>) moraju da daju prioritet pa\u017eljivom pra\u0107enju promjena sistemskih registra na promjene koje se odnose na <em>Altitude<\/em> u svim <em>MiniFilter <\/em>upravlja\u010dkim softverima. Brz odgovor na bilo koju otkrivenu anomaliju mo\u017ee pomo\u0107i da se minimizira potencijalna \u0161teta i sprije\u010di dalje kori\u0161tenje ranjivosti. Pored toga, primjena robusnih kontrola pristupa i redovno a\u017euriranje sistemskog softvera mo\u017ee pomo\u0107i u smanjenju rizika od uspje\u0161nih napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zloupotreba <em>Windows<\/em> <em>MiniFilter<\/em> upravlja\u010dkog softvera od strane zlonamjernih aktera se pojavila kao zna\u010dajna briga za profesionalce u <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> i timove u bezbjednosno operativnim centrima (<em>SOC<\/em>) \u0161irom sveta. Ova ranjivost omogu\u0107ava zlonamjernim akterima da zaobi\u0111u softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>), potencijalno kompromituju\u0107i bezbjednosni polo\u017eaj organizacije bez podizanja alarma. To zna\u010di da bilo kakva zlonamjerna aktivnost koja se dogodi na sistemu ne\u0107e biti otkrivena niti prijavljena timu u bezbjednosno operativnim centrima (<em>SOC<\/em>) radi analize i odgovora.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U nastaloj situaciji, timovima u bezbjednosno operativnim centrima (<em>SOC<\/em>) se savjetuje da prate sumnjive promjene sistemskih registara u vezi sa <em>Altitude<\/em> vrijednostima u svim <em>MiniFilter<\/em> upravlja\u010dkim softverima, a ne samo u <em>Sysmon<\/em>. Brzo reagovanje na takve promjene klju\u010dno je za odr\u017eavanje efektivnog bezbjednosnog polo\u017eaja i smanjivanje rizika od uspje\u0161nog napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Treba voditi ra\u010duna da softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) igraju vitalnu ulogu u otkrivanju prijetnji i reagovanju na njih, ali oni nisu svemogu\u0107i. Razumijevanjem ove ranjivosti i preduzimanjem proaktivnih mjera za njeno ubla\u017eavanje, organizacije mogu da unaprijede svoj ukupni bezbjednosni stav i bolje se za\u0161tite od <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednih trajnih prijetnji<\/a> (eng. <em>Advanced persistent threat \u2013 APT<\/em>) i drugih zlonamjernih aktera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titili, organizacije i timovi u bezbjednosno operativnim centrima (<em>SOC<\/em>) bi trebali da primjene sljede\u0107e preporuke:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017eurirati softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>), po\u0161to proizvo\u0111a\u010di \u010desto objavljuju ispravke za poznate ranjivosti kao \u0161to je i <em>MiniFilter<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ograni\u010diti korisni\u010dke naloge sa administrativnim privilegijama da bi se smanjila potencijalna \u0161teta od uspje\u0161nog napada. Ovaj princip mo\u017ee pomo\u0107i u spre\u010davanju neovla\u0161tenih modifikacija sistemskih datoteka i unosa u sistemskim registrima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti alata za pra\u0107enje koji mogu pratiti promjene u <em>Windows<\/em> sistemskim registrima, po\u0161to manipulacija odre\u0111enim klju\u010devima sistemskih registara mogu dovesti do zloupotrebe <em>MiniFilter <\/em>upravlja\u010dkih softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti listu dozvoljenog softvera da bi se ograni\u010dili softveri koji mogu da se pokre\u0107u na sistemima, smanjuju\u0107i povr\u0161inu napada za potencijalne prijetnje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati vi\u0161e slojeva bezbjednosti, kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a>, za\u0161titni zidovi i sistemi za otkrivanje\/prevenciju upada (eng. <em>intrusion detection\/prevention systems \u2013 IDPS<\/em>). Svaki od ovih slojeva pru\u017ea dodatnu barijeru protiv potencijalnih napada,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jake kontrole pristupa da bi se ograni\u010dilo ko mo\u017ee da mijenja kriti\u010dne sistemske datoteke i unose u sistemske registre. Ovo uklju\u010duje kori\u0161tenje dozvola koje omogu\u0107avaju samo neophodne promjene i pra\u0107enje aktivnosti korisnika radi sumnjivog pona\u0161anja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati korisnike o najboljim praksama za bezbjedno kori\u0161tenje ra\u010dunara, kao \u0161to je neotvaranje neo\u010dekivanih priloga elektronske po\u0161te ili klikanje na veze iz nepouzdanih izvora. Edukacija korisnika mo\u017ee pomo\u0107i u spre\u010davanju da nehotice unesu prijetnje u sistem,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno provjeravati sistem da bi se identifikovale sve potencijalne ranjivosti i preduzele korektivne mjere kada je to potrebno. Ovo uklju\u010duje pregled instaliranih <em>MiniFilter <\/em>upravlja\u010dkih softvera, pra\u0107enje neobi\u010dnih aktivnosti i provjeru da li softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>) ispravno funkcioni\u0161e,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> kriti\u010dnih podataka da da bi se obezbijedio kontinuitet poslovanja u slu\u010daju napada ili kompromitovanja sistema. U slu\u010daju uspje\u0161ne infekcije, treba biti mogu\u0107e vratiti svoje sisteme iz \u010diste rezervne kopije i na taj na\u010din smanjiti potencijalnu \u0161tetu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> kako bi se smanjio uticaj uspje\u0161nog napada zloupotrebom <em>MiniFilter <\/em>upravlja\u010dkih softvera. Ovo bi trebalo da uklju\u010duje korake za izolovanje zara\u017eenih sistema, zadr\u017eavanje \u0161irenja zlonamjernih aktivnosti i vra\u0107anje zahva\u0107enih podataka iz rezervnih kopija. To podrazumijeva i redovno testiranje Plan odgovora na sajber prijetnju kako bi se osiguralo da je efikasan i a\u017euriran sa najnovijim prijetnjama.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>MiniFilter se mo\u017ee zloupotrebiti da bi se zaobi\u0161ao softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response \u2013 EDR) otkriva Eito Tamura, sigurnosni istra\u017eiva\u010d kompanije Tier Zero Security. Otkri\u0107e pokazuje da&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7223,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2141,235,2144,2138,2146,2140,2139,2145,2143,1309,2142],"class_list":["post-7220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-altitude-manipulation","tag-edr","tag-malware-detection","tag-minifilter-abuse","tag-regedit-manipulation","tag-registry-hacking","tag-sysmon-driver-vulnerability","tag-system-protection-bypass","tag-system-security","tag-windows-defender-bypass","tag-windows-defender-evasion"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7220"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7220\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7223"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}