{"id":8029,"date":"2025-05-24T11:37:28","date_gmt":"2025-05-24T09:37:28","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8029"},"modified":"2025-05-24T11:37:28","modified_gmt":"2025-05-24T09:37:28","slug":"povrsina-napada-zasnovana-iskljucivo-na-kontekstu","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/","title":{"rendered":"Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu zaobilazi EDR rje\u0161enja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">Povr\u0161ina napada<\/a> zasnovana isklju\u010divo na kontekstu (eng. <em>context-only attack surface<\/em>) predstavlja zna\u010dajnu promjenu u taktikama sajber prijetnji, onu koja iskori\u0161tava slabosti tradicionalnih metoda detekcije. Iskori\u0161tavanjem karakteristika dijeljene memorije na <em>Windows<\/em> sistemima, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> sada mogu izvr\u0161avati zlonamjerni k\u00f4d bez dodjeljivanja ili pisanja novih podataka, \u0161to mnoge softvere za detekciju i odgovor na prijetnje (eng. <em>endpoint detection and response \u2013 EDR<\/em>) \u010dini neefikasnim.<\/span><\/p>\n<div id=\"attachment_8030\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8030\" class=\"wp-image-8030 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface.jpg\" alt=\"Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/CONTEXT-Only-Attack-Surface-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8030\" class=\"wp-caption-text\"><em>Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu zaobilazi EDR rje\u0161enja; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#POVRSINA_NAPADA_ZASNOVANA_ISKLJUCIVO_NA_KONTEKSTU\" >POVR\u0160INA NAPADA ZASNOVANA ISKLJU\u010cIVO NA KONTEKSTU<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#Evolucija_tehnika_ubrizgavanja_procesa\" >Evolucija tehnika ubrizgavanja procesa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#Tri_metode_implementacije\" >Tri metode implementacije<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#DLL_ubrizgavanje_zasnovano_samo_na_pokazivacu\" >DLL ubrizgavanje zasnovano samo na pokaziva\u010du<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#Manipulisanje_kontekstom_procesa\" >Manipulisanje kontekstom procesa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#NtCreateThread_ubrizgavanje_konteksta\" >NtCreateThread ubrizgavanje konteksta<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#UTICAJ\" >UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/24\/povrsina-napada-zasnovana-iskljucivo-na-kontekstu\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n\n<h1><span class=\"ez-toc-section\" id=\"POVRSINA_NAPADA_ZASNOVANA_ISKLJUCIVO_NA_KONTEKSTU\"><\/span><strong>POVR\u0160INA NAPADA ZASNOVANA ISKLJU\u010cIVO NA KONTEKSTU<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">Povr\u0161ina napada<\/a> zasnovana isklju\u010divo na kontekstu odnosi se na novu tehniku ubrizgavanja procesa koja omogu\u0107ava zlonamjernim akterima da izbjegnu otkrivanje od strane softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Ovaj pristup koristi postoje\u0107e primitivne elemente izvr\u0161avanja na <em>Windows<\/em> sistemima, efektivno zaobilaze\u0107i tradicionalne faze alokacije i pisanja u memoriji koje sigurnosni proizvodi obi\u010dno nadziru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Fokusiraju\u0107i se isklju\u010divo na primitivne elemente izvr\u0161avanja, zlonamjerni akteri mogu izvr\u0161avati zlonamjerni k\u00f4d unutar ciljnog procesa bez pokretanja upozorenja od strane softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Ova tehnika elimini\u0161e potrebu za standardnom udaljenom alokacijom ili modifikacijom memorije, \u0161to ote\u017eava otkrivanje kori\u0161tenjem konvencionalnih metoda. Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu predstavlja novi vektor napada kojeg sigurnosni stru\u010dnjaci moraju biti svjesni kako bi se efikasno branili od modernih prijetnji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Evolucija_tehnika_ubrizgavanja_procesa\"><\/span><strong>Evolucija tehnika ubrizgavanja procesa<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Tradicionalne tehnike ubrizgavanja procesa ve\u0107 su neko vrijeme osnovna pojava u svijetu <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> i zlonamjernih aktera. Ove metode obi\u010dno slijede predvidljiv obrazac, koji uklju\u010duje alokaciju memorije u ciljnom procesu, pisanje zlonamjernog k\u00f4da u tu memoriju i kona\u010dno njegovo izvr\u0161avanje. Ovaj pristup su opse\u017eno prou\u010davali <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a>, a softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) su posljedi\u010dno usmjerili svoje mogu\u0107nosti detekcije na identifikaciju ove tri razli\u010dite faze.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, kao i kod svakog promjenjivog pejza\u017ea prijetnji, zlonamjerni akteri stalno tra\u017ee nove na\u010dine da zaobi\u0111u tradicionalne metode odbrane. <a href=\"https:\/\/blog.fndsec.net\/2025\/05\/16\/the-context-only-attack-surface\/\" target=\"_blank\" rel=\"noopener\">U nedavnoj studiji<\/a>, sigurnosni istra\u017eiva\u010di <em>Yehuda<\/em> <em>Smirnov<\/em>, <em>Hoshea<\/em> <em>Yarden<\/em>, <em>Hai<\/em> <em>Vaknin<\/em> i <em>Noam<\/em> <em>Pomerantz<\/em> su postavili intrigantno pitanje: \u201c<em>\u0160ta ako u potpunosti presko\u010dimo alokaciju i pisanje?<\/em>\u201d Ovo naizgled bezazleno istra\u017eivanje dovelo je do otkri\u0107a novog vektora napada koji koristi karakteristike dijeljene memorije <em>Windows<\/em> sistema. Iskori\u0161tavanjem ove ranjivosti, zlonamjerni akteri sada mogu izvr\u0161avati zlonamjerni k\u00f4d koriste\u0107i samo primitivne elemente za kreiranje procesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova nova tehnika koristi \u010dinjenicu da su sistemske <em>DLL<\/em> biblioteke, poput <em>ntdll.dll<\/em>, u\u010ditane na postojane bazne adrese u svim procesima. Ova nepromjenjivost omogu\u0107ava zlonamjernim akterima da ponovo koriste postoje\u0107e podatke bez uvo\u0111enja promjena koje bi se mogle otkriti. Drugim rije\u010dima, oni preuzimaju ve\u0107 postoje\u0107i memorijski prostor i koriste ga u zlonamjerne svrhe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istra\u017eiva\u010di su demonstrirali ovaj koncept kreiranjem udaljenog procesa koji poziva <em>LoadLibraryA<\/em> sa pokaziva\u010dem na postoje\u0107i niz u memoriji ciljanog procesa. Kao rezultat toga, <em>Windows<\/em> u\u010ditava zlonamjerni <em>DLL<\/em> bez ikakvog pisanja podataka u ciljani proces.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tri_metode_implementacije\"><\/span><strong>Tri metode implementacije<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su identifikovali nekoliko metoda za izvr\u0161avanje zlonamjernog k\u00f4da unutar ciljnog procesa bez pisanja ikakvih podataka ili alokacije memorije. U nastavku \u0107e biti rije\u010di o tri razli\u010dita pristupa implementaciji ovih tehnika.<\/span><\/p>\n<h4><\/h4>\n<h4><span class=\"ez-toc-section\" id=\"DLL_ubrizgavanje_zasnovano_samo_na_pokazivacu\"><\/span><strong><em>DLL<\/em> ubrizgavanje zasnovano samo na pokaziva\u010du<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Prva metoda, poznata kao <em>DLL<\/em> ubrizgavanje zasnovano samo na pokaziva\u010du, novi je pristup koji koristi karakteristike dijeljene memorije <em>Windows<\/em> sistema za izvr\u0161avanje zlonamjernog k\u00f4da. Kreiranjem udaljenog procesa koji pokazuje na <em>LoadLibraryA<\/em> i dostavljanjem pokaziva\u010da na postoje\u0107i niz u ciljnom procesu, zlonamjerni akteri mogu u\u010ditati zlonamjerne <em>DLL<\/em> datoteke bez pisanja ikakvih podataka u ciljni proces. Ova tehnika koristi \u010dinjenicu da se sistemski <em>DLL<\/em> datoteke poput <em>ntdll.dll<\/em> u\u010ditavaju na postoje\u0107im baznim adresama u svim procesima, \u0161to omogu\u0107ava zlonamjernim akterima da ponovo koriste postoje\u0107e podatke bez uvo\u0111enja uo\u010dljivih promjena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj pristup je posebno zanimljiv, jer omogu\u0107ava zlonamjernim akterima da zaobi\u0111u tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije. Kori\u0161tenjem postoje\u0107eg niza u dijeljenoj sistemskoj <em>DLL<\/em> datoteci kao osnove za svoj napad, zlonamjerni akteri mogu kreirati udaljenu nit koja poziva <em>LoadLibraryA<\/em> s ovim pokaziva\u010dem, uzrokuju\u0107i da <em>Windows<\/em> u\u010dita zlonamjerni <em>DLL<\/em> bez pisanja u memoriju ciljnog procesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj pristup je posebno efikasan, jer omogu\u0107ava zlonamjernim akterima da izbjegnu ostavljanje bilo kakvih uo\u010dljivih tragova ili obrazaca aktivnosti koje bi tradicionalne sigurnosne kontrole mogle otkriti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Manipulisanje_kontekstom_procesa\"><\/span><strong>Manipulisanje kontekstom procesa<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Druga metoda, poznata kao <em>CreateRemoteThread<\/em> + <em>SetThreadContext<\/em>, uklju\u010duje kreiranje suspendovane niti i manipulisanje njenim kontekstom registra za pozivanje proizvoljnih funkcija s do \u010detiri kontrolna parametra. Ova tehnika omogu\u0107ava zlonamjernim akterima da izvr\u0161avaju operacije poput <em>VirtualAlloc<\/em> i <em>WriteProcessMemory<\/em> bez njihovog direktnog pozivanja izvan procesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenjem ovog pristupa, zlonamjerni akteri mogu kreirati udaljeni proces koji je inicijalno u suspendovanom stanju, \u0161to im omogu\u0107ava manipulisanje kontekstom registra procesa prije nego \u0161to nastavi s izvr\u0161avanjem. Pa\u017eljivim kreiranjem vrijednosti ovih registara, zlonamjerni akteri mogu kontrolisati parametre koji se proslje\u0111uju proizvoljnim funkcijama unutar ciljnog procesa, efektivno zaobilaze\u0107i tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna klju\u010dna prednost ovog pristupa je njegova sposobnost izvr\u0161avanja k\u00f4da na na\u010din koji na prvi pogled izgleda legitimno ili \u010dak benigno. Budu\u0107i da <em>CreateRemoteThread<\/em> + <em>SetThreadContext<\/em> omogu\u0107ava zlonamjernim akterima manipulisanje kontekstom niti bez direktnog pozivanja zlonamjernih funkcija izvan procesa, tradicionalnim sigurnosnim kontrolama mo\u017ee biti te\u0161ko otkriti ove napade dok se doga\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"NtCreateThread_ubrizgavanje_konteksta\"><\/span><strong><em>NtCreateThread<\/em> ubrizgavanje konteksta<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Tre\u0107a metoda, poznata kao <em>NtCreateThread<\/em> ubrizgavanje konteksta, uklju\u010duje inicijalizaciju strukture <em>CONTEXT<\/em> s pa\u017eljivo kreiranim vrijednostima registra i njihovo direktno dostavljanje <em>NtCreateThread <\/em>procesu. Kori\u0161tenjem ovog pristupa, zlonamjerni akteri mogu izvr\u0161iti k\u00f4d unutar ciljnog procesa bez pozivanja <em>SetThreadContext<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova tehnika je posebno efikasna, jer omogu\u0107ava zlonamjernim akterima da zaobi\u0111u tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije kreiranjem konteksta udaljenog procesa s pa\u017eljivo izra\u0111enim vrijednostima registara. Inicijalizacijom ovih registara na na\u010din da direktno ukazuju na proizvoljne funkcije, zlonamjerni akteri mogu izvr\u0161avati k\u00f4d unutar ciljnog procesa bez ostavljanja ikakvih vidljivih tragova ili obrazaca aktivnosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna klju\u010dna prednost ovog pristupa je njegova sposobnost dodatnog smanjenja vidljivosti napada u pore\u0111enju s drugim metodama poput <em>CreateRemoteThread<\/em> + <em>SetThreadContext<\/em>. Budu\u0107i da <em>NtCreateThread<\/em> ubrizgavanje konteksta omogu\u0107ava zlonamjernim akterima da kreiraju kontekst udaljenog procesa s pa\u017eljivo izra\u0111enim vrijednostima registara, tradicionalnim sigurnosnim kontrolama mo\u017ee biti te\u0161ko da otkriju ove napade dok se doga\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Pojava naprednih tehnika ubrizgavanja procesa predstavlja zna\u010dajnu zabrinutost za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjake za sajber bezbjednost<\/a>, jer predstavlja zna\u010dajnu prijetnju bezbjednosti i integritetu ra\u010dunarskih sistema. Zbog toga povr\u0161ina napada zasnovana isklju\u010divo na kontekstu privla\u010di pa\u017enju, kao i zbog svoje sposobnosti da zaobi\u0111e vode\u0107e softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Ovaj novi pristup fokusira se isklju\u010divo na primitivne elemente izvr\u0161enja, eliminiraju\u0107i potrebu za dodjeljivanjem memorije ili operacijama pisanja koje obi\u010dno pokre\u0107u sigurnosna upozorenja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uticaj ove povr\u0161ine napada je dalekose\u017ean i ima zna\u010dajne posljedice za organizacije koje se u velikoj mjeri oslanjaju na softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) za svoje potrebe sajber bezbjednosti. Tradicionalne tehnike ubrizgavanja procesa uklju\u010duju predvidljiv obrazac: dodjeljivanje memorije u ciljnom procesu, pisanje zlonamjernog k\u00f4da u tu memoriju i njegovo izvr\u0161avanje. Me\u0111utim, sa povr\u0161inom napada zasnovanoj isklju\u010divo na kontekstu, zlonamjerni akteri sada mogu izvr\u0161avati zlonamjerni k\u00f4d koriste\u0107i samo primitivne elemente za kreiranje procesa. Ovaj pristup se pokazao izazovnim za otkrivanje sigurnosnim proizvodima, jer su dizajnirani da identifikuju tri razli\u010dite faze tradicionalnih tehnika ubrizgavanja procesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sposobnost ove povr\u0161ine napada da izbjegne otkrivanje od strane softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) je posebno zabrinjavaju\u0107a, s obzirom na to da su ova rje\u0161enja \u0161iroko usvojena od strane organizacija \u0161irom svijeta. Sigurnosni istra\u017eiva\u010di koji su otkrili ovu tehniku doveli su u pitanje da li se zlonamjerni k\u00f4d mo\u017ee izvr\u0161iti u ciljnom procesu pokretanjem samo koraka izvr\u0161avanja, preska\u010du\u0107i i alokaciju i pisanje. Njihovi nalazi pokazuju da moderni sigurnosni proizvodi ostaju \u201c<em>slijepi<\/em>\u201d na napade koji koriste postoje\u0107e podatke u memoriji, umjesto da uvode novi zlonamjerni k\u00f4d. Ovo ima zna\u010dajan uticaj za strategije <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, jer organizacije mo\u017eda moraju preispitati svoje oslanjanje na softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu tako\u0111er isti\u010de ograni\u010denja tradicionalnih tehnika ubrizgavanja procesa i va\u017enost razmatranja alternativnih pristupa. Fokusiraju\u0107i se isklju\u010divo na primitivne elemente izvr\u0161enja, zlonamjerni akteri mogu zaobi\u0107i sigurnosne mjere koje su dizajnirane za otkrivanje alokacije memorije ili operacija pisanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Utjecaj ove povr\u0161ine napada nije ograni\u010den na pojedina\u010dne sisteme, ve\u0107 se prote\u017ee i na \u0161iri ekosistem povezanih ure\u0111aja i mre\u017ea. Kako se sve vi\u0161e ure\u0111aja me\u0111usobno povezuje, potencijalne posljedice uspje\u0161nog iskori\u0161tavanja povr\u0161ine napada zasnovana isklju\u010divo na kontekstu mogu biti dalekose\u017ene. Sposobnost zlonamjernog aktera da izvr\u0161avaju zlonamjerni k\u00f4d, a da ih softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) ne otkriju, predstavlja zna\u010dajan rizik za organizacije koje se u velikoj mjeri oslanjaju na ove sigurnosne mjere.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Analiza povr\u0161ine napada zasnovane isklju\u010divo na kontekstu otkriva sofisticiranu tehniku ubrizgavanja procesa koja efikasno zaobilazi vode\u0107e softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Iskori\u0161tavanjem karakteristika dijeljene memorije <em>Windows<\/em> sistema, zlonamjerni akteri mogu izvr\u0161avati zlonamjerni k\u00f4d koriste\u0107i samo primitivne elemente za kreiranje procesa, \u010dime se eliminira potreba za dodjeljivanjem memorije ili operacijama pisanja. Ovaj novi pristup ima zna\u010dajne implikacije za stru\u010dnjake za sajber sigurnost, jer dovodi u pitanje tradicionalne metode detekcije i nagla\u0161ava va\u017enost ponovnog razmatranja sigurnosnih protokola.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo otkri\u0107e ukazuje na to da moderni softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) nisu opremljena za otkrivanje napada koji se oslanjaju isklju\u010divo na izvr\u0161enja primitivnih elemenata, ostavljaju\u0107i sisteme ranjivim na eksploataciju. Nadalje, istra\u017eivanje pokazuje kako zlonamjerni akteri mogu iskoristiti postoje\u0107e podatke u memoriji umjesto uvo\u0111enja novog zlonamjernog k\u00f4da, \u0161to braniteljima \u010dini jo\u0161 izazovnijim identifikaciju i ubla\u017eavanje prijetnji. Kao rezultat toga, stru\u010dnjaci za sajber sigurnost moraju preispitati svoje strategije detekcije i razmotriti implementaciju dodatnih mjera kako bi ostali ispred novih vektora napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza tako\u0111er otkriva da upotreba povr\u0161ine napada zasnovane isklju\u010divo na kontekstu nije ograni\u010dena na specifi\u010dne scenarije ili okru\u017eenja, ve\u0107 se mo\u017ee primijeniti u razli\u010ditim kontekstima, \u0161to je \u010dini atraktivnom opcijom za zlonamjerne aktere koji \u017eele izbje\u0107i softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Ovo ima zna\u010dajne implikacije za organizacije koje se oslanjaju na tradicionalne sigurnosne protokole i nagla\u0161ava potrebu za naprednijim metodama detekcije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza povr\u0161ine napada zasnovane isklju\u010divo na kontekstu pru\u017ea vrijedne uvide u nove vektore napada i nagla\u0161ava va\u017enost ponovnog razmatranja strategija sajber bezbjednosti kao odgovor na promjenjive prijetnje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno suprotstavilo novoj tehnici ubrizgavanja procesa poznatoj kao povr\u0161ina napada zasnovana isklju\u010divo na kontekstu, potreban je vi\u0161estruki pristup. Sljede\u0107e preporuke su osmi\u0161ljene kako bi pru\u017eile sveobuhvatnu za\u0161titu od ove nove prijetnje:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Da bi se sprije\u010dili zlonamjerni akteri da iskoriste karakteristike dijeljene memorije, implementirati robusne mehanizme za\u0161tite memorije kao \u0161to su spre\u010davanje izvr\u0161avanja podataka (eng. <em>data execution prevention \u2013 DEP<\/em>) i randomizacija rasporeda adresnog prostora (eng. <em>address space layout randomization \u2013 ASLR<\/em>). Ove funkcije mogu pomo\u0107i u ubla\u017eavanju utjecaja izvr\u0161avanja zlonamjernog k\u00f4da tako \u0161to \u0107e zlonamjernim akterima ote\u017eati dodjeljivanje i pisanje na odre\u0111ene lokacije u memoriji;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementacija pra\u0107enja aktivnosti kreiranja procesa u realnom vremenu klju\u010dna je za otkrivanje potencijalnih prijetnji povezanih s tehnikom povr\u0161ina napada zasnovana isklju\u010divo na kontekstu. Pra\u0107enjem i analizom doga\u0111aja kreiranja procesa, sigurnosni timovi mogu identificirati sumnjivo pona\u0161anje i poduzeti brze mjere kako bi sprije\u010dili eskalaciju napada;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Da bi se dodatno oja\u010dala odabrana od napada ubrizgavanjem procesa, implementirati tehnike izolacije procesa kao \u0161to su izolovana okru\u017eenja (eng. <em>sandboxing<\/em>) ili virtuelizacija. Ovo \u0107e pomo\u0107i u izolaciji ranjivih procesa i ograni\u010davanju potencijalnog utjecaja uspje\u0161nog napada;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> posebno prilago\u0111en za rje\u0161avanje napada povezanih s tehnikom povr\u0161ina napada zasnovana isklju\u010divo na kontekstu. Posjedovanjem dobro definiranog plana, organizacije mogu brzo i efikasno reagovati kada se dogodi napad;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti informisan o novim sigurnosnim prijetnjama putem redovnih pra\u0107enja istra\u017eivanja iz uglednih izvora. Ovo \u0107e omogu\u0107iti organizacijama da budu ispred potencijalnih napada tako \u0161to \u0107e biti svjesne najnovijih tehnika koje koriste zlonamjerni akteri, uklju\u010duju\u0107i one koje se odnose na ubrizgavanje procesa;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti sigurnosne alate i rje\u0161enja posebno dizajnirana za otkrivanje prijetnji usmjerenih na karakteristike dijeljene memorije poput onih koje se koriste u tehnici povr\u0161ina napada zasnovana isklju\u010divo na kontekstu. Ovo \u0107e omogu\u0107iti organizacijama da budu ispred novih prijetnji tako \u0161to \u0107e imati pristup mogu\u0107nostima otkrivanja konteksta koje mogu identificirati sumnjivo pona\u0161anje povezano s napadima ubrizgavanjem procesa.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Primjenom ovih preporuka, organizacije mogu zna\u010dajno pobolj\u0161ati svoju odbranu od novih prijetnji povezanih s tehnikom povr\u0161ina napada zasnovana isklju\u010divo na kontekstu.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Povr\u0161ina napada zasnovana isklju\u010divo na kontekstu (eng. context-only attack surface) predstavlja zna\u010dajnu promjenu u taktikama sajber prijetnji, onu koja iskori\u0161tava slabosti tradicionalnih metoda detekcije. Iskori\u0161tavanjem karakteristika dijeljene memorije na Windows sistemima, zlonamjerni akteri sada&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8030,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3108,3106,3107,3109,3110,2715,3113,3112,3111],"class_list":["post-8029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-attack-surface","tag-context-attack","tag-edr-bypass","tag-execution-primitives","tag-memory-allocation-bypass","tag-process-injection","tag-security-industry-threats","tag-shared-memory-exploitation","tag-writing-operations-avoided"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8029"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8030"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}