{"id":8142,"date":"2025-07-01T21:44:05","date_gmt":"2025-07-01T19:44:05","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8142"},"modified":"2025-07-01T22:15:23","modified_gmt":"2025-07-01T20:15:23","slug":"prometei-botnet-cilja-linux-servere","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/","title":{"rendered":"Prometei botnet cilja Linux servere"},"content":{"rendered":"<p>Nedavna ponovna pojava <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/12\/azurirani-prometei-botnet-izbjegava-mehanizme-zastite\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Prometei<\/em> <em>botnet<\/em><\/a> mre\u017ee inficiranih ure\u0111aja je istakla zabrinutost za administratore <em>Linux<\/em> servera \u0161irom sveta, <a href=\"https:\/\/unit42.paloaltonetworks.com\/prometei-botnet-2025-activity\/\" target=\"_blank\" rel=\"noopener\">pokazuje istra\u017eivanje<\/a> <em>Palo<\/em> <em>Alto<\/em> <em>Networks<\/em> sigurnosnih istra\u017eiva\u010da. Kako se ova porodica <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> nastavlja razvijati, iskori\u0161tavaju\u0107i ranjivosti u umre\u017eenim sistemima i kradu\u0107i osjetljive podatke, neophodno je ponovo procijeniti bezbjednosne protokole i primijeniti proaktivne mjere kako bi se sprije\u010dilo ugro\u017eavanje.<\/p>\n<div id=\"attachment_8149\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8149\" class=\"wp-image-8149 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Prometei-Botnet.jpg\" alt=\"Prometei\" width=\"1024\" height=\"683\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Prometei-Botnet.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Prometei-Botnet-300x200.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Prometei-Botnet-768x512.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Prometei-Botnet-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8149\" class=\"wp-caption-text\">Prometei botnet cilja Linux servere; Source: Microsoft Copilot AI<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#PROMETEI_BOTNET\">PROMETEI BOTNET<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#Vektori_i_taktike_napada\">Vektori i taktike napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#Finansijska_motivacija\">Finansijska motivacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#Napredne_mogucnosti\">Napredne mogu\u0107nosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/01\/prometei-botnet-cilja-linux-servere\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"PROMETEI_BOTNET\"><\/span><strong><em>PROMETEI BOTNET<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>Prometei<\/em> <em>botnet<\/em> se odnosi na sofisticiranu operaciju zlonamjernog softvera koja cilja <em>Linux<\/em> servere za rudarenje kriptovaluta i kra\u0111u pristupnih podataka. Predstavlja porodicu zlonamjernog softvera sa dvostrukom prijetnjom koja obuhvata i <em>Linux<\/em> i <em>Windows<\/em> varijante.<\/p>\n<p>\u0160to se ti\u010de njegovih operativnih karakteristika, <em>Prometei<\/em> <em>botnet<\/em> je poznat po svojoj modularnoj arhitekturi, koja omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da daljinski kontroli\u0161u inficirane sisteme, raspore\u0111uju dodatne <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne terete<\/a> (eng. <em>payloads<\/em>) i odr\u017eavaju stalni pristup kompromitovanim mre\u017eama. Ovo mu omogu\u0107ava da otme ra\u010dunarske resurse za rudarenje kriptovalute <em>Monero<\/em>, dok istovremeno krade podatke za prijavu sa kompromitovanih sistema putem razli\u010ditih vektora napada, uklju\u010duju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/07\/brute-force-attack\/\" target=\"_blank\" rel=\"nofollow noopener\">napade grubom silom<\/a> (eng. <em>brute force attack<\/em>), eksploataciju ranjivosti kao \u0161to je <em>EternalBlue <\/em>i manipulaciju ranjivostima protokola bloka poruka servera (eng. <em>Server Message Block \u2013 SMB<\/em>). Ovaj vi\u0161estruki pristup omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>botnet<\/em> <\/a>mre\u017ei da brzo pro\u0161iri svoj uticaj kada dobije po\u010detni pristup sistemima organizacije.<\/p>\n<p>Zlonamjerni softver <em>Prometei<\/em> je prvobitno otkriven u julu 2020. godine, pri \u010demu je njegova <em>Windows<\/em> varijanta u po\u010detku imala prednost. Me\u0111utim, verzija za <em>Linux<\/em> se pojavila u decembru 2020. godine i od tada je kontinuirano razvijana. Ovo ukazuje na to da su tvorci <em>botnet<\/em> mre\u017ee aktivno radili na pobolj\u0161anju mogu\u0107nosti svog zlonamjernog softvera u izbjegavanju otkrivanja od strane bezbjednosnih rje\u0161enja. Kontinuirani razvoj ovog zlonamjernog softvera dodatno nagla\u0161ava njegovu prilagodljivost i sposobnost da se razvija kao odgovor na promjenljive mjere bezbjednosti.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Vektori_i_taktike_napada\"><\/span><strong>Vektori i taktike napada<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kao \u0161to je ranije pomenuto, <em>botnet<\/em> <em>Prometei<\/em> koristi vi\u0161e vektora napada kako bi postigao <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar ciljanih mre\u017ea. To uklju\u010duje:<\/p>\n<ul>\n<li><strong>Napadi grubom silom:<\/strong> Ova taktika uklju\u010duje kori\u0161\u0107enje automatizovanih alata za poga\u0111anje <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> ili iskori\u0161\u0107avanje ranjivosti u protokolima za autentifikaciju;<\/li>\n<li><strong>Iskori\u0161\u0107avanje ranjivosti <em>EternalBlue<\/em> povezane sa ucjenjiva\u010dkim softverom (eng. <em>ransomware<\/em>) <em>WannaCry<\/em>:<\/strong> Ranjivost <em>EternalBlue<\/em> je dobro poznata mana koju zlonamjerni akteri mogu iskoristiti da bi dobili pristup sistemima koji koriste operativne sisteme <em>Windows<\/em>. Malver <em>Prometei<\/em> koristi ovu slabost da se \u0161iri unutar mre\u017ea i ugro\u017eava dodatne ciljeve;<\/li>\n<li><strong>Manipulacija ranjivostima protokola bloka poruka servera:<\/strong> Ova taktika uklju\u010duje iskori\u0161\u0107avanje slabosti protokola bloka poruka servera (<em>SMB<\/em>), koji omogu\u0107ava dijeljenje datoteka izme\u0111u ra\u010dunara na mre\u017ei.<\/li>\n<\/ul>\n<p>Ovi vektori napada demonstriraju svestranost i prilagodljivost <em>Prometei<\/em> <em>botnet <\/em>mre\u017ee inficiranih ure\u0111aja. Kori\u0161tenjem vi\u0161estrukih taktika, zlonamjerni akteri mogu pove\u0107ati svoje \u0161anse za uspeh i izbje\u0107i otkrivanje od strane tradicionalnih bezbjednosnih rje\u0161enja.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Finansijska_motivacija\"><\/span><strong>Finansijska motivacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Finansijska motivacija koja stoji iza operacija <em>Prometei<\/em> izgleda jasna, jer sigurnosni istra\u017eiva\u010di nisu prona\u0161li dokaze koji povezuju ovu kampanju sa zlonamjernim akterima sponzorisanim od strane dr\u017eave. Umjesto toga, ona pokazuje karakteristike koje su u skladu sa profitno vo\u0111enim sajber kriminalnim preduze\u0107ima koja \u017eele da monetizuju ugro\u017eenu infrastrukturu kroz rudarenje kriptovaluta, dok oportunisti\u010dki prikupljaju vrijedne podatke za prijavu za potencijalnu sekundarnu eksploataciju ili prodaju na ilegalnim tr\u017ei\u0161tima.<\/p>\n<p>Ovaj fokus na finansijsku dobit isti\u010de va\u017enost davanja prioriteta mjerama <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> koje \u0161tite od ovih vrsta prijetnji. Organizacije moraju ostati budne i proaktivne u svojim bezbjednosnim strategijama, jer zlonamjerni akteri kontinuirano prilago\u0111avaju i razvijaju svoje taktike kako bi postigli svoje ciljeve.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>Prometei<\/em> se prvenstveno distribuira putem <em>HTTP<\/em> <em>GET<\/em> zahteva ka infrastrukturi koju kontroli\u0161e zlonamjerni akter. Zlonamjerni softver je \u010desto prikriven kao <em>PHP<\/em> skripta, sa obmanjuju\u0107om <em>.php<\/em> ekstenzijom. Me\u0111utim, nakon detaljnijeg pregleda, postaje jasno da je ovaj izvr\u0161ni fajl zapravo <em>UPX<\/em>-pakovani 64-bitni <em>ELF<\/em> binarna datoteka dizajnirana za prikrivenost i anti-analizu.<\/p>\n<p>Upotreba <em>.php<\/em> ekstenzije slu\u017ei nekoliko svrha. Prvo, omogu\u0107ava zlonamjernom akteru da se uklopi u legitiman internet saobra\u0107aj, \u0161to ote\u017eava bezbjednosnim mjerama da otkriju zlonamjerne aktivnosti. Drugo, prisustvo <em>PHP<\/em> skripte mo\u017ee navesti branioce da se fokusiraju na tradicionalne <em>PHP<\/em>-bazirane napade, skre\u0107u\u0107i pa\u017enju sa prave prirode zlonamjernog softvera.<\/p>\n<p>Posebno je vrijedna pa\u017enje <em>UPX<\/em> tehnika pakovanja koju koristi <em>Prometei<\/em>. Ova metoda uklju\u010duje kompresiju i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> izvr\u0161nog k\u00f4da pomo\u0107u Univerzalnog alata za pakovanje (eng. <em>universal packing tool \u2013 UPX<\/em>). Dobijena binarna datoteka se pojavljuje kao legitimna <em>ELF<\/em> datoteka, \u0161to ote\u017eava raspakivanje i analizu standardnim forenzi\u010dkim alatima. Pored toga, verzije objavljene od marta 2025. godine uklju\u010duju prilago\u0111ene <em>JSON<\/em> konfiguracione priklju\u010dke u svoj sistem pakovanja.<\/p>\n<p><em>Prometei<\/em> Linux varijanta se\u00a0 karakteri\u0161e modularnim dizajnom, koji omogu\u0107ava zlonamjernom softveru da se prilago\u0111ava i razvija tokom vremena. Nakon izvr\u0161avanja, binarna datoteka se raspakuje u memoriji, pokre\u0107e pravi korisni teret i po\u010dinje profilisanje sistema. Ovaj proces uklju\u010duje prikupljanje razli\u010ditih detalja o kompromitovanom sistemu. Upotreba tipi\u010dnih <em>Linux<\/em> uslu\u017enih programa za prikupljanje podataka je pametna taktika koju koriste <em>Prometei<\/em> programeri. Kori\u0161tenjem postoje\u0107ih alata i komandi, oni mogu da odr\u017ee nizak profil, a da i dalje prikupljaju vrijedne obavje\u0161tajne podatke o sistemima svojih \u017ertava. Ovaj modularni pristup tako\u0111e omogu\u0107ava zlonamjernom softveru da lako uklju\u010di nove funkcije ili izmjeni svoje pona\u0161anje kao odgovor na promjenljive mjere bezbjednosti.<\/p>\n<p>Mogu\u0107nosti <em>Prometei<\/em> profilisanja sistema su su\u0161tinski aspekt njegovog cjelokupnog dizajna. Prikupljanjem detaljnih informacija o kompromitovanom sistemu, zlonamjerni akteri mogu da prilagode svoje napade i pove\u0107aju uticaj na mre\u017ee \u017ertava. Podaci koje <em>Prometei<\/em> prikuplja uklju\u010duju:<\/p>\n<ul>\n<li><strong>Tip procesora:<\/strong> Ove informacije omogu\u0107avaju zlonamjernim akterima da utvrde da li ure\u0111aj \u017ertve koristi 32-bitno ili 64-bitno operativno okru\u017eenje;<\/li>\n<li><strong>Model mati\u010dne plo\u010de:<\/strong> Identifikovanjem specifi\u010dnih modela mati\u010dnih plo\u010da, zlonamjerni akteri mogu da utvrde ranjivosti koje mogu biti prisutne u tim sistemima;<\/li>\n<li><strong>Verzija operativnog sistema:<\/strong> Poznavanje verzije operativnog sistema omogu\u0107ava zlonamjernim akterima da ciljaju odre\u0111ene ranjivosti i osiguraju kompatibilnost sa svojim zlonamjernim softverom;<\/li>\n<li><strong>Vrijeme rada:<\/strong> Ova metrika pru\u017ea uvid u to koliko dugo ure\u0111aj \u017ertve radi bez prekida. Zlonamjerni akteri mogu da koriste ove informacije za planiranje ciljanih napada tokom perioda visoke aktivnosti ili kada su ma\u0161ine najranjivije.<\/li>\n<\/ul>\n<p>Podaci koje <em>Prometei<\/em> prikuplja se filtriraju do njegove krajnje ta\u010dke komandovanja i kontrole, gdje se analiziraju za dalju eksploataciju. <em>C2<\/em> infrastruktura igra klju\u010dnu ulogu u ukupnom radu ove porodice zlonamjernog softvera, omogu\u0107avaju\u0107i zlonamjernim akterima da koordiniraju svoje napore i efikasno reaguju na promjenljive okolnosti.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Napredne_mogucnosti\"><\/span><strong>Napredne mogu\u0107nosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Jedno od najzna\u010dajnijih dostignu\u0107a u mogu\u0107nostima <em>Prometei<\/em> zlonamjernog softvera je implementacija <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">tajnog pristupa<\/a> (eng. <em>backdoor<\/em>) za daljinsko upravljanje. Ova funkcija omogu\u0107ava zlonamjernim akterima da pristupe i manipuli\u0161u inficiranim sistemima, a da ih tradicionalne bezbjednosne mjere ne otkriju. Tajni pristup omogu\u0107avaju niz zlonamjernih aktivnosti, uklju\u010duju\u0107i kra\u0111u podataka, raspore\u0111ivanje korisnih podataka i bo\u010dno kretanje unutar kompromitovanih mre\u017ea.<\/p>\n<p>Posebno su vrijedni pa\u017enje tehni\u010dki detalji koji okru\u017euju ovaj tajni pristup. Kori\u0161tenjem uspostavljenih protokola i komunikacionih kanala, programeri <em>Prometei<\/em> zlonamjernog softvera su stvorili efikasno sredstvo za zlonamjerne aktere da odr\u017ee kontrolu nad inficiranim sistemima. Ovaj pristup tako\u0111e olak\u0161ava integraciju dodatnih modula ili korisnih podataka, dodatno pro\u0161iruju\u0107i mogu\u0107nosti <em>botnet<\/em> mre\u017ee inficiranih ure\u0111aja. U prakti\u010dnom smislu, prisustvo alata za udaljeni pristup (eng. <em>remote access tool \u2013 RAT<\/em>) unutar <em>Prometei<\/em> zlonamjernog softvera nagla\u0161ava njegov potencijal kao svestrane i prilagodljive prijetnje.<\/p>\n<p>Jo\u0161 jedna klju\u010dna karakteristika u novijim verzijama je implementacija algoritama za generisanje domena (eng. <em>domain generation algorithms \u2013 DGA<\/em>). Ovi sofisticirani alati omogu\u0107avaju zlonamjernim akterima da kreiraju niz domena komandovanja i kontrole (<em>C2<\/em>), koji se koriste za komunikaciju izme\u0111u kompromitovanih sistema i njihovih odgovaraju\u0107ih <em>C2<\/em> servera. Upotreba algoritama za generisanje domena (<em>DGA<\/em>) slu\u017ei u nekoliko svrha: pove\u0107ava otpornost tako \u0161to ote\u017eava braniocima da identifikuju i blokiraju infrastrukturu <em>botnet<\/em> mre\u017ee inficiranih ure\u0111aja, omogu\u0107ava ve\u0107u fleksibilnost u pogledu izbora i rotacije domena i pru\u017ea sredstva zlonamjernim akterima da odr\u017ee kontrolu nad inficiranim sistemima \u010dak i ako su primijenjene tradicionalne bezbjednosne mjere.<\/p>\n<p>Sa operativne perspektive, funkcionalnost <em>Prometei<\/em> algoritama za generisanje domena (<em>DGA<\/em>) je posebno vrijedna pa\u017enje. Generi\u0161u\u0107i vi\u0161e domena na zahtev, zlonamjerni akteri mogu stvoriti iluziju da se njihova <em>C2<\/em> infrastruktura sastoji od brojnih nezavisnih entiteta, a ne od jednog centralizovanog sistema. Ovaj pristup ote\u017eava braniocima da identifikuju i ometaju komunikacione kanale.<\/p>\n<p>Pored naprednih mogu\u0107nosti tajnog pristupa i algoritama za generisanje domena (<em>DGA<\/em>), <em>Prometei<\/em> tako\u0111e ima mehanizme samoa\u017euriranja dizajnirane da izbjegnu otkrivanje tradicionalnim bezbjednosnim mjerama. Ova a\u017euriranja omogu\u0107avaju zlonamjernim akterima da odr\u017ee kontrolu nad inficiranim sistemima \u010dak i ako se koriste alati zasnovani na potpisima ili analizi pona\u0161anja za identifikaciju prisustva zlonamjernog softvera.<\/p>\n<p>Sa tehni\u010dke ta\u010dke gledi\u0161ta, <em>Prometei <\/em>funkcija samoa\u017euriranja je posebno vrijedna pa\u017enje zbog svoje sposobnosti da se prilagodi i evoluira kao odgovor na promjenljive mjere bezbjednosti. Uklju\u010divanjem novih modula, korisnih optere\u0107enja ili tehnika izbjegavanja u svoju k\u00f4dnu bazu, zlonamjerni akteri mogu osigurati da njihov zlonamjerni softver ostane efikasan \u010dak i kada branioci primjenjuju napredne bezbjednosne mjere.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ponovna pojava <em>Prometei botnet<\/em> mre\u017ee inficiranih ure\u0111aja ima zna\u010dajne implikacije na bezbjednost <em>Linux<\/em> servera. Ova sofisticirana operacija zlonamjernog softvera cilja ra\u010dunarske resurse, otimaju\u0107i ih za rudarenje kriptovaluta i kra\u0111u akreditiva. Dvostruka prijetnja ove porodice zlonamjernog softvera zna\u010di da su i <em>Linux<\/em> i <em>Windows<\/em> ure\u0111aji ranjivi na napade.<\/p>\n<p>Kao rezultat toga, organizacije sa <em>Linux<\/em> serverima moraju preduzeti hitne mjere kako bi oja\u010dale svoje preventivne kontrole. To uklju\u010duje pregled sistema za indikatore kompromitovanja (eng. <em>indicators of compromise \u2013 IOC<\/em>) i implementaciju robusnih odbrambenih stavova krajnjih ta\u010daka i mre\u017ee. Detekcija anomalija i mogu\u0107nosti brzog reagovanja bi\u0107e klju\u010dne u ubla\u017eavanju uticaja ove\u00a0 mre\u017ee inficiranih ure\u0111aja.<\/p>\n<p>Porodica zlonamjernog softvera <em>Prometei<\/em> je u aktivnom razvoju, uklju\u010duju\u0107i nove module i metode u svoje mogu\u0107nosti. Najnovije verzije imaju mogu\u0107nost tajnog pristupa koja omogu\u0107avaju razne zlonamjerne aktivnosti, uklju\u010duju\u0107i funkcije samoa\u017euriranja za prikrivenost i izbjegavanje. Ovaj nivo sofisticiranosti stvara potrebu da se ostane na oprezu i da se osiguraju robusne bezbjednosne mjere.<\/p>\n<p>Pored tehni\u010dkih implikacija, ovaj <em>botnet<\/em> tako\u0111e predstavlja zna\u010dajne ekonomske rizike. Otimanjem ra\u010dunarskih resursa, zlonamjerni akteri mogu generisati zna\u010dajan prihod kroz rudarenje kriptovaluta. Osim toga, kra\u0111a pristupnih podataka mo\u017ee dovesti do neovla\u0161tenog pristupa osjetljivim podacima, \u0161to rezultira finansijskim gubicima za organizacije. Zbog toga uticaj <em>Prometei<\/em> na bezbjednost <em>Linux<\/em> servera je dalekose\u017ean i zahteva hitnu pa\u017enju <em>IT<\/em> stru\u010dnjaka.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ponovna pojava <em>Prometei botnet<\/em> mre\u017ee inficiranih ure\u0111aja predstavlja zna\u010dajnu prijetnju za <em>Linux<\/em> servere \u0161irom sveta. Ova operacija zlonamjernog softvera je vremenom evoluirala, prilago\u0111avaju\u0107i svoje taktike i tehnike kako bi izbjegla otkrivanje. Samoa\u017euriraju\u0107a priroda zlonamjernog softvera mu omogu\u0107ava da zamjeni ili pro\u0161iri svoje module na inficiranim sistemima bez potrebe za novim lancem infekcije. Stoga, bezbjednosni timovi moraju ostati budni u svojim naporima pra\u0107enja.<\/p>\n<p>Primarni cilj <em>Prometei botnet<\/em> mre\u017ee inficiranih ure\u0111aja je da preuzme ra\u010dunarske resurse za rudarenje kriptovalute <em>Monero<\/em>, a istovremeno krade podatke za prijavu sa kompromitovanih sistema. Ovaj pristup dvostruke prijetnje \u010dini otkrivanje izazovnim i zahteva a\u017euriranu analitiku pona\u0161anja i metode otkrivanja zasnovane na potpisima, dok upotreba antiforenzi\u010dkog <em>UPX<\/em> pakovanja i dinami\u010dke konfiguracije dodatno komplikuje proces identifikacije.<\/p>\n<p>Sposobnost zlonamjernog softvera da izbjegne otkrivanje ima zna\u010dajne implikacije za bezbjednosne timove, koji se sada moraju nositi sa sofisticiranijim protivnikom. Stoga je neophodno da ovi timovi odr\u017eavaju robusne odbrambene stavove krajnjih ure\u0111aja i mre\u017ee, fokusiraju\u0107i se na otkrivanje anomalija i mogu\u0107nosti brzog reagovanja.<\/p>\n<p><em>Prometei botnet<\/em> mre\u017ea inficiranih ure\u0111aja predstavlja stalni izazov za administratore <em>Linux<\/em> servera \u0161irom sveta. Stoga je klju\u010dno da ove osobe ostanu informisane o ovom evoluiraju\u0107em okru\u017eenju prijetnji kako bi se osiguralo da su njihovi sistemi adekvatno za\u0161ti\u0107eni od budu\u0107ih napada.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kako bi se za\u0161titili od <em>Prometei botnet<\/em> mre\u017ea inficiranih ure\u0111aja koja predstavlja opasnost za <em>Linux<\/em> servere, mogu se primijeniti sljede\u0107e preporuke:<\/p>\n<ol>\n<li>Bezbjednosni timovi moraju ostati budni u pra\u0107enju svojih sistema u potrazi za znacima prisustva <em>Prometei <\/em>zlonamjernog softvera. Ovo uklju\u010duje implementaciju robusnih odbrambenih mjera na krajnjim ure\u0111ajima i mre\u017ei koje se fokusiraju na otkrivanje anomalija i brz odgovor. Redovno pregledanje sistemskih dnevnika i podataka o doga\u0111ajima mo\u017ee pomo\u0107i u identifikaciji potencijalnih bezbjednosnih incidenata prije nego \u0161to eskaliraju;<\/li>\n<li>Administratori treba da pregledaju konfiguracije <em>Linux<\/em> servera kako bi se uvjerili da su sve potrebne ispravke, a\u017euriranja i bezbjednosna pode\u0161avanja na mjestu. Ovo uklju\u010duje provjeru integriteta sistemskih datoteka, onemogu\u0107avanje nepotrebnih usluga i pravilno konfigurisanje za\u0161titnih zidova. Dobro konfigurisan sistem je bezbjedniji, smanjuju\u0107i rizik od eksploatacije od strane zlonamjernog softvera poput <em>Prometei botnet<\/em>;<\/li>\n<li>Kontrole pristupa treba strogo primjenjivati na svim <em>Linux<\/em> serverima kako bi se sprije\u010dio neovla\u0161teni pristup ili modifikacije. Ovo uklju\u010duje implementaciju kontrole pristupa zasnovane na ulogama (eng. <em>role-based access control \u2013 RBAC<\/em>), ograni\u010davanje korisni\u010dkih privilegija i kori\u0161tenje autentifikacije u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) kad god je to mogu\u0107e. Redovno pregledanje i a\u017euriranje politika pristupa mo\u017ee pomo\u0107i da se osigura da samo ovla\u0161\u0107eno osoblje ima pristup osjetljivim sistemima;<\/li>\n<li>Prilikom komunikacije sa spoljnim servisima ili prenosa podatke izme\u0111u servera, koristiti bezbjedne protokole kao \u0161to su <em>HTTPS<\/em>, <em>SFTP<\/em> ili <em>SSH<\/em> umjesto nebezbjednih alternativa poput <em>FTP<\/em> ili <em>Telnet<\/em>. Ovo poma\u017ee u spre\u010davanju napada prislu\u0161kivanja i neovla\u0161tenog mijenjanja <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanjem<\/a> cijele komunikacije;<\/li>\n<li>Redovno pra\u0107enje performansi sistema mo\u017ee pomo\u0107i u identifikaciji potencijalnih bezbjednosnih incidenata prije nego \u0161to eskaliraju. Potra\u017eiti neuobi\u010dajene skokove u kori\u0161tenju procesora, mre\u017ene aktivnosti ili unosa\/ispisa diska koji mogu ukazivati na prisustvo zlonamjernog softvera. Implementacija robusne strategije pra\u0107enja pomo\u0107u alata kao \u0161to su <em>Nagios<\/em>, <em>Prometheus<\/em> ili <em>Grafana<\/em> mo\u017ee pru\u017eiti vrijedne uvide u zdravlje sistema;<\/li>\n<li>Odr\u017eavanje svih softverskih komponenti a\u017euriranim je klju\u010dno u spre\u010davanju eksploatacije poznatim ranjivostima. Redovno a\u017eurirati <em>Linux<\/em> jezgro, aplikacije i biblioteke kako bi se osiguralo posjedovanje najnovijih bezbjednosnih ispravki. Koristiti alate kao \u0161to su <em>yum-cron<\/em> (na <em>RHEL\/CentOS<\/em>) ili <em>apt-daily<\/em> (na <em>Ubuntu\/Debian<\/em>) da bi se automatizovalo a\u017euriranje paketa;<\/li>\n<li>Za\u0161titni zid internet aplikacija (eng. <em>web application firewall \u2013 WAF<\/em>) mo\u017ee pomo\u0107i u za\u0161titi od uobi\u010dajenih internet napada, uklju\u010duju\u0107i <em>SQL<\/em> ubrizgavanje i napade me\u0111ulokacijskog skriptovanja (eng. <em>cross-site scripting \u2013 XSS<\/em>). Za\u0161titni zidovi internet aplikacija (<em>WAF<\/em>) poput <em>ModSecurity<\/em> ili <em>OWASP<\/em> <em>ESAPI<\/em> mogu se konfigurisati da blokiraju zlonamjerni saobra\u0107aj prije nego \u0161to stigne do <em>Linux<\/em> servera;<\/li>\n<li>Segmentacija mre\u017ea u manje podmre\u017ee mo\u017ee pomo\u0107i u obuzdavanju \u0161irenja zlonamjernog softvera u slu\u010daju da do\u0111e do infekcije. Ograni\u010davanjem komunikacije izme\u0111u segmenata smanjuje se rizik od bo\u010dnog kretanja i ote\u017eava zlonamjernim akterima pristup osjetljivim sistemima;<\/li>\n<li>Implementacija sistema za detekciju upada (eng. <em>Intrusion Detection Systems \u2013 IDS<\/em>) rje\u0161enja poput <em>Snort<\/em> ili <em>Suricata<\/em> mo\u017ee obezbijediti pra\u0107enje i upozoravanje u realnom vremenu o potencijalnim bezbjednosnim incidentima. Ovi alati poma\u017eu u identifikaciji zlonamjernih obrazaca saobra\u0107aja i pokre\u0107u upozorenja kada se otkrije sumnjiva aktivnost;<\/li>\n<li>Kori\u0161tenje autentifikaciju u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) kad god je to mogu\u0107e poma\u017ee u spre\u010davanju neovla\u0161tenog pristupa tako \u0161to zahteva od korisnika da obezbijede drugi oblik verifikacije pored svoje lozinke. Alati poput <em>Google<\/em> <em>Authenticator<\/em> ili <em>Authy<\/em> mogu se koristiti za implementaciju autentifikacije u dva koraka (<em>2FA<\/em>) na <em>Linux<\/em> serverima i drugim sistemima;<\/li>\n<li>Informisanost o novim prijetnjama je klju\u010dna u za\u0161titi od zlonamjernog softvera poput <em>Prometei botnet<\/em>. Redovno pregledanje bezbjednosnih savjeta dobavlja\u010da, prisustva industrijskim konferencijama i u\u010destvovanje u internet forumima omogu\u0107ava da se ostane u toku sa najnovijim informacijama o prijetnjama;<\/li>\n<li>Implementacija <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plana odgovora na sajber prijetnju<\/a> poma\u017ee da se osigura da organizacija mo\u017ee brzo i efikasno da reaguje kada se dogodi bezbjednosni incident. Ovo uklju\u010duje definisanje uloga i odgovornosti timova za reagovanje, uspostavljanje komunikacionih protokola sa zainteresovanim stranama i definisanje procedura za obuzdavanje i iskorjenjivanje infekcija zlonamjernim softverom.<\/li>\n<\/ol>\n<p>Prate\u0107i ove preporuke, organizacije mogu zna\u010dajno smanjiti rizik od eksploatacije od strane zlonamjernog softvera poput <em>Prometei botnet<\/em> i odr\u017eavati robusne odbrambene krajnjih ure\u0111aja i mre\u017ee, fokusiraju\u0107i se na otkrivanje anomalija i brz odgovor.<\/p>","protected":false},"excerpt":{"rendered":"<p>Nedavna ponovna pojava Prometei botnet mre\u017ee inficiranih ure\u0111aja je istakla zabrinutost za administratore Linux servera \u0161irom sveta, pokazuje istra\u017eivanje Palo Alto Networks sigurnosnih istra\u017eiva\u010da. Kako se ova porodica zlonamjernog softvera nastavlja razvijati, iskori\u0161tavaju\u0107i ranjivosti&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8149,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2785,2015,3233,3236,1224,3231,3237,3235,3230,3234,3232],"class_list":["post-8142","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-botnet-attack","tag-credential-theft","tag-cryptomining-malware","tag-cryptomining-threats","tag-data-exfiltration","tag-linux-exploit","tag-linux-servers-attacked","tag-monero-miner","tag-prometei-botnet","tag-server-exploitation","tag-server-security"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8142"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8142\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8149"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}