{"id":8542,"date":"2025-11-07T19:18:43","date_gmt":"2025-11-07T18:18:43","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8542"},"modified":"2025-11-07T19:18:43","modified_gmt":"2025-11-07T18:18:43","slug":"onedrive-pretvoren-u-prijetnju","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/","title":{"rendered":"OneDrive pretvoren u prijetnju"},"content":{"rendered":"<p><em>OneDrive<\/em> aplikacija je nedavno ozna\u010dena od strane <a href=\"https:\/\/github.com\/kas-sec\/version.dll-sideloading\/\" target=\"_blank\" rel=\"noopener\"><em>Kas-sec<\/em> sigurnosnih istra\u017eiva\u010da<\/a> kao potencijalni vektor napada kroz bo\u010dno u\u010ditavanje <em>DLL<\/em> datoteka. Njihovo otkri\u0107e ukazuje na evoluiraju\u0107e taktike koje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> mogu koristiti da izbjegnu otkrivanje i zadr\u017ee postojanost na kompromitovanim sistemima.<\/p>\n<div id=\"attachment_8543\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8543\" class=\"size-full wp-image-8543\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack.jpg\" alt=\"OneDrive\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/OneDrive-DLL-sideloading-attack-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8543\" class=\"wp-caption-text\"><em>OneDrive pretvoren u prijetnju; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#ONEDRIVE_ZLOUPOTREBA\">ONEDRIVE ZLOUPOTREBA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#Sta_je_bocno_ucitavanje_DLL_datoteka\">\u0160ta je bo\u010dno u\u010ditavanje DLL datoteka?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#Napad_na_OneDrive\">Napad na OneDrive<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/11\/07\/onedrive-pretvoren-u-prijetnju\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"ONEDRIVE_ZLOUPOTREBA\"><\/span><strong><em>ONEDRIVE<\/em> ZLOUPOTREBA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>U zamr\u0161enom pejza\u017eu sajber prijetnji, zlonamjerni akteri neprestano razvijaju svoje taktike kako bi ostali korak ispred. Ova stalna igra ma\u010dke i mi\u0161a izme\u0111u prijetnji i branilaca dovela je do nastanka sve naprednijih vektora napada. Jedan od zabrinjavaju\u0107ih trendova jeste iskori\u0161tavanje legitimnih aplikacija za izvr\u0161avanje zlonamjernog k\u00f4da, pri \u010demu se vje\u0161to izbjegavaju tradicionalne bezbjednosne mjere. Takva tehnika je posebno podmukla, jer omogu\u0107ava zlonamjernim akterima da se uklope u okru\u017eenje i time ote\u017eaju posao <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnim stru\u010dnjacima<\/a>, koji te\u017ee da otkriju i pravovremeno odgovore na prijetnje. Koriste\u0107i povjerenje koje korisnici imaju u poznati softver, zlonamjerni akteri mogu dobiti neovla\u0161teni pristup sistemima, odr\u017eati postojanost i na kraju izvr\u0161iti proizvoljni k\u00f4d na kompromitovanim ma\u0161inama.<\/p>\n<p>Napad bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka predstavlja jasan primjer ovog trenda. Ova napredna tehnika zasniva se na iskori\u0161tavanju legitimnih <em>Windows<\/em> aplikacija koje u\u010ditavaju zlonamjerne dinami\u010dke biblioteke veza (eng. <em>Dynamic Link Libraries \u2013 DLL<\/em>), a one se zatim koriste za izvr\u0161avanje proizvoljnog k\u00f4da na ciljanom sistemu. Konkretno, zloupotreba <em>Microsoft<\/em> <em>OneDrive<\/em> aplikacije putem bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka identifikovana je kao ozbiljan razvoj doga\u0111aja, \u0161to nagla\u0161ava potrebu da bezbjednosni stru\u010dnjaci i <em>IT<\/em> timovi detaljno razumiju ovaj mehanizam i razviju efikasne strategije odbrane.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sta_je_bocno_ucitavanje_DLL_datoteka\"><\/span><strong>\u0160ta je bo\u010dno u\u010ditavanje <em>DLL<\/em> datoteka?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Napad bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka (eng. <em>DLL sideloading attack<\/em>) je napredna tehnika koju koriste zlonamjerni akteri kako bi dobili neovla\u0161teni pristup i kontrolu u kontekstu pouzdanih procesa. Ova prikrivena metoda iskori\u0161tava na\u010din na koji <em>Windows<\/em> aplikacije u\u010ditavaju svoje neophodne biblioteke, omogu\u0107avaju\u0107i zlonamjernim akterima da prevare legitiman softver da izvr\u0161i zlonamjerni k\u00f4d.<\/p>\n<p>U su\u0161tini, kada se <em>Windows<\/em> aplikacija pokrene, ona tra\u017ei i u\u010ditava razne <em>DLL<\/em> datoteke potrebne za njenu funkcionalnost sa odre\u0111enih lokacija u hijerarhiji sistemskih direktorijuma. Ove lokacije uklju\u010duju isti direktorijum kao i sama izvr\u0161na datoteka, zatim direktorijum <em>System32<\/em> i kona\u010dno druge direktorijume navedene u promjenljivoj okru\u017eenja <em>PATH<\/em>. Zlonamjerni akteri koriste ovaj mehanizam tako \u0161to postavljaju zlonamjerno kreiranu <em>DLL<\/em> datoteku (\u010desto identi\u010dno nazvanu kao legitimna) na lokaciju koju aplikacija pretra\u017euje prije nego \u0161to prona\u0111e autenti\u010dnu verziju.<\/p>\n<p>Ova obmana vara legitimnu aplikaciju da u\u010dita i izvr\u0161i zlonamjerni <em>DLL<\/em>, efikasno daju\u0107i zlonamjernom akteru kontrolu u kontekstu pouzdanog procesa. Zlonamjerna <em>DLL<\/em> datoteka zatim mo\u017ee da obavlja razne zlonamjerne aktivnosti, uklju\u010duju\u0107i izvr\u0161avanje proizvoljnog k\u00f4da, uspostavljanje postojanosti na ugro\u017eenom sistemu, zaobila\u017eenje bezbjednosnih kontrola rade\u0107i pod maskom legitimnog procesa, olak\u0161avaju\u0107i dalje faze napada kao \u0161to su kra\u0111a podataka ili raspore\u0111ivanje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Napad_na_OneDrive\"><\/span><strong>Napad na <em>OneDrive<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Su\u0161tina ovog napada le\u017ei u legitimnoj prirodi <em>OneDrive.exe<\/em>, potpisane i pouzdane aplikacije kompanije <em>Microsoft<\/em>. Upravo ta legitimnost \u010dini ga izuzetno efikasnim vektorom za zlonamjerne aktivnosti. Procesi povezani sa <em>OneDrive<\/em> aplikacijom \u010desto prolaze ispod radara softvera za detekciju i odgovor na prijetnje (eng. <em>Endpoint Detection and Response \u2013 EDR<\/em>) i drugih bezbjednosnih alata, jer se oslanjaju na reputaciju ovog programa kao pouzdanog.<\/p>\n<p>Zlonamjerni akteri upravo to povjerenje koriste tako \u0161to ubrizgavaju zlonamjerne <em>DLL<\/em> datoteke u <em>OneDrive<\/em> proces. Na taj na\u010din uspijevaju da \u201c<em>pozajme<\/em>\u201d legitimitet povezan sa <em>OneDrive.exe<\/em> i prikriju svoje aktivnosti. Kada se zlonamjerni k\u00f4d izvr\u0161ava unutar naizgled benignog procesa, postaje znatno te\u017ei za otkrivanje bezbjednosnim sistemima i softverima za detekciju i odgovor na prijetnje (<em>EDR<\/em>).<\/p>\n<p>Ovakav pristup zlonamjernim akterima pru\u017ea atraktivnu mogu\u0107nost da izbjegnu detekciju i neprimjetno sprovedu svoje zlonamjerne operacije, oslanjaju\u0107i se na reputaciju aplikacije koja se ina\u010de smatra pouzdanom.<\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p>U ovom primjeru, <em>OneDrive.exe<\/em> slu\u017ei kao ciljna aplikacija, dok <em>version.dll<\/em> predstavlja biblioteku bo\u010dnog u\u010ditavanja. Mnoge aplikacije, uklju\u010duju\u0107i <em>OneDrive.exe<\/em>, oslanjaju se na <em>version.dll<\/em> kako bi preuzele informacije o verziji datoteke. Postavljanjem posebno pripremljene datoteke <em>version.dll <\/em>u direktorijum aplikacije, zlonamjerni akteri mogu preuzeti kontrolu nad procesom u\u010ditavanja.<\/p>\n<p>Klju\u010d uspje\u0161ne eksploatacije le\u017ei u pozicioniranju prilago\u0111ene datoteke <em>version.dll<\/em> ispred legitimnih verzija. Na taj na\u010din <em>OneDrive.exe<\/em> u\u010ditava i izvr\u0161ava zlonamjernu biblioteku umjesto originalne, \u0161to zlonamjernim akterima omogu\u0107ava da zadr\u017ee kontrolu nad kriti\u010dnim sistemskim funkcijama bez izazivanja sumnje kod bezbjednosnog softvera ili administratora.<\/p>\n<p>Dodatno, koristi se tehnika <em>DLL<\/em> posrednik, koja se kombinuje sa bo\u010dnim u\u010ditavanjem kako bi se o\u010duvala stabilnost ciljanih aplikacija, a istovremeno omogu\u0107ilo izvr\u0161avanje zlonamjernog k\u00f4da. Kreiranjem verzije datoteke <em>version.dll<\/em> koja izvozi iste funkcije kao legitimni pandan, zlonamjerni akteri obezbje\u0111uju besprijekornu integraciju i sprje\u010davaju padove izazvane nedostaju\u0107im ili nekompatibilnim komponentama.<\/p>\n<p>Upotreba direktiva \u201c<em>pragma comment(linker, &#8220;\/export:&#8230;&#8221;)<\/em>\u201d u datoteci za demonstraciju <em>exports.h<\/em> efikasno prikazuje ovu tehniku. Direktive proslje\u0111uju sve o\u010dekivane izvoze iz posredni\u010dke <em>version.dll<\/em> ka originalnoj <em>DLL<\/em> datoteci u direktorijumu<em> C:\\Windows\\System32<\/em>, \u010dime se garantuje da pozive koje izvr\u0161i <em>OneDrive.exe<\/em> i dalje obra\u0111uje legitimna biblioteka. Efikasnost metode ogleda se u njenoj sposobnosti da se neprimjetno uklopi u postoje\u0107e sistemske funkcionalnosti, bez izazivanja sumnje kod korisnika ili administratora.<\/p>\n<p>Za realizaciju ovakvog napada koristi se <em>API<\/em> povezivanje, koje igra klju\u010dnu ulogu. Primjenjuju se napredne tehnike poput vektorskog rukovanja izuzecima (eng. <em>Vectored Exception Handling \u2013 VEH)<\/em> i za\u0161tite memorijskih stranica radi presretanja poziva aplikacija. Za razliku od tradicionalnih metoda, poput <em>inline<\/em> povezivanja koje bezbjednosni proizvodi lak\u0161e otkrivaju, vektorsko rukovanje izuzecima (<em>VEH)<\/em> pristup je prikriveniji.<\/p>\n<p>Vektorsko rukovanje izuzecima (<em>VEH)<\/em> omogu\u0107ava programerima da registruju funkciju koja se poziva svaki put kada se dogodi izuzetak unutar procesa. U ovom primjeru sigurnosni istra\u017eiva\u010di namjerno pokre\u0107u izuzetke kao dio mehanizma kontrole toka izvr\u0161avanja. Prikrivena priroda metode proizilazi iz \u010dinjenice da se k\u00f4d ne mijenja trajno, ve\u0107 se oslanja na privremene izuzetke koje registrovane funkcije presre\u0107u i obra\u0111uju.<\/p>\n<p>Ovakav pristup bi zlonamjernim akterima omogu\u0107io da zadr\u017ee kontrolu nad kriti\u010dnim funkcijama sistema, dok istovremeno smanjuju svoj digitalni otisak i ote\u017eavaju otkrivanje stru\u010dnjacima za bezbjednost zadu\u017eenim za identifikaciju prijetnji.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Napad bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka predstavlja ozbiljnu prijetnju <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, jer omogu\u0107ava da se u konkretnom slu\u010daju <em>OneDrive<\/em> aplikacija koristi kao potencijalni vektor napada sa dalekose\u017enim posljedicama i za korisnike i za organizacije. Ova tehnika oslanja se na povjerenje u legitimne aplikacije, otvaraju\u0107i prostor za mogu\u0107e izvr\u0161avanje proizvoljnog k\u00f4da, a da bezbjednosni mehanizmi to ne otkriju.<\/p>\n<p>Uticaj na pogo\u0111ene sisteme mogao bi biti zna\u010dajan: naru\u0161avanje integriteta podataka, neovla\u0161teni pristup i rizik od padova sistema. Mogu\u0107e iskori\u0161tavanje <em>OneDrive.exe<\/em> na ovaj na\u010din podsje\u0107a na napredne metode kojima zlonamjerni akteri mogu zaobi\u0107i odbranu i ste\u0107i prednost nad bezbjednosnim alatima.<\/p>\n<p>Napad bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka u pro\u0161losti je kori\u0161ten za kompromitovanje legitimnih <em>Windows<\/em> procesa, \u010dime je zlonamjernim akterima omogu\u0107eno da obezbijede postojanost na inficiranim sistemima. Posljedice za korisnike mogle bi biti ozbiljne: gubitak podataka, finansijska \u0161teta, naru\u0161ena reputacija i potencijalna pravna odgovornost.<\/p>\n<p>Organizacije koje bi postale \u017ertve suo\u010dile bi se sa zastojima u radu, gubitkom produktivnosti i prihoda, kao i visokim tro\u0161kovima sanacije. Ti tro\u0161kovi uklju\u010duju anga\u017eovanje zaposlenih, nadogradnju sistema i mogu\u0107e sudske procese. Dugoro\u010dno, posljedice bi se ogledale u gubitku povjerenja kupaca, smanjenju tr\u017ei\u0161nog udjela i slabljenju konkurentnosti, pri \u010demu dodatnu te\u017einu predstavlja \u010dinjenica da se napadi ovog tipa mogu povezati sa <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednim trajnim prijetnjama<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>), koje je posebno te\u0161ko otkriti i neutralisati.<\/p>\n<p>Uticaj mogu\u0107eg iskori\u0161tavanja ovakvih ranjivosti na \u0161iri pejza\u017e sajber bezbjednosti ne mo\u017ee se zanemariti. Bo\u010dno u\u010ditavanje <em>DLL<\/em> datoteka mo\u017ee poslu\u017eiti za kompromitovanje osjetljivih podataka, ometanje kriti\u010dne infrastrukture i potkopavanje povjerenja u digitalne platforme. Zato je od klju\u010dne va\u017enosti da organizacije daju prioritet sajber bezbjednosti, svjesne da i naizgled manje ranjivosti mogu imati dalekose\u017ene posljedice.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Koncept napada bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka koriste\u0107i <em>OneDrive<\/em> predstavlja strate\u0161ku i metodolo\u0161ki slo\u017eenu prijetnju koja zahtijeva vi\u0161eslojni pristup otkrivanju i sprje\u010davanju. Kako zlonamjerni akteri neprestano prilago\u0111avaju svoje taktike da bi ostali ispred tradicionalnih bezbjednosnih mjera, postaje jasno da nijedna organizacija nije imuna na ovakve prijetnje.<\/p>\n<p>U hibridnim radnim okru\u017eenjima, gdje zaposleni sinhronizuju korporativne podatke putem <em>OneDrive<\/em> servisa na li\u010dnim i korporativnim ure\u0111ajima, koncept napada bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka posebno je zabrinjavaju\u0107i. Takvo okru\u017eenje pogoduje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnom kretanju<\/a> i kra\u0111i osjetljivih dokumenata, \u0161to \u010dini neophodnim da organizacije implementiraju sna\u017ene bezbjednosne mjere.<\/p>\n<p>Napad bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka u svojoj op\u0161toj formi pokazuje naprednost kroz sposobnost da odr\u017ei kompatibilnost sa lokalnom aplikacijom putem tehnika kao \u0161to je <em>DLL<\/em> posredovanje. Na taj na\u010din zlonamjerni k\u00f4d neprimjetno radi u pozadini dok aplikacija nastavlja da funkcioni\u0161e normalno. Zlonamjerna biblioteka izvozi iste funkcije kao legitimna i proslje\u0111uje pozive pravoj sistemskoj biblioteci, \u010dime se odr\u017eava privid regularnog rada.<\/p>\n<p>Koncept napada bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka koriste\u0107i <em>OneDrive<\/em> ima dalekose\u017ene posljedice, jer mo\u017ee pogoditi ne samo pojedina\u010dne korisnike ve\u0107 i cijele organizacije. Ovakav pristup otvara mogu\u0107nost kra\u0111e osjetljivih podataka i bo\u010dnog kretanja kroz mre\u017eu, \u0161to dodatno pove\u0107ava rizik. Timovi za bezbjednost, prilikom pregleda konfiguracija raspore\u0111ivanja i pra\u0107enja integriteta datoteka u kriti\u010dnim direktorijumima aplikacija, jasno uvi\u0111aju da se radi o tehnici koja zahtijeva vi\u0161eslojni pristup otkrivanju i sprje\u010davanju.<\/p>\n<p>Zbog toga, u slo\u017eenom pejza\u017eu sajber prijetnji, koncept napada bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka pomo\u0107u <em>OneDrive<\/em> aplikacije predstavlja samo jedan od aspekata evoluiraju\u0107ih prijetnji. Zlonamjerni akteri stalno prilago\u0111avaju svoje metode kako bi bili ispred tradicionalnih bezbjednosnih mjera, \u0161to \u010dini neophodnim da organizacije ostanu budne i dosljedne u svojoj odbrani od ovakvih prijetnji.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>S obzirom na ozbiljnost i potencijalne posljedice napada bo\u010dnim u\u010ditavanjem <em>DLL<\/em> datoteka koriste\u0107i <em>OneDrive<\/em>, neophodno je da organizacije usvoje jasne i prakti\u010dne mjere za\u0161tite. Sljede\u0107e preporuke imaju za cilj da pomognu u ja\u010danju odbrane i smanjenju rizika od mogu\u0107eg iskori\u0161tavanja ove tehnike:<\/p>\n<ol>\n<li>Redovno skenirati direktorijume i poddirektorijume aplikacija za sve nepoznate ili sumnjive <em>DLL<\/em> datoteke, posebno one sa neobi\u010dnim imenima ili vremenskim oznakama. Ovo se mo\u017ee posti\u0107i upotrebom alata za pra\u0107enje dizajniranih za otkrivanje anomalija u obrascima kreiranja i modifikacije datoteka.<\/li>\n<li>Koristiti alate za pra\u0107enje zasnovane na pona\u0161anju koji prate i analiziraju sistemske procese kreirane iz pouzdanih aplikacija kao \u0161to je<em> OneDrive<\/em>. Ovi sistemi mogu identifikovati sumnjive aktivnosti, kao \u0161to je neo\u010dekivano u\u010ditavanje <em>DLL<\/em> datoteka, upore\u0111uju\u0107i o\u010dekivane i stvarne obrasce izvr\u0161avanja legitimnih programa.<\/li>\n<li>Sprovoditi temeljne preglede svih <em>OneDrive<\/em> raspore\u0111ivanja u organizaciji kako biste se osiguralo da se pridr\u017eavaju utvr\u0111enih najboljih bezbjednosnih praksi. Ovo uklju\u010duje provjeru da li je pra\u0107enje integriteta datoteka omogu\u0107eno za kriti\u010dne direktorijume aplikacija i provjeru da li je nedavno do\u0161lo do sumnjivih ili neovla\u0161tenih izmjena.<\/li>\n<li>Aktivirati pra\u0107enje integriteta datoteka (eng. <em>File Integrity Monitoring \u2013 FIM<\/em>) na klju\u010dnim komponentama sistema, uklju\u010duju\u0107i direktorijum u kojem se nalazi <em>OneDrive.<\/em><em>exe<\/em>. Na taj na\u010din, organizacije mogu brzo da otkriju sve promjene <em>DLL<\/em> datotekama povezanih sa ovim legitimnim programom, \u010dime se smanjuje rizik od eksploatacije od strane zlonamjernog aktera koji koriste tehnike bo\u010dnog u\u010ditavanja.<\/li>\n<li>Razvijati i redovno a\u017eurirajte efikasnu strategiju <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plana odgovora na sajber prijetnje<\/a> koja uklju\u010duje procedure za identifikaciju, obuzdavanje, iskorjenjivanje, oporavak (ako je potrebno) i saniranje bilo kakvih bezbjednosnih incidenata povezanih sa napadima bo\u010dnog u\u010ditavanja DLL datoteka na <em>OneDrive.exe<\/em>.<\/li>\n<li>Obavijestiti sve zaposlene koji koriste ili komuniciraju sa <em>OneDrive<\/em> aplikacijom o opasnostima koje predstavljaju eksploatacije bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka usmjerene na ovu aplikaciju. Ova kampanja podizanja svijesti trebalo bi da naglasi va\u017enost prijavljivanja sumnjivih aktivnosti i strogog pridr\u017eavanja utvr\u0111enih bezbjednosnih protokola prilikom kori\u0161tenja legitimnih programa poput <em>OneDrive<\/em>.<\/li>\n<li>Zakazivati periodi\u010dna skeniranja ranjivosti za sisteme koji pokre\u0107u <em>OneDrive<\/em>, fokusiraju\u0107i se na identifikovanje potencijalnih slabosti koje bi zlonamjerni akteri mogli da iskoriste koriste\u0107i taktike bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka protiv ove aplikacije.<\/li>\n<li>Sprovoditi strogo pridr\u017eavanje principa \u201c<em>najmanjih privilegija<\/em>\u201d prilikom dodjeljivanja dozvola ili prava unutar <em>IT<\/em> infrastrukture organizacije. Ovo podrazumijeva osiguravanje da korisnici i aplikacije imaju samo neophodne privilegije potrebne za njihove specifi\u010dne uloge, \u010dime se smanjuju mogu\u0107nosti za zlonamjerne aktere koji koriste eksploatacije bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka.<\/li>\n<li>Implementirati robustan sistem za kori\u0161tenje samo dozvoljenih aplikacija (eng. <em>trusted application whitelisting \u2013 TAWL<\/em>) koji strogo kontroli\u0161e koji programi mogu da se izvr\u0161avaju na sistemima ili mre\u017eama organizacije. Ovaj pristup poma\u017ee u sprje\u010davanju pokretanja zlonamjernog k\u00f4da tako \u0161to dozvoljava samo poznatim, legitimnim aplikacijama da rade u okru\u017eenju.<\/li>\n<li>Osigurati da su sve instance <em>OneDrive<\/em> aplikacije a\u017eurirane najnovijim bezbjednosnim ispravkama koje je objavila kompanija <em>Microsoft<\/em>. Redovna a\u017euriranja mogu pomo\u0107i u rje\u0161avanju ranjivosti koje zlonamjerni akteri mogu da iskoriste koriste\u0107i tehnike bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka protiv ove aplikacije.<\/li>\n<li>Podijeliti <em>IT<\/em> infrastrukturu organizacije na odvojene, izolovane segmente kako bi se ograni\u010dilo bo\u010dno kretanje u slu\u010daju uspje\u0161nog napada koji iskori\u0161tava <em>OneDrive.<\/em><em>exe\u00a0<\/em>putem taktike bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka. Ovaj pristup ote\u017eava zlonamjernim akterima \u0161irenje svog uticaja po sistemu nakon \u0161to dobiju pristup putem ove rute.<\/li>\n<li>Iskoristite najsavremenija bezbjednosna rje\u0161enja koja uklju\u010duju mogu\u0107nosti ma\u0161inskog u\u010denja i analize pona\u0161anja, omogu\u0107avaju\u0107i im da identifikuju sumnjive obrasce koji ukazuju na potencijalne napade koji iskori\u0161tavaju <em>OneDrive.exe<\/em> putem eksploatacija bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka.<\/li>\n<li>Razvijati efikasan plan za\u0161tite podataka koji uklju\u010duje redovne<a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\"> rezervne kopije<\/a> kriti\u010dnih sistemskih komponenti tamo gdje je <em>OneDrive<\/em> instaliran ili se koristi. Ovo osigurava kontinuitet poslovanja u slu\u010daju da zlonamjerni akteri uspje\u0161no iskoriste ovu aplikaciju koriste\u0107i taktiku bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka, \u010dime se omogu\u0107ava brz oporavak od bilo kakvih nastalih bezbjednosnih incidenata.<\/li>\n<li>Zakazivati periodi\u010dne procjene rizika za sisteme koji pokre\u0107u <em>OneDrive<\/em> kako bi se identifikovali potencijalne ranjivosti koje bi mogli da iskoriste zlonamjerni akteri koji koriste tehnike bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka protiv ovog legitimnog programa. Pored toga, redovno sprovodite testove penetracije koriste\u0107i simulirane napade dizajnirane posebno za testiranje efikasnosti postoje\u0107e odbrane od takvih eksploatacija.<\/li>\n<li>Koristite napredne sisteme za upravljanje bezbjednosnim informacijama i doga\u0111ajima (eng. <em>security information and event management \u2013 SIEM<\/em>) sposobno za prikupljanje podataka iz razli\u010ditih izvora u <em>IT<\/em> infrastrukturi organizacije. Ovo omogu\u0107ava pra\u0107enje potencijalnih prijetnji u realnom vremenu, uklju\u010duju\u0107i one koje iskori\u0161tavaju <em>OneDrive.exe<\/em> putem taktika bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka, \u010dime se olak\u0161ava brz odgovor na incidente.<\/li>\n<li>Periodi\u010dno procjenjivati postoje\u0107e bezbjednosne protokole kako bi se osiguralo da ostanu efikasni u sprje\u010davanju napada koji iskori\u0161tavaju <em>OneDrive.exe<\/em>\u00a0koriste\u0107i tehnike bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka. Ovo podrazumijeva a\u017euriranje ili usavr\u0161avanje ovih smjernica po potrebi na osnovu novih prijetnji i najboljih praksi u industriji.<\/li>\n<\/ol>\n<p>Implementacija sveobuhvatnog skupa mjera opisanih iznad mo\u017ee zna\u010dajno pobolj\u0161ati otpornost organizacije na eksploatacije bo\u010dnog u\u010ditavanja <em>DLL<\/em> datoteka usmjerenog na <em>OneDrive<\/em>, \u0161to na kraju smanjuje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161inu napada<\/a> izlo\u017eenu zlonamjernim akterima koji \u017eele da iskoriste ovu legitimnu aplikaciju za svoje zlonamjerne svrhe.<\/p>","protected":false},"excerpt":{"rendered":"<p>OneDrive aplikacija je nedavno ozna\u010dena od strane Kas-sec sigurnosnih istra\u017eiva\u010da kao potencijalni vektor napada kroz bo\u010dno u\u010ditavanje DLL datoteka. Njihovo otkri\u0107e ukazuje na evoluiraju\u0107e taktike koje zlonamjerni akteri mogu koristiti da izbjegnu otkrivanje i&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8543,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3601,3596,3410,1452,3389,3599,1890,3595,3350,1115,3597,3413,3600,3419,3598],"class_list":["post-8542","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt-pretnje","tag-bocno-ucitavanje","tag-cyber-security","tag-data-protection","tag-digitalna-bezbjednost","tag-dll-proxying","tag-dll-sideloading","tag-dll-ucitavanje","tag-kradja-podataka","tag-malware-attack","tag-onedrive-napad","tag-sajber-napad","tag-sajber-pretnje","tag-sigurnost-podataka","tag-zastita-sistema"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8542","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8542"}],"version-history":[{"count":4,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8542\/revisions"}],"predecessor-version":[{"id":8547,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8542\/revisions\/8547"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8543"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8542"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8542"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8542"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}