Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:raspberry_robin_malware_kampanja [2025/01/26 22:57]
Cvetković Matea [Uvod] 		racfor_wiki:seminari2024:raspberry_robin_malware_kampanja [2025/01/27 04:16] (trenutno)
Cvetković Matea [Literatura]
Redak 17: Redak 17:
 Ove vrste zloćudnog koda uglavnom koriste različite ranjivosti u računalnim sustavima kako bi omogućile daljnju distribuciju ili instalaciju drugih zlonamjernih programa. Crvi mogu uzrokovati ogromne financijske gubitke organizacijama, poremetiti rad sustava, narušiti sigurnost podataka te omogućiti napadačima daljnji pristup mreži ili čak preuzimanje kontrole nad sustavom. Njihova prisutnost u sustavima često prolazi neopaženo sve dok šteta nije već učinjena, što dodatno otežava zaštitu protiv njih. Ove vrste zloćudnog koda uglavnom koriste različite ranjivosti u računalnim sustavima kako bi omogućile daljnju distribuciju ili instalaciju drugih zlonamjernih programa. Crvi mogu uzrokovati ogromne financijske gubitke organizacijama, poremetiti rad sustava, narušiti sigurnost podataka te omogućiti napadačima daljnji pristup mreži ili čak preuzimanje kontrole nad sustavom. Njihova prisutnost u sustavima često prolazi neopaženo sve dok šteta nije već učinjena, što dodatno otežava zaštitu protiv njih.
  
-Jedan od novijih primjera ovakvog malwarea je Raspberry Robin, crv koji se ističe specifičnim načinom širenja. Raspberry Robin prvi je put uočen 2021. godine zahvaljujući tvrtki za kibernetičku sigurnost Red Canary. Raspberry Robin koristi vanjske uređaje poput USB diskova za širenje te iskorištava Windows Installer za preuzimanje zlonamjernih datoteka na zaraženim računalima. Opasnost ovog //malwarea// prepoznata je vrlo brzo nakon njegove detekcije stoga je već 2022. godine bio uvršten na popis najvećih prijetnji računalnoj sigurnosti, na visokom sedmom mjestu.+Jedan od novijih primjera ovakvog malwarea je Raspberry Robin, crv koji se ističe specifičnim načinom širenja. Raspberry Robin prvi je put uočen 2021. godine zahvaljujući tvrtki za kibernetičku sigurnost Red Canary. Raspberry Robin koristi vanjske uređaje poput USB diskova za širenje te iskorištava Windows Installer za preuzimanje zlonamjernih datoteka na zaraženim računalima. Opasnost ovog //malwarea// prepoznata je vrlo brzo nakon njegove detekcije stoga je već 2023. godine bio uvršten na popis najvećih prijetnji računalnoj sigurnosti, na visokom sedmom mjestu.
  
-U posljednjim godinama primijećeno je smanjenje broja zaraza Raspberry Robinom, no on i dalje predstavlja ozbiljan izvor prijetnji računalnoj sigurnosti te se smatra aktivnom prijetnjom, posebno zbog toga što nastavlja evoluirati i prilagođavati svoje metode širenja. Iako je u početku bio uglavnom vezan uz USB diskove, Raspberry Robin se sada širi i drugačijim metodama, poput rar i 7-zip arhiva (posebice na //Discordu//) te wfs (//Windows Script Files//) datoteka.+U posljednjim godinama primijećeno je smanjenje broja zaraza Raspberry Robinom, no on i dalje predstavlja ozbiljan izvor prijetnji računalnoj sigurnosti te se smatra aktivnom prijetnjom, posebno zbog toga što nastavlja evoluirati i prilagođavati svoje metode širenja. Iako je u početku bio uglavnom vezan uz USB diskove, Raspberry Robin se sada širi i drugačijim metodama, poput rar i 7-zip arhiva (posebice na //Discordu//) te wsf (//Windows Script Files//) datoteka.
  
 Za razliku od nekih drugih zloćudnih softvera, meta Raspberry Robina nisu isključivo osobna računala, već tehnološka industrija, javna uprava, financije, proizvodnja itd., gdje je zabilježen značajan broj napada. Za razliku od nekih drugih zloćudnih softvera, meta Raspberry Robina nisu isključivo osobna računala, već tehnološka industrija, javna uprava, financije, proizvodnja itd., gdje je zabilježen značajan broj napada.
Redak 28: Redak 28:
 ==== Zaraza  ==== ==== Zaraza  ====
  
-Infekcija računalnog sustava Raspberry Robin crvom u većini slučajeva započinje kada korisnik priključi zaraženi USB uređaj na svoje računalo (kao što je već spomenuto, novije verzije uključuju i skidanje zaraženih rar i 7-zip arhiva s interneta). Na temelju povratnih informacija žrtava, primijećeno je da su najčešći izvor zaraze USB-ovi koji su prethodno korišteni u tiskarama i poštanskim centrima. Zloćudna datoteka koja se nalazi na USB-u redovito ima naziv proizvođača USB diska, kako bi privukla žrtvu da ju pokrene. S druge strane, postoje i verzije u kojima se zloćudni kod automatski pokreće.+Infekcija računalnog sustava Raspberry Robin crvom (slika 1.) u većini slučajeva započinje kada korisnik priključi zaraženi USB uređaj na svoje računalo (kao što je već spomenuto, novije verzije uključuju i preuzimanje zaraženih rar i 7-zip arhiva s interneta). Na temelju povratnih informacija žrtava, primijećeno je da su najčešći izvor zaraze USB-ovi koji su prethodno korišteni u tiskarama i poštanskim centrima. Zloćudna datoteka koja se nalazi na USB-u redovito ima naziv proizvođača USB diska, kako bi privukla žrtvu da ju pokrene. S druge strane, postoje i verzije u kojima se zloćudni kod automatski pokreće.
  
 Nakon što se zaraženi USB uređaj poveže s računalom, izvršna datoteka //Command Prompta// (**cmd.exe**) prima naredbu da pročita i izvrši nasumično nazvanu datoteku, koja ima nasumičnu ekstenziju duljine dva do tri slova (.usb, ico, .lnk, .bin, .sv, , .lo.) (slika 1.). Naredba je obično oblika: Nakon što se zaraženi USB uređaj poveže s računalom, izvršna datoteka //Command Prompta// (**cmd.exe**) prima naredbu da pročita i izvrši nasumično nazvanu datoteku, koja ima nasumičnu ekstenziju duljine dva do tri slova (.usb, ico, .lnk, .bin, .sv, , .lo.) (slika 1.). Naredba je obično oblika:
Redak 39: Redak 39:
   *u naredbi se javlja ime računala i/ili korisničko ime žrtve   *u naredbi se javlja ime računala i/ili korisničko ime žrtve
  
-Kada je ova naredba izvršena, dolazi do preuzimanja i pokretanja datoteka s C&C poslužitelja. Komunikacija se najčešće odvija protokolom HTTP. Ako je uspješan, ovaj korak otvara niz brojnih mogućnosti za daljnje napade i širenje mrežom.+Kada je ova naredba izvršena, dolazi do preuzimanja i pokretanja datoteka s C&C poslužitelja. Komunikacija se najčešće odvija protokolom HTTP. Ako je uspješan, ovaj korak otvara niz brojnih mogućnosti za daljnje napade i širenje mrežom. 
  
- 
- 
-==== Zloćudna aktivnost ==== 
-Nakon što **msiexec.exe** uspješno uspostavi mrežnu vezu s C&C poslužiteljem, preuzima i instalira nasumično imenovani zlonamjerni **DLL** (//Dynamic Link Library//), obično smješten u //C:\ProgramData<nasumično ime poddirektorija>// 
  
  
Redak 51: Redak 47:
 Slika 1. Prikaz napada Raspberry Robin malwareom [[#literatura|[3]]]  Slika 1. Prikaz napada Raspberry Robin malwareom [[#literatura|[3]]] 
  
-**DLL** je datoteka koja sadrži skup funkcija i procedura koje mogu biti korištene od strane drugih programa. U kontekstu zlonamjernog softvera, DLL može sadržavati kod koji omogućuje izvršavanje malicioznih aktivnosti kao što su širenje infekcije, krađa podataka ili izmjena privilegija. + 
 + 
 +==== Zloćudna aktivnost ==== 
 +Nakon što **msiexec.exe** uspješno uspostavi mrežnu vezu s C&C poslužiteljem, preuzima i instalira nasumično imenovani zlonamjerni **DLL** (//Dynamic Link Library//), obično smješten u //C:\ProgramData//
 + 
 + 
 +**DLL** je datoteka koja sadrži skup funkcija i procedura koje drugi programi mogu koristiti. U kontekstu zlonamjernog softvera, DLL može sadržavati kod koji omogućuje izvršavanje malicioznih aktivnosti kao što su širenje infekcije, krađa podataka ili izmjena privilegija. 
 Naziv DLL datoteke sastoji se od dva do osam nasumičnih znakova, a završava ekstenzijom od tri znaka koja može biti **.tmp**, **.etl**, **.log** i sl..  Naziv DLL datoteke sastoji se od dva do osam nasumičnih znakova, a završava ekstenzijom od tri znaka koja može biti **.tmp**, **.etl**, **.log** i sl.. 
  
 Ovaj DLL, poznat i kao **Roshtyak**, može biti pokrenut raznim procesima u pokušaju mijenjanja privilegija i zaobilaženja //User Access Control// (UAC), ovisno o načinu prikrivanja aktivnosti koja će biti najvjerojatnija za uspjeh.  Ovaj DLL, poznat i kao **Roshtyak**, može biti pokrenut raznim procesima u pokušaju mijenjanja privilegija i zaobilaženja //User Access Control// (UAC), ovisno o načinu prikrivanja aktivnosti koja će biti najvjerojatnija za uspjeh. 
- 
- 
  
 Zlonamjerni DLL ima brojne funkcionalnosti, uključujući daljnje **C2** (//Command and Control// aktivnosti, poput kreiranja zadataka i sposobnosti preuzimanja te izvršavanja dodatnih zlonamjernih datoteka.  Zlonamjerni DLL ima brojne funkcionalnosti, uključujući daljnje **C2** (//Command and Control// aktivnosti, poput kreiranja zadataka i sposobnosti preuzimanja te izvršavanja dodatnih zlonamjernih datoteka. 
  
-**C2 aktivnosti** omogućuju napadaču da putem C&C servera šalje naredbe zaraženim računalima i prikuplja podatke, čime zadržava kontrolu nad zaraženim sustavima. +**C2 aktivnosti** omogućuju napadaču da putem C&C servera šalje naredbe zaraženim računalima i prikuplja podatke, čime zadržava kontrolu nad zaraženim sustavima. Na slici 2. prikazana je povezanost Raspberry Robina s većim sustavom kibernetičkog kriminala.
  
  
 {{:racfor_wiki:seminari2024:racfor2.png?600|}} {{:racfor_wiki:seminari2024:racfor2.png?600|}}
  
-Slika 2. Povezanost Raspberry Robina s većim ekosustavom kibernetičkog kriminala [[#literatura|[9]]] +Slika 2. Povezanost Raspberry Robina s većim ekosustavom kibernetičkog kriminala [[#literatura|[4]]]
 ==== Tehnike izbjegavanja detekcije ====  ==== Tehnike izbjegavanja detekcije ==== 
  
Redak 73: Redak 72:
 //Payload// (glavni zloćudni program) nalazi se u najnižem sloju, a svaki sloj iznad njega služi za šifriranje. Kao zaštita koristi se i obfuskacija, kod je pisan nečitljivo i zbunjujuće te je razbijen na male, naočigled nepovezane dijelove kako bi automatskom detekcijom (a i reverznim inženjeringom) bilo što teže otkriti njegovu stvarnu namjenu. //Payload// (glavni zloćudni program) nalazi se u najnižem sloju, a svaki sloj iznad njega služi za šifriranje. Kao zaštita koristi se i obfuskacija, kod je pisan nečitljivo i zbunjujuće te je razbijen na male, naočigled nepovezane dijelove kako bi automatskom detekcijom (a i reverznim inženjeringom) bilo što teže otkriti njegovu stvarnu namjenu.
 {{ :racfor_wiki:seminari2024:racfor4.png?400 |}} {{ :racfor_wiki:seminari2024:racfor4.png?400 |}}
-Slika 3. Višeslojna struktura Raspberry Robina [[#literatura|[10]]]+Slika 3. Višeslojna struktura Raspberry Robina [[#literatura|[9]]]
  
 Kao što je prikazano na slici 3., u 8. sloju crva nalazi se detekcija kojom malware može primijetiti da je otkriven, te aktivira takozvani //fake payload//, čija je svrha uvjeriti zaštitu sustava da je u potpunosti razotkrila njegove namjere. Kao što je prikazano na slici 3., u 8. sloju crva nalazi se detekcija kojom malware može primijetiti da je otkriven, te aktivira takozvani //fake payload//, čija je svrha uvjeriti zaštitu sustava da je u potpunosti razotkrila njegove namjere.
Redak 89: Redak 88:
 {{ :racfor_wiki:seminari2024:racfor3.png?400 |}} {{ :racfor_wiki:seminari2024:racfor3.png?400 |}}
  
-Slika 4. Zabilježeni Raspberry Robin napadi u listopadu i studenom 2022. [[#literatura|[10]]]+Slika 4. Zabilježeni Raspberry Robin napadi u listopadu i studenom 2022. [[#literatura|[9]]]
 ==== Zaštita od napada ==== ==== Zaštita od napada ====
  
-  * redovno ažuriranje operacijskog sustav i aplikacija+  * redovno ažuriranje operacijskog sustava i aplikacija
   * korištenje pouzdanih antivirusnih i //antimalware// alata   * korištenje pouzdanih antivirusnih i //antimalware// alata
   * blokiranje automatskog pokretanja USB uređaja   * blokiranje automatskog pokretanja USB uređaja
Redak 105: Redak 104:
 ===== Zaključak ===== ===== Zaključak =====
  
-Raspberry Robin je, unatoč sve boljoj zaštiti i znanju o načinu na koji funkcionira, i dalje aktualna i ozbiljna prijetnja sigurnosti računala i mreža. Zbog lakog i brzog načina širenja, sve se više koristi kao sredstvo za pokretanje još sofisticiranijih napada. Postoji mogućnost da su napadači koji stoje iza zlonamjernih kampanja povezanih s Raspberry Robinom – koje se obično šire putem drugih kanala poput lažnih oglasa ili e-mailova – zapravo plaćali autorima Raspberry Robina za instalaciju zlonamjernog softvera. Ključ u obrani protiv ovog //malwarea// je edukacija potencijalnih meta te redovito praćenje novih otkrića i upozorenja vezanih uz njega.+Raspberry Robin je, unatoč sve boljoj zaštiti i znanju o načinu na koji funkcionira, i dalje aktualna i ozbiljna prijetnja sigurnosti računala i mreža. Zbog lakog i brzog načina širenja, sve se više koristi kao sredstvo za pokretanje još sofisticiranijih napada. Postoji mogućnost da su napadači koji stoje iza zlonamjernih kampanja povezanih s Raspberry Robinom – koje se obično šire putem drugih kanala poput lažnih oglasa ili e-mailova – zapravo plaćali autorima Raspberry Robina za instalaciju zlonamjernog softvera. Ključ u obrani protiv ovog //malwarea// je edukacija potencijalnih meta te redovito praćenje novih otkrića i upozorenja vezanih uz njega.
  
 ===== Literatura ===== ===== Literatura =====
Redak 117: Redak 116:
 [4] Microsoft Security: [[https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/]] [4] Microsoft Security: [[https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/]]
  
-[5] https://www.logpoint.com/en/blog/emerging-threats/raspberry-robin/ +[5] Logpoint - Raspberry Robin: [[https://www.logpoint.com/en/blog/emerging-threats/raspberry-robin/]]
  
-[6] Red Canary - Top Cyber Threats: https://redcanary.com/threat-detection-report/threats/+[6] Red Canary - Top Cyber Threats: [[https://redcanary.com/threat-detection-report/threats/]]
  
-[7] HP Threat Research Blog - Raspberry Robin Now Spreading Through Windows Script Files: https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/+[7] HP Threat Research Blog - Raspberry Robin Now Spreading Through Windows Script Files: [[https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/]]
  
-[8] What is C2?: https://www.varonis.com/blog/what-is-c2+[8] What is C2?: [[https://www.varonis.com/blog/what-is-c2]]
  
-[9] https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/+[9] [[https://www.trendmicro.com/en_gb/research/22/l/raspberry-robin-malware-targets-telecom-governments.html]]
  
-[10] https://www.trendmicro.com/en_gb/research/22/l/raspberry-robin-malware-targets-telecom-governments.html+Video se nalazi na linku: https://ferhr-my.sharepoint.com/:v:/g/personal/mc54026_fer_hr/EabO9-ckQbtGopvMuElKQw4BytmE-OIrPhxNUbPcNK6bKQ?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=9fk8IE
racfor_wiki/seminari2024/raspberry_robin_malware_kampanja.1737932241.txt.gz · Zadnja izmjena: 2025/01/26 22:57 od Cvetković Matea
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0