Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:infostealeri [2025/01/26 12:30]
Ostroški Fran [Kratki povijesni pregled infostealera] 		racfor_wiki:seminari2024:infostealeri [2025/01/27 07:47] (trenutno)
Ostroški Fran [Infostealeri]
Redak 1: Redak 1:
 ===== Infostealeri ===== ===== Infostealeri =====
  
 +Video prezentacija: [[https://ferhr-my.sharepoint.com/:v:/g/personal/fo53518_fer_hr/EfXSKi1h-7FArw4uiX5Sb7YBDMXlC1x5oWviyfBNYPtvpg?e=Bnk2vD|Infostealeri]]
 ===== Sažetak ===== ===== Sažetak =====
  
-NAPIŠI ME+Infostealeri su zlonamjerni softveri dizajnirani za krađu osjetljivih informacija s kompromitiranih sustava, uključujući vjerodajnice, financijske podatke i druge povjerljive informacije. Ovaj rad analizira metode infiltracije koje infostealeri koriste te najčešće vrste i ciljeve napada infostealerima.  
 +Rad  razmatra karakteristike poznatih infostealera poput //Zeus//-a, //RedLine//-a i //Lumma stealera//, naglašavajući njihov način djelovanja i širenja. Također su predstavljene strategije zaštite i prevencije zaraze infostealerima. 
 +Zaključno, naglašava se potreba za proaktivnim pristupom i kontinuiranim prilagodbama sigurnosnih strategija kako bi se učinkovito odgovorilo na prijetnje koje predstavljaju infostealeri, uz isticanje važnosti svijesti o njihovom rastućem utjecaju u današnjem digitalnom okruženju. 
 + 
 +Ključne riječi: infostealer; malware; napad; ranjivost; krađa podataka; zaštita; internet; crno tržište;
  
 ===== Uvod ===== ===== Uvod =====
Redak 35: Redak 40:
 ==== Personally Identifiable Information   ==== ==== Personally Identifiable Information   ====
  
-Za bolje razumijevanje načina rada infostealera, valja spomenuti podatke koji otkrivaju identitet (engl. //**Personally Identifiable Information**// - **PII**).Takvim podatcima smatraju se svi podatci koji sami ili uz druge relevantne podatke omogućuju otkrivanje identiteta korisnika. Obično se takvi podatci dijele u dvije skupine: osjetljive i neosjetljive.+Za bolje razumijevanje načina rada infostealera, valja spomenuti podatke koji otkrivaju identitet (engl. //**Personally Identifiable Information**// - **PII**) [[#literatura|[7]]] .Takvim podatcima smatraju se svi podatci koji sami ili uz druge relevantne podatke omogućuju otkrivanje identiteta korisnika. Obično se takvi podatci dijele u dvije skupine: osjetljive i neosjetljive.
  
 Primjer osjetljivih //PII//-eva: Primjer osjetljivih //PII//-eva:
Redak 79: Redak 84:
 ==== Primjer infostealera: RedLine ==== ==== Primjer infostealera: RedLine ====
  
-//RedLine// infostealer se prvi puta pojavio na tržištu u **Ožujku 2020.** godine (prikladno, u isto vrijeme se proširila pandemija //covid19//) te ubrzo postao najpopularniji i jedan od najboljih infostealer programa dostupnih na crnom tržištu. O popularnosti RedLinea svjedoči i broj detekcija koje je provela tvrtka za kibernetičku sigurnost //Lumu technologies// (Slika 4).+//RedLine// infostealer se prvi puta pojavio na tržištu u **ožujku 2020.** godine (prikladno, u isto vrijeme se proširila pandemija //covid19//) te ubrzo postao najpopularniji i jedan od najboljih infostealer programa dostupnih na crnom tržištu. O popularnosti RedLinea svjedoči i broj detekcija koje je provela tvrtka za kibernetičku sigurnost //Lumu technologies// (Slika 4).
  
-RedLine bi zarazio žrtvino računalo oponašajući //e-mail// tvrtke koja je radila legitimno istraživanje vezano za pronalazak cjepiva za //covid19// te je u kratkom roku postigao rekordne brojke.+//RedLine// bi zarazio žrtvino računalo oponašajući //e-mail// tvrtke koja je radila legitimno istraživanje vezano za pronalazak cjepiva za //covid19// te je u kratkom roku postigao rekordne brojke.
  
 Na crnom tržištu dostupan je po cijeni od **100-150$** ili mjesečnoj pretplati od 100$. RedLine prikuplja PII podatke kao što su podatci iz //autocomplete//-a, pohranjene lozinke i brojeve kartica iz žrtvinog preglednika. Novije verzije RedLinea također omogućuju pregled sistemskih datoteka na žrtvinom računalu,napade na FTP klijente te čak i **krađu kriptovaluta**. Sve prikupljene informacije o žrtvi RedLine periodički šalje korisniku.  Na crnom tržištu dostupan je po cijeni od **100-150$** ili mjesečnoj pretplati od 100$. RedLine prikuplja PII podatke kao što su podatci iz //autocomplete//-a, pohranjene lozinke i brojeve kartica iz žrtvinog preglednika. Novije verzije RedLinea također omogućuju pregled sistemskih datoteka na žrtvinom računalu,napade na FTP klijente te čak i **krađu kriptovaluta**. Sve prikupljene informacije o žrtvi RedLine periodički šalje korisniku. 
Redak 88: Redak 93:
  
 Slika 4. Detekcije infostealera provedene od tvrtke //Lumu technologies// [[#literatura|[3]]]  Slika 4. Detekcije infostealera provedene od tvrtke //Lumu technologies// [[#literatura|[3]]] 
 +
  
 ==== Primjer infostealera: Lumma stealer ==== ==== Primjer infostealera: Lumma stealer ====
  
-//Lumma stealer// je infostealer napisan u programskom jeziku **C** koji se prvi puta pojavio na Ruskom crnom tržištu u **Kolovozu 2022.** godine. Razvio ga je programer poznat na Ruskim forumima pod aliasom //Lumma//, po čemu je alat dobio ime. Do 2024. godine Lumma stealer našao se pri vrhu trendova na //malware// tržištu.+//Lumma stealer// je infostealer napisan u programskom jeziku **C** koji se prvi puta pojavio na Ruskom crnom tržištu u **kolovozu 2022.** godine. Razvio ga je programer poznat na Ruskim forumima pod aliasom //Lumma//, po čemu je alat dobio ime. Do 2024. godine Lumma stealer našao se pri vrhu trendova na //malware// tržištu.
  
-Ovaj infostealer namijenjen je krađi kriptovaluta i  dvofaktorskih (engl. 2FA - //two factor authentication//) ekstenzija u //web// preglednicima. Žrtvino računalo najčešće zarazi preko lažnih CAPTCHA verifikacija. Ukradeni podatci šalju na C2 server preko HTTP POST zahtjeva korištenjem //TeslaBrowser/5.5// klijenta. Detaljnija analiza //Lumma stealer//-a i načina kako funkcionira dostupna je na sljedećoj poveznici: [[#literatura|[10]]]+Ovaj infostealer namijenjen je krađi kriptovaluta i  dvofaktorskih (engl. 2FA - //two factor authentication//) ekstenzija u //web// preglednicima. Žrtvino računalo najčešće zarazi preko lažnih **CAPTCHA** verifikacija. Ukradeni podatci šalju na **C2** (//Command and Control//server preko HTTP POST zahtjeva korištenjem //TeslaBrowser/5.5// klijenta. Detaljnija analiza //Lumma stealer//-a i načina kako funkcionira dostupna je na sljedećoj poveznici: [[#literatura|[10]]]
  
 {{ racfor_wiki:lummastealersteps.jpeg?650|Lummastealer ciklus}} {{ racfor_wiki:lummastealersteps.jpeg?650|Lummastealer ciklus}}
  
 Slika 5. Proces zaraze i krađe podataka alatom //Lumma stealer//. [[#literatura|[10]]] Slika 5. Proces zaraze i krađe podataka alatom //Lumma stealer//. [[#literatura|[10]]]
 +
 +
 +
  
 ==== Primjeri stvarnih napada infostealerima ==== ==== Primjeri stvarnih napada infostealerima ====
Redak 104: Redak 113:
 === Chance Healthcare incident === === Chance Healthcare incident ===
  
-U **Veljači 2024.** godine, kompanija **Chance Healthcare** morala je platiti 22 milijuna dolara otkupnine **ALPHV/BlackCat** skupini, nakon upada u njihov Citrix portal pomoću podataka za prijavu jednog zaposlenika. Na portalu nije bilo nikakve multifaktorske zaštite (MFA).  Više informacija dostupno je na poveznici: [[#literatura|[11]]].+U **veljači 2024.** godine, kompanija **Chance Healthcare** morala je platiti 22 milijuna dolara otkupnine **ALPHV/BlackCat** skupini, nakon upada u njihov Citrix portal pomoću podataka za prijavu jednog zaposlenika. Na portalu nije bilo nikakve multifaktorske zaštite (MFA).  Više informacija dostupno je na poveznici: [[#literatura|[11]]].
  
-=== Airbus Turkish Airlines hack ===+=== Airbus Turkish Airlines napad ===
  
-Brazilski haker **USDoD** objavio je na hakerskom forumu **11. Rujna 2023.** godine ukradene informacije o preko 3200 osoba ukradenih **//Airbus//**-u pomoću podataka za prijavu jednog zaposlenika //Turkish Airlines//-a. Podatci su ukradeni //RedLine// infostealerom, nakon što je zaposlenik pokušao preuzeti piratizirani **//.NET//** softver. Više informacija dostupno je na poveznici:[[#literatura|[12]]].+Brazilski haker **USDoD** objavio je na hakerskom forumu **11. rujna 2023.** godine ukradene informacije o preko 3200 osoba ukradenih **//Airbus//**-u pomoću podataka za prijavu jednog zaposlenika //Turkish Airlines//-a. Podatci su ukradeni //RedLine// infostealerom, nakon što je zaposlenik pokušao preuzeti piratizirani **//.NET//** softver. Više informacija dostupno je na poveznici:[[#literatura|[12]]].
  
 ==== Posljedice napada ==== ==== Posljedice napada ====
Redak 132: Redak 141:
  
 ===== Za one koji žele znati više ===== ===== Za one koji žele znati više =====
-Maybe yes, maybe no 
  
-===== Zaključak =====+Aktualni trendovi među //malware//-ima: [[#literatura|[13]]]
  
-NAPIŠI ME+Službene stranice //HudsonRock// organizacije koja nudi rješenja pri zaštiti od malicioznih napada, redovito prati i analizira indicente, napade, ranjivosti i ostale novosti u kibernetičkom svijetu: [[#literatura|[14]]] 
 + 
 +Službene stranice //HudsonRock//-a za infostealer novosti: [[#literatura|[16]]] 
 + 
 +Kako se //Windows defender// nosi s 100 najboljih infostealera na tržištu: [[#literatura|[15]]] 
 + 
 +  
 + 
 + 
 + 
 + 
 + 
 + 
 + 
 +===== Zaključak =====
  
 +**Infostealeri** predstavljaju sve **veću prijetnju** u svijetu kibernetičke sigurnosti, posebice zbog svoje učinkovitosti pri krađi osjetljivih podataka i uporabi istih za nanošenje **štete**. Njihova široka dostupnost na //dark web//-u i jednostavna implementacija čine ih privlačnima za kibernetičke kriminalce **svih razina** tehničkog znanja. Nažalost, broj potvrđenih napada infostealerima svakim danom raste, zbog činjenice da se vrlo lako mogu infiltrirati u žrtvino računalo, pogotovo naglom popularizacijom //online// usluga i servisa. **Teško ih je otkriti** te često kad su otkriveni, već bude prekasno. 
 +Organizacije i pojedinci moraju uložiti napore u jačanje svojih sigurnosnih praksi, poput korištenja snažnih lozinki, višefaktorske autentifikacije i redovitog ažuriranja softvera. Također, praćenje aktivnosti infostealera i **razumijevanje** njihovih **tehnika** ključni su za pravovremeno otkrivanje prijetnji. Kroz kombinaciju **svijesti**, naprednih alata za praćenje i **proaktivnih** mjera, moguće je **smanjiti rizik** i zaštititi podatke od ovih sofisticiranih prijetnji.
 ===== Literatura ===== ===== Literatura =====
  
Redak 164: Redak 188:
 [12] Airbus USDoD indicent: [[https://thecyberexpress.com/airbus-cyber-attack-usdod-turkish-airlines/]]  [12] Airbus USDoD indicent: [[https://thecyberexpress.com/airbus-cyber-attack-usdod-turkish-airlines/]] 
  
 +[13] HudsonRock službene stranice: [[https://www.hudsonrock.com]]
  
 +[14] //Malware// trendovi: [[https://any.run/malware-trends/]]
  
 +[15] Windows defender protiv 100 infostealera: [[https://www.youtube.com/watch?v=rcfjjiv_mtU]]
  
 +[16] //HudsonRock// infostealer novosti: [[https://www.infostealers.com]]
  
racfor_wiki/seminari2024/infostealeri.1737894629.txt.gz · Zadnja izmjena: 2025/01/26 12:30 od Ostroški Fran
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0