Tehnologija automatske prevencije eksploita/Automatic Exploit Prevention kompanije Kaspersky Lab, ugrađena u većinu rešenja namenjenih uređajima koji su krajnje tačke, otkrila je niz ciljanih sajber napada.
Ovo je bio pokušaj napada od strane novog malvera koji je eksploatisao do sada nepoznate ranjivosti “nultog dana” u Microsoft Windows operativnom sistemu. Namera je bila da sajber kriminalci dobiju stalni pristup sistemima žrtava na Bliskom Istoku. Ova ranjivost je pečovana od strane kompanije Microsoft 9. oktobra.
Napad kroz ranjivost “nultog dana“ je jedan od najopasnijih oblika sajber pretnji, jer uključuje eksploataciju ranjivosti koje tek treba da se otkriju i otklone. Ukoliko ih akteri pretnji otkriju prvi, ranjivost “nultog dana” može biti korišćena za kreiranje eksploita koji će omogućiti pristup čitavom sistemu. Ovaj scenario napada koriste sofisticirani akteri u APT napadima, a korišćen je i u ovom slučaju.
Otkriveni eksploit za Microsoft Windows operativni sistem je isporučen žrtvama preko PowerShell bekdora. Zatim je primenjen kako bi se dobile potrebne privilegije za opstanak na sistemima žrtava. Kod malvera je bio visokog kvaliteta i napisan je tako da omogući pouzdanu eksploataciju što više različitih verzija Windows sistema.
Sajber napadi su ciljali desetak različitih organizacija na Bliskom istoku krajem leta. Sumnja se da je akter koji stoji iza napada povezan sa grupom FruityArmor, jer je do sada ova grupa koristila isključivo PowerShell bekdor. Odmah po otkriću, stručnjaci kompanije Kaspersky Lab prijavili su ranjivost kompaniji Microsoft.
Kompanija Kaspersky Lab je proaktivno detektovala ovaj eksploit putem sledećih tehnologija:
- Putem Kaspersky Lab bihejvioralnog mehanizma za detekciju i komponente za automatsku prevenciju eksploita/Automatic Exploit Prevention unutar bezbednosnih proizvoda kompanije.
- Putem napredne opcije “Advanced Sandboxing and the Antimalware” unutar platforme “Kaspersky Anti Targeted Attack”.
,,Kada su u pitanju ranjivosti “nultog dana”, od ključne je važnosti aktivno praćenje pretnji u slučaju novih eksploita. U kompaniji Kaspersky Lab, naša neprestana istraživanja pretnji teže ne samo ka pronalaženju novih napada i utvrđivanju meta različitih aktera sajber pretnji, već i ka određivanju toga kakve zlonamerne tehnologije ovi kriminalc koriste. Kao rezultat našeg istraživanja, stvorili smo temelj detekcionih tehnologija, koji nam omogućava da sprečavamo napade – poput onog koji je nameravao da iskoristi ovu ranjivost”, rekao je Anton Ivanov, stručnjak za bezbednost u kompaniji Kaspersky Lab.
Kako biste izbegli eksploite “nultog dana“, kompanija Kaspersky Lab preporučuje primenu sledećih tehničkih mera:
- Izbegavajte korišćenje softvera za koji se zna da je ranjiv ili je nedavno korišćen u sajber
- Uverite se da je softver koji se koristi u vašoj kompaniji redovno ažuriran i da se koriste najnovije verzije. Bezbednosni proizvodi sa mogućnostima procenjivanja ranjivosti i upravljanja pečovima mogu pomoći u automatizaciji ovih procesa.
- Koristite snažno bezbednosno rešenje kao što je Kaspersky Endpoint Security for Business koje je opremljeno sposobnostima detekcije zasnovanim na ponašanju, za efikasnu zaštitu od poznatih i nepoznatih pretnji, uključujući eksploite.