Centar za edukaciju-BiH

Predmet:Neptune RAT Malware

---

Nova prijetnja koja vreba preko YouTubea i Telegrama: Neptune RAT Malware!
Neptune RAT jedna je od najpametnijih zlonamjernih prijetnji, koje ciljaju na Windows rachunala.
Iskorishtava stranice poput YouTubea i Telegrama kako bi zaobishao Windows Defender i druge antivirusne alate. Njegovi uchinci ukljuchuju zakljuchavanje datoteka i korishtenje ransomwarea, krađu lozinki i brisanje Windows 11 Master Boot Record (MBR). No postoji nachin kako se mozete zashtititi od ove prijetnje. Vishe o tome u nastavku.

Zashto je ovaj shtetan program toliko opasan?
Malware Neptune RAT prva je otkrila sigurnosna tvrtka Cyfirma. RAT u njemu oznachava trojance s udaljenim pristupom. To je datoteka koja, kada se otvori, omoguchuje napadachu daljinsku kontrolu nad vashim rachunalom. Windows obichno blokira te pokushaje, tome uostalom i sluze antivirusni programi.
No, Neptune RAT je izuzetno lukav, skriva svoj shtetni kod arapskim rijechima i emotikonima, provlachechi se pritom pored vasheg vatrozida, Windows Defendera i drugih antivirusnih alata. CHak zna i koristite li virtualni stroj (VM). Osim toga, aktivira dvije jednostavne PowerShell naredbe za zarazu vasheg rachunala:
-irm (Invoke-RestMethod): povlachi sadrzaj poput softvera s web stranica, poput GitHuba.
-iex (Invoke-Expression): pokreche preuzete stvari kao program skripte.

U nekom trenutku, batch skripta dođe u direktorije Windowsa. Nakon toga se vashe rachunalo povezuje s napadachevim posluziteljem. Ovako opasan i uporan zlonamjerni softver jako dugo nije primijechen u sustavu Windows. Treba rechi i da ovaj malware koristi mnoshtvo DLL datoteka ne bi li nanio shto je moguche vechu shtetu vashem sustavu i rachunalu.
S obzirom na to, takvi shtetni programi mogu zakljuchati podatke vasheg rachunala, ako se radi o ransomware vrsti, mogu ukrasti lozinke iz vishe od 270 programa kao shto su Chrome i Brave preglednici, mogu preuzeti sve shto kopirate i zalijepite, mogu promijeniti postavke vasheg registra, mogu chak i izbrisati vash glavni zapis o pokretanju (MBR).
SHto je najgore?
Neptune RAT trenutno se shiri drushtvenim mrezama: YouTube, GitHub, Telegram i drugim poveznicama. Vechina ljudi inherentno i automatski vjeruje YouTubeu, a ne bi trebali, jer se upravo putem nekih poveznica koje ondje vidite mozete zaraziti.

Kako se obraniti od ove opasnosti?
Neptune RAT je opasan iz vishe razloga. Provlachi se pored svakog alata za analizu zlonamjernog softvera, a ne zahtijeva chak ni preuzimanje datoteka. No, bez obzira na probleme koje stvara, postoje rjeshenja kako se zashtitit od ove opasnosti.

Za PowerShell
PowerShell koristi moguchnost pod nazivom Constrained Language mode. Ona ogranichava aplikaciju na izvođenje samo osnovnih zadataka. Nakon shto dobije upute, vishe ne moze pristupiti web resursima koristechi irm i iex, stoga blokira Neptune RAT.
$ExecutionContext.SessionState.LanguageMode = ConstrainedLanguage

Kako biste nametnuli ogranichenja u pogledu postavki jezika svim korisnicima rachunala, primijenite sljedeche:
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Kako biste pak ponishtili gornju postavku, samo se vratite u nachin rada Full Language i mozete ponovno pocheti preuzimati cmdlete irm i iex.
$ExecutionContext.SessionState.LanguageMode = FullLanguage

Dok Windows ne izda odgovarajuche rjeshenje, najbolje je iskljuchiti neke od moguchnosti.

Postoji josh jedna opcija. Ako ne koristite PowerShell puno, mozete potpuno onemoguchiti PowerShell-ov pristup Internetu. Nakon toga, kada pokushate pokrenuti naredbe irm/iex, to che generirati pogreshku u PowerShell-u.
New-NetFirewallRule -Name BlockPowerShellOutbound -DisplayName Block PowerShell Outbound -Enabled True -Direction Outbound -Program %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe -Action Block

Za uklanjanje pravila blokiranja na razini mreze, upotrijebite sljedechu naredbu:
Remove-NetFirewallRule -Name BlockPowerShellOutbound
Jednostavniji nachini obrane
Ako koristite YouTube ili Telegram na rachunalu, mozete se zashtititi od Neptune RAT-a tako shto nechete kliknuti na poveznice koji su u opisima videozapisa, chak i ako kreatori videozapisa to od vas traze. Mogu ponuditi popuste ili obechati da che rijeshiti sigurnosne probleme. CHesto se pojavljuju u videozapisima o igrama ili etichkom hakiranju, ali mogu biti i u filmskim isjechcima ili drugim temama. Nemojte kliknuti na nepoznate veze, chak i ako ih prijatelji ili obitelj dijele na drushtvenim mrezama.
No, kako biste se dodatno zashtitili od Neptune RAT-a, mozete poduzeti i sljedeche korake:
Koristite aplikaciju za provjeru autentichnosti: na uređaju sa sustavom Windows, aplikacija za provjeru autentichnosti najbolji je nachin zashtite od uljeza koji pokushavaju pristupiti osjetljivim rachunima.
Koristite sigurnosna rjeshenja krajnje tochke: jedini nachin na koji se moze otkriti zlonamjerni softver bez datoteka, kao shto je Neptune RAT, je ako koristite sigurnosnog softvera krajnje tochke kao shto je Microsoft Defender, koji se razlikuje od Windows Security alata. Oba alata odlichno reagiraju na sumnjive aktivnosti u PowerShellu.
SHto je Microsoft Defender, a shto Windows Security?*
Ukratko, Windows Security je zadano besplatno sigurnosno rjeshenje, koje shtiti vashe Windows rachunalo od mreznih i izvanmreznih prijetnji. To je kljuchni dio vasheg operativnog sustava Windows, ali ga mozete onemoguchiti ako je potrebno. Nudi veliku zbirku korisnih znachajki koje rade sinkronizirano za zashtitu u stvarnom vremenu.
Sigurnost sustava Windows prvi je zashtitni sloj za osobna i prijenosna rachunala sa sustavom Windows. Njegova osnovna sigurnost pochinje vatrozidom Windows Defender. Pruza robustan prvi sloj zashtite od upada i napada na vashu Wi-Fi mrezu. Izolacija jezgre, sigurno pokretanje i Trusted Platform Module pomazu zashtititi vash uređaj od prijetnji zlonamjernim softverom na razini kernela.
S druge strane, Microsoft Defender je usluga pretplate treche strane koja je izravan izdanak Microsoft Security Essentials, ukinutog Microsoftovog proizvoda. Njegov primarni cilj je pruziti zashtitu krajnje tochke za vashu pretplatnichku e-poshtu, telefonski broj i druge osobne podatke. Ovaj alat podrzava i druge platforme osim Windowsa, odnosno i Android i iOS i Mac. Microsoft Defender nudi dodatne moguchnosti, koje postoje povrh sigurnosne zashtite sustava Windows.
-Prachenje krađe identiteta: najvecha prednost Microsoft Defendera je to shto radi kao skener mrachnog weba, shtitechi vash identitet od sigurnosnih provala bilo gdje na webu, ukljuchujuchi Mrachni web. Mozete ga koristiti za pokretanje pretrazivanja na temelu imena korisnika, e-poshtu i drugih osobnih podataka i tako mozete saznati jesu li ti podaci ugrozeni. Dolazi sa standardnim moguchnostima skeniranja Mrachnog weba, kao shto je osiguranje od milijun dolara.
-Zashtita vashih krajnjih uređaja: bez obzira koristite li Windows rachunalo, Mac ili mobilni telefon, pretplata na Defender pruza dodatni sloj zashtite od prijetnji. Za sve prijetnje koje dolaze od zarazene aplikacije ili neuspjeshnog azuriranja, dodatni alati shalju vam upozorenja o prijetnjama.
-Sigurna Wi-Fi veza s VPN-om: slichno drugim pruzateljima sigurnih VPN-a, kao shto su ExpressVPN ili NordVPN, Microsoft Defender pruza sigurnost za vashe Wi-Fi mreze i ima vlastiti VPN za kriptiranje podatkovnog prometa.

Alan Milich
izvor:pcchip.hr

---