Top 5 naprednih prijetnji koje probijaju sigurnosne mjere u 2025.

Organizacije u Hrvatskoj u 2025. bilježe rast sofisticiranih prijetnji koje zaobilaze standardne sigurnosne kontrole. U ovom tekstu analiziramo 5 konkretnih vektora napada koji zaobilaze tradicionalne alate (AV, SIEM, IDS) i opisujemo tehnike otkrivanja i mitigacije koje koriste Resilix stručnjaci.

1. Living-off-the-land (LotL) napadi

Napadači izbjegavaju detekciju korištenjem legitimnih alata sustava: powershell.exe, certutil.exe, mshta.exe, rundll32.exe.

Tipičan scenarij:

• Initial access putem phishinga s .lnk fajlom
• Lateral movement preko WMI i PsExec
• C2 kanal tuneliran kroz DNS ili HTTPS preko powershell -EncodedCommand

Detekcija i prevencija:

• Ugradnja EDR-a s detekcijom “script block logginga” i AMSI integracije
• Sysmon s pravilima za praćenje parent-child odnosa (npr. winword.exe spawna powershell.exe)
• Application whitelisting (AppLocker ili WDAC)

2. Bypass MFA uz pomoć session hijackinga i token replaya

Napadači kompromitiraju sesije putem ukradenih cookieja (npr. __Secure-3PSID) ili presretanjem OAUTH tokena iz preglednika.

U praksi:

• Chrome profili dumpani lokalno iz %LocalAppData%\Google\Chrome\User Data\Default\Cookies
• Otvoreni Azure AD tokeni koriste se za pristup bez potrebe za MFA

Zaštita:

• Session revocation putem Conditional Access pravila
• Iniciranje device compliance revizije kroz Intune
• Redovito brisanje auth cookieja i izolacija preglednika u sandboxu (npr. Microsoft Defender Application Guard)

3. Ransomware s eksfiltracijom prije enkripcije

Moderne ransomware grupe (npr. Black Basta, LockBit 3.0) prvo izvode dir /s po cijeloj mreži i rclone-om šalju podatke na vanjske S3 buckete.

Indicators of compromise:

• Velik broj outbound konekcija na port 443 prema nepoznatim domenama
• rclone.exe pokrenut iz %TEMP% mape s config fajlom
• Brzi spike u I/O operacijama na file serverima

Zaštita:

• Network DLP rješenja (npr. Microsoft Purview)
• Deaktivacija NTLM i LM hash protokola
• Uspostava honeypot file shareova za detekciju rane aktivnosti

4. Supply Chain napadi kroz kompromitirane dependencyje

Primjeri: event-stream slučaj u Node.js, zatim recentni napadi na PyPI pakete (ctx, aiohttp-socks).

Kako se izvodi napad:

• Napadač objavljuje zlonamjerni fork popularnog paketa
• CI/CD pipeline automatski pulla ažurirani paket
• Preko postinstall hooka izvodi se curl | bash payload

Prevencija:

• Static code scanning (npr. SonarQube) + SCA alati (npr. Snyk, Dependency-Track)
• Hash-pin verzije paketa (requirements.txt, package-lock.json)
• Interni mirror svih dependencyja s hash-verified deploymentom

5. Deep packet inspection bypass korištenjem Encrypted SNI (ESNI) i DoH/DoQ

Napredne grupe koriste modificirane preglednike i curl s podrškom za DNS-over-HTTPS i TLS 1.3 SNI enkripciju.

Što to znači za obranu?

• Standardni NGFW i IDS/IPS uređaji ne vide domene niti signature
• URL filtering više ne radi bez SSL proxy dekripcije

Rješenja:

• Uvođenje TLS interception s analizom SNI fielda gdje je moguće
• Korištenje endpoint DNS clienta (npr. DoH kroz Defender for Endpoint DNS control)
• Blokada DoH i DoQ prometa na gateway razini (portovi 443 i 853)

Kibernetička sigurnost više ne ovisi o klasičnim antivirusima i firewallovima. Potrebna je vidljivost na nivou procesa, mrežnog ponašanja i korisničkog konteksta. Resilix implementira takvu vidljivost kroz napredne alate za monitoring, threat hunting i incident response — sve kao dio naših cyber usluga u Hrvatskoj.