Od phishinga do ransomwarea: mehanizmi najčešćih napada

Od phishinga do ransomwarea: mehanizmi najčešćih napada

Cyber napadi ne nastaju slučajno. U većini slučajeva slijede predvidljive obrasce — od inicijalnog phishinga, preko eksploatacije ranjivosti do enkripcije podataka i eksfiltracije. Razumijevanje tehničkih faza napada ključno je za postavljanje pravovremenih obrambenih točaka.

1. Phishing kao ulazna točka

Email poruke s kompromitiranim linkovima ili privicima služe za prikupljanje vjerodajnica ili isporuku droppera.

Karakteristike:

• Spoofirani domeni (npr. outlook-secure-mail.com)
• Linkovi s redirect lancima
• Prilozi .html, .iso, .lnk, .js

Detekcija:

• Email gateway s DMARC/DKIM verifikacijom
• Sandboxing za privitke
• Prepoznavanje template-based phishing uz ML klasifikaciju

2. Credential harvesting i validacija

Napadači skupljaju korisnička imena i lozinke putem lažnih login formi. Nakon toga slijedi testiranje valjanosti podataka (npr. prema Microsoft Graph API endpointima).

Mitigacija:

• MFA obavezan
• Detekcija velikog broja login pokušaja s istog IP-a (brute-force & spray)
• Detekcija login-a iz neuobičajenih regija i uređaja

3. Post-exploitation: lateral movement

Nakon uspješnog pristupa, napadač skenira internu mrežu, eksfiltrira podatke o domeni i koristi administrative alate za širenje pristupa.

Tehnike:

• Pass-the-Hash
• Kerberoasting
• WMI + PsExec + RDP abuse

Alati:

• Mimikatz, SharpHound, Rubeus

Zaštita:

• Detekcija neautoriziranog pokretanja admin alata
• Privileged Access Management
• Ugašeni SMBv1, deaktiviran LLMNR i NetBIOS

‍

4. Ransomware deployment

Napad kulminira isporukom kripto-malwarea. Datoteke se šifriraju lokalno i/ili na mrežnim shareovima. Naprednije grupe (npr. BlackCat, LockBit) prethodno eksfiltriraju podatke radi dvostruke ucjene.

Indikatori:

• Masovno kreiranje novih procesa s istim parent PID-om
• Brza izmjena atributa datoteka
• Korištenje vssadmin delete shadows ili wbadmin komandi

Zaštita:

• Application control i allowlista
• Offline backup i immutable storage
• Honeytoken dokumenti za detekciju pristupa

5. Eksfiltracija i komunikacija s C2 serverima

Napadači koriste legitimne alate (npr. rclone, curl, winrm) za prijenos podataka na vanjske destinacije.

Tipični protokoli:

• HTTPS (443) s custom User-Agent headerima
• DNS tunneling (Cobalt Strike, Iodine)
• Tor & proxy relays

Monitoring:

• Deep packet inspection
• Anomalije u outbound prometu (volumen, domena, port)
• Alarmi na neautorizirane procese s mrežnim pristupom

Svaki uspješan napad ima faze koje se mogu mapirati i detektirati. Od trenutka phishing emaila do trenutka kriptiranja podataka, postoji niz točaka u kojima se napad može zaustaviti ako su postavljene prave kontrole, praćenje i obrambeni mehanizmi.

‍