- Het doelwit leren kennen. Dit kan variëren van het uitzoeken of er iets te stelen valt tot het samenstellen van een lijst van werknemers, of nog beter, ontevreden ex-werknemers. Zoek uit wat de onderwerpen interesseert, zodat je die informatie kunt gebruiken. in of spear-phishing aanvallen.
- Een ingang vinden. Meestal gaat het om social engineering-technieken zoals spear-phishing en watering holes om aangepaste malware af te leveren.
- Een voet aan de grond krijgen. Zorg ervoor dat het doelwit de malware op zijn systeem uitvoert, dat zich binnen het netwerk van het doelwit bevindt.
- Verbreed de reikwijdte van de gecreëerde uitvalsbasis zorgvuldig. Bijvoorbeeld verkenning van het netwerk vanaf een besmette computer. Dit omvat het plaatsen van malware en andere tools op het gecompromitteerde systeem en het verbergen daarvan.
- Het vinden en stelen van de gezochte of andere waardevolle informatie. Hiervoor kan het nodig zijn om de privileges van het gecompromitteerde ssytem in het netwerk te verhogen.
- Als eenmaal een stevige greep op het netwerk is gevestigd, kan het nodig zijn om de toegangspunten in het netwerk te verplaatsen of te verbreden, zodat een meer permanente toegang tot de informatie is verzekerd. Als er geen behoefte is aan een permanente bewaking, worden de gereedschappen meestal verwijderd om de sporen uit te wissen. Soms wordt een achterdeur achtergelaten om een terugkeer te vergemakkelijken.
Een advanced persistent threat (APT) is een langdurige, gerichte aanval op een specifiek doelwit met de bedoeling het systeem van dat doelwit te compromitteren en informatie van of over dat doelwit te verkrijgen.
Het doelwit kan een persoon, een organisatie of een bedrijf zijn. Toen deze bedreigingen werden genoemd, waren regeringen en militaire organisaties het doelwit. Het woord bedreiging wil niet zeggen dat er maar één soort malware bij betrokken is, want een APT bestaat meestal uit meerdere verschillende aanvallen.
Teveel professionals op het gebied van beveiliging kwalificeren een aanval alleen als een APT als deze wordt geïnitieerd door een overheids(instantie) of een vergelijkbare organisatie. Gezien de benodigde middelen en het geduld is dit zeker logisch.
Dus wat betekent dat in het huidige dreigingslandschap?
Dreigingsactoren gebruiken verschillende “tools” en methoden om voet aan de grond te krijgen en om de inbreuk uit te breiden als ze eenmaal binnen zijn. Als het gaat om het stelen van informatie, is een belangrijk deel van de taak om de inbreuk geheim te houden. De gestolen informatie verliest namelijk vaak vrij snel haar waarde zodra het object van de inbreuk op de hoogte is van de situatie.
Het is natuurlijk ook belangrijk om de identiteit van de aanvallers te verbergen, omdat de toeschrijving van APT’s kan leiden tot conflicten in de echte wereld. De aanvallers zullen dus hun sporen willen verbergen. Het is niet ongebruikelijk dat bij dit soort operaties gebruik wordt gemaakt van ongepatchte kwetsbaarheden (zero-days).
Fasen van een Advanced Persistent Threat
Niet alle onderstaande fasen zullen in elke situatie nodig zijn en afhankelijk van het doelwit en de informatie waar de aanvallers op uit zijn, kunnen de taken in de lijst zeer verschillend zijn in tijd en moeite die eraan wordt besteed. Deze kunnen van geval tot geval sterk verschillen.
Groefde beveiligingsprofessionals
De reden dat beveiligingsonderzoekers zullen kreunen als ze de uitdrukking APT horen, is het feit dat sommige mensen de neiging hebben om het te gebruiken in gevallen waarin de dreiging niet voldoet aan de eisen die we in onze definitie hebben gespecificeerd.
Het klinkt blijkbaar minder erg als je uitlegt dat je bent aangevallen door iets “geavanceerds” in plaats van door malware die al maanden geleden had moeten zijn ontdekt.
Zo is bijvoorbeeld een worm die alleen computers aanvalt waarop een bepaald soort software draait dat vrijwel uitsluitend in ziekenhuizen wordt gebruikt, geen APT. Het is gericht op een type organisaties en niet op een bepaalde organisatie.
Samenvatting
Dit artikel legt uit dat Advanced Persistent Threats gespecialiseerde en langdurige aanvallen zijn, gericht op specifieke doelwitten. Ze worden meestal gesponsord door naties of zeer grote organisaties.
Links
CyberCriminelen en hun APT- en AVT-technieken
Kill chain
Pieter Arntz