- Zapoznaj się z celem. To może się różnić od zorientowania się, czy jest coś warte kradzieży do kompilacji listy pracowników, lub nawet lepiej, niezadowolonych byłych pracowników. Dowiedz się, co interesuje badanych, abyś mógł wykorzystać te informacje. w lub ataki spear-phishingowe.
- Znalezienie wejścia. Zwykle obejmuje to techniki inżynierii społecznej, takie jak spear phishing i watering holes, w celu dostarczenia spersonalizowanego złośliwego oprogramowania.
- Uzyskanie przyczółka. Nakłania cel do uruchomienia złośliwego oprogramowania na jego systemie, który znajduje się w sieci celu.
- Starannie rozszerza zakres działania z utworzonego przyczółka. Na przykład rozpoznanie sieci z zainfekowanego komputera. Obejmuje to umieszczenie złośliwego oprogramowania i innych narzędzi na skompromitowanym systemie i ukrycie ich.
- Znalezienie i kradzież poszukiwanych lub innych cennych informacji. Aby to zrobić, może być konieczne, aby podnieść przywileje zagrożonego ssytemu w sieci.
- Gdy mocny uchwyt w sieci jest ustanowiony może być konieczne, aby przenieść lub poszerzyć punkty wejścia w sieci tak bardziej stały dostęp do informacji jest zabezpieczony. Jeśli nie ma potrzeby stałego monitorowania, narzędzia będą zazwyczaj usuwane, aby zatrzeć ślady. Czasami pozostawia się backdoora, aby ułatwić powrót.
An advanced persistent threat (APT) to długotrwały, atak ukierunkowany na określony cel z zamiarem przejęcia kontroli nad jego systemem i zdobycia informacji o nim.
Celem może być osoba, organizacja lub firma. Kiedy te zagrożenia zostały nazwane, ich celami były rządy i organizacje wojskowe. Słowo zagrożenie nie oznacza, że chodzi tylko o jeden rodzaj złośliwego oprogramowania, ponieważ APT zazwyczaj składa się z kilku różnych ataków.
Zbyt wielu specjalistów w dziedzinie bezpieczeństwa uważa, że atak kwalifikuje się jako APT tylko wtedy, gdy jest zainicjowany przez rząd (agencję) lub podobną organizację. Biorąc pod uwagę potrzebne zasoby i cierpliwość, ma to z pewnością sens.
Co to oznacza w obecnym krajobrazie zagrożeń?
Aktorzy zagrożeń używają różnych „narzędzi” i metod, aby zdobyć przyczółek i poszerzyć naruszenie, gdy już się w nim znajdą. Jeśli chodzi o kradzież informacji, ważną częścią pracy jest utrzymanie naruszenia w tajemnicy. Dzieje się tak dlatego, że często skradzione informacje dość szybko tracą na wartości, gdy tylko obiekt naruszenia dowiaduje się o sytuacji.
Oczywiście, ważne jest również ukrycie tożsamości atakujących, ponieważ ataki APT mogą prowadzić do pewnych konfliktów w świecie rzeczywistym. Atakujący będą więc chcieli ukryć swoje ślady. Nierzadko w tego typu operacjach wykorzystuje się niezałatane luki (zero-days).
Etapy zaawansowanego trwałego zagrożenia
Nie wszystkie z wymienionych poniżej etapów będą konieczne w każdej sytuacji, a w zależności od celu i informacji, po które sięgają atakujący, zadania z listy mogą być bardzo zróżnicowane pod względem czasu i nakładu pracy. Mogą one być bardzo różne w zależności od przypadku.
Groaning security professionals
Powodem, dla którego badacze bezpieczeństwa będą jęczeć, gdy usłyszą wyrażenie APT, jest fakt, że niektórzy ludzie mają tendencję do używania go w przypadkach, gdy zagrożenie nie spełnia wymagań, które określiliśmy w naszej definicji.
Podobno brzmi to mniej źle, gdy wyjaśniasz, że zostałeś naruszony przez coś „zaawansowanego”, a nie przez złośliwe oprogramowanie, które powinno zostać wykryte miesiące temu.
Na przykład robak, który atakuje tylko komputery, na których działa pewien rodzaj oprogramowania, prawie wyłącznie używany w szpitalach, nie jest APT. Jest on ukierunkowany na pewien typ organizacji, a nie na konkretną organizację.
Podsumowanie
W artykule wyjaśniono, że zaawansowane trwałe zagrożenia to wyspecjalizowane i długotrwałe ataki ukierunkowane na konkretne cele. Zazwyczaj są sponsorowane przez narody lub bardzo duże organizacje.
Linki
Cyberprzestępcy i ich techniki APT i AVT
Łańcuch zabójstw
Pieter Arntz
Więcej o