حمله (advanced persistent threat (apt یا تهدید پیشرفته مستمر (تهدید مداوم پیشرفته) چیست؟ حملات تهدید دائمی پیشرفته و راه مقابله با آنها را بشناسید!
هنگامی که اکثر مردم به یک حمله سایبری فکر می کنند، آن را به عنوان یک انتقال یکباره در نظر می گیرند. یک هکر راهی را پیدا می کند که وارد سیستم شما شود، شروع به دانلود اسناد و اطلاعات ضروری می کند و سپس آن را ترک می کند. با این حال، همیشه به این سادگی نیست.
هر تهدید سایبری پس از حمله اولیه به پایان نمی رسد، حتی زمانی که اولین تلاش ناموفق باشد. انجام یک حمله سایبری علیه یک سیستم به خوبی سازماندهی شده می تواند به زمان و هزینه نیاز داشته باشد. آنها معمولاً توسط گروه هایی از مجرمان سایبری سازماندهی می شوند که معمولاً به عنوان گروه های APT شناخته می شوند.
حال برسیم به اینکه تهدید مداوم پیشرفته (APT) چیست و برای دفع آنها باید به دنبال چه باشید؟
- مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]
تعریف تهدید مداوم پیشرفته (APT)
یک تهدید پیشرفته مستمر، یک حمله سایبری است که در آن مجرمان برای سرقت داده ها یا نفوذ به سیستم هایی که اغلب در یک دوره طولانی ناشناخته می مانند، با یکدیگر همکاری می کنند. بیشتر این حملات توسط دولت-ملت هایی انجام می شود که به دنبال تضعیف دولت دیگری هستند.
در حالی که سایر حملات سایبری، مانند بدافزار ها و طرحهای فیشینگ، در عرض چند روز کار میکنند، APT میتواند طی ماهها یا حتی سالها انجام شود.
گروههای APT برای مقابله با چالشهای سختتر تشکیل شدهاند، اما آنقدر که تصور میکنید گران نیستند. هزینه حملات تهدید مداوم پیشرفته در سال 2019 کمتر از 15000 دلار گزارش شده است. گران ترین جنبه این حملات مربوط به ابزارهای تست نفوذ تجاری است که به آنها کمک می کند تا آسیب پذیری ها را در سیستم ها و شبکه ها پیدا کنند.
انگیزه های پشت حمله APT می تواند برای منافع مالی باشد، مانند انواع دیگر حملات سایبری، اما از آنها برای جاسوسی سیاسی نیز استفاده می شود. همانطور که انتظار دارید، دولتها تمایل دارند امنترین سیستمها را داشته باشند که نیاز به یک حمله گسترده و پیچیده دارند.
تفاوت بین ATA و APT چیست؟
حمله هدفمند پیشرفته (ATA) روشی است که معمولاً، اما نه منحصراً، توسط گروههای مشخصی از بازیگران استفاده میشود. به این گروهها اغلب در رسانهها نامهایی مانند «خرس خیال» یا «لازاروس» داده میشود، و در محافل امنیتی به عنوان گروه «تهدید پایدار پیشرفته» تعیین میشوند و به آنها یک شناسه عددی مانند APT1، APT2 و غیره داده میشود.
آنچه یک گروه را از گروه دیگر متمایز می کند ممکن است تاکتیک ها، زیرساخت ها، استفاده مجدد از کد و/یا مجموعه هدف کلی آنها باشد. برای مثال، یک گروه APT ممکن است از مجموعه خاصی از روالهای کد یا تاکتیکهای مهندسی اجتماعی دوباره استفاده کند، در حالی که گروهی دیگر ممکن است به آسیبپذیریهای خاص یا روز صفر متکی باشد. صرف نظر از اینکه یک شرکت توسط یک APT شناخته شده، یک باند جنایتکار، هکر تنها یا یک مخرب مورد حمله قرار می گیرد، ویژگی های حملات هدفمند یکسان باقی می ماند.
نمونه های تهدید پیشرفته مستمر
هر APT از یک روش پیروی نمی کند یا انگیزه های یکسانی ندارد. شناخته شده ترین گروه ها معمولاً با اهداف سیاسی کار می کنند، اما همه آنها از روش های مجرمانه برای رسیدن به اهداف خود استفاده می کنند.
استاکس نت
یکی از اولین و برجستهترین نمونههای APT استاکسنت است که برای هدف قرار دادن برنامه هستهای ایران طراحی شده است. اگرچه در سال 2010 کشف شد، اما تصور می شود که از سال 2005 در حال توسعه بوده است.
در زمان کشف، استاکس نت یک کرم کامپیوتری 500 کیلوبایتی بود که نرم افزار بیش از 14 سایت صنعتی در ایران را آلوده کرد. دستگاه های مایکروسافت ویندوز را هدف قرار داد و خود به خود گسترش یافت. نتیجه این بود که ایران تقریباً یک پنجم سانتریفیوژهای هستهای خود را از دست داد.
پاندای شرور
یک نمونه جدیدتر از تهدید پیشرفته مستمر ، Wicked Panda، یکی از پرکارترین دشمنان مستقر در چین در دهه گذشته است. آنها در راستای منافع دولت چین کار می کنند و حملات انتفاعی انجام می دهند.
چگونه یک حمله تهدید دائمی پیشرفته کار می کند؟
در یک نگاه، حمله تهدید دائمی پیشرفته با نفوذ آغاز می شود. هکرها معمولاً با استفاده از داراییهای وب، منابع شبکه، ایمیلهای فیشینگ، کاربران انسانی مجاز و غیره نفوذ میکنند. پس از ورود به داخل، هکر یک پوسته درب پشتی نصب میکند که به آنها اجازه میدهد هر زمان که بخواهند به سیستم قربانی دسترسی پیدا کنند.
در مرحله بعد، یک حمله تهدید مداوم پیشرفته به دنبال گسترش حضور خود و تلاش برای به خطر انداختن کارکنان با دسترسی به داده های ارزشمند است. هنگامی که هکرها اطلاعات کافی را جمع آوری کردند، استخراج خود را با یک حمله DDoS یا هر شکل دیگری از حواس پرتی پنهان می کنند.
حملات هدفمند دارای ویژگی های متمایزی هستند که می توان آنها را به عنوان مراحل مختلف برشمرد.
- جمع آوری اطلاعات
- نقاط ورود و نفوذ
- ارتباطات – فرماندهی و کنترل
- حرکت جانبی و کشف دارایی
- خروج – سرقت اطلاعات
1. جمع آوری اطلاعات
مرحله اول حمله هدفمند جمع آوری اطلاعات تا حد امکان در مورد قربانی است. از دیدگاه مدافع، این یک عملیات غیرفعال است که تقریباً هیچ فرصتی برای شناسایی نمی دهد. در طول این مرحله، حریف اطلاعات عمومی در مورد کسب و کار، کارکنان و عملیات هدف را جمع آوری خواهد کرد. آدرسهای ایمیل و نشانیهای اینترنتی وبسایت از طریق منابع عمومی جمعآوری و جمعآوری میشوند، که بسیاری از آنها وجود دارد، مانند این.
هر گونه اطلاعات عمومی می تواند برای مهاجمان مفید باشد. آگهیهای شغلی میتوانند مواردی مانند سختافزار و نرمافزار خاص مورد استفاده در سازمان را نشان دهند. و البته، بسیاری از دارکهای گوگل میتوانند به مهاجمان در جستجوی سایتهای شما برای آسیبپذیریها و منابع خاص کمک کنند.
2. نقاط ورود و نفوذ
چالش اصلی یک مزاحم دستیابی به ورود است، که در نهایت به معنای توانایی اجرای کد در شبکه هدف است. اگرچه گزینههای فنی مانند بهرهبرداری از آسیبپذیریهای نرمافزار یا سختافزار، اعتبارنامههای ضعیف، روز صفر و نرمافزار بدون وصله وجود دارد، رایجترین روش ورود تاکنون برخی از تکنیکهای مهندسی اجتماعی، معمولاً spear-phishing است. فریب دادن کاربران برای اجرای کدهای غیرمجاز به خودی خود یک هنر کامل است، اما چالشی است که، به ویژه در یک زمینه سازمانی، نشان دهنده یک مانع نسبتا کم برای غلبه بر آن است.
در اینجا حداقل فرصتی برای پیشگیری و تشخیص وجود دارد. حتی کاربران تحصیلکرده نیز ممکن است درگیر یک کمپین فیشینگ هوشمند یا مداوم شوند. بهترین دفاع سازمان، نرمافزار رفتاری خودکار است که میتواند فعالیتهای مشکوک را در شبکه شما علامتگذاری کند و ترافیک رمزگذاری شده را بررسی کند.
احتمال دیگری که باید از حملات هدفمند آگاه بود، تهدید افراد داخلی است. هم کارکنان و هم پیمانکاران خطری برای شرکت هستند. هنگامی که یک حمله به اطلاعات اختصاصی بستگی دارد، اطلاعاتی که به طور گسترده در خارج از سازمان شناخته شده نیست، احتمال دخالت یک خودی حتی بیشتر است. توجه داشته باشید که حملات هدفمند ممکن است با هدف قرار دادن “wetware” – اعضای کارکنان شما – و نه فقط دارایی های سخت افزاری و نرم افزاری شما آغاز می شود.
3. ارتباطات – فرماندهی و کنترل
در یک حمله هدفمند، اولین دستور کاری یک هکر یا گروه هکری این است که ارتباط قابل دوام بین خود و کد مخرب رها شده در شبکه شما را تنظیم و حفظ کند. به عبارت دیگر، آنها می خواهند یک درب پشتی پایدار ایجاد کنند. این برای یک ATA به منظور صدور دستورات و تحریک مراحل بعدی حمله، مانند کشف دارایی، نفوذ، و پاکسازی حیاتی است.
در سمت مهاجم، مجموعهای از چارچوبهای پس از بهرهبرداری در دسترس عموم قرار دارند، مانند Empire، Pupy، Metasploit و بسیاری دیگر.
هکرها میتوانند از کانالهای فرمان و کنترل مختلفی استفاده کنند، از درخواستهای ساده HTTP یا https گرفته تا سرور مهاجم تا فناوریهای پیشرفته و غیرمتمرکز نظیر به نظیر. سایتهای رسانههای اجتماعی مانند توییتر، فیسبوک و اسناد گوگل همگی در پروتکلهای مخرب C&C مورد سوء استفاده قرار گرفتهاند.
برای مدافعان، مجدداً، یک راه حل امنیتی نسل بعدی AV جامد که می تواند کدهای عمومی را تشخیص دهد و کنترل فایروال نقطه پایانی را ارائه دهد حداقل مطلق است.
4. حرکت جانبی و کشف دارایی
هنگامی که یک حمله هدفمند یک نقطه پایانی را به خطر می اندازد و به شبکه شما دسترسی پیدا می کند، به ندرت در آنجا متوقف می شود. هدف دیگر دسترسی به سایر سیستم های متصل و دستیابی به داده های حساس آنهاست. اگر مهاجم بتواند دسترسی سرپرست دامنه را به دست آورد، اساساً کلیدهای پادشاهی را به دست آورده است، و این – اغلب اوقات – دقیقاً همان چیزی است که مهاجم به دنبال آن است.
مدافعان باید بدانند که حتی بدون دسترسی ادمین دامنه، اگر کاربران در شبکه از رمز عبور یکسانی برای سرویسهای مختلف شبکه استفاده میکنند، ممکن است کد حمله بتواند چندین سیستم را از یک درگیری واحد عبور دهد.
در این مرحله، مهاجم احتمالاً شروع به برشمردن دایرکتوری ها، جمع آوری لیست فایل ها و فهرست بندی داده های ارزشمند می کند. در این مرحله باید از C&C که قبلاً ایجاد شده بود برای انتقال اطلاعات به مهاجمان برای تجزیه و تحلیل استفاده شود، بنابراین در این مرحله این پتانسیل برای مدافعان وجود دارد که اگر دید کاملی در ارتباطات شبکه داشته باشند و لیستهای نظارتی هشدارهایی را بر اساس فعالیت شبکه و فایل ایجاد کنند، ترافیک غیرعادی را تشخیص دهند. . همچنین اگر نرم افزار امنیتی با توانایی انجام پرس و جوهای اساسی و پیشرفته در تمام نقاط پایانی خود را از طریق یک رابط کاربری آسان، داشته باشید، به شما کمک می کند.
5. نفوذ – سرقت اطلاعات
با شناسایی موارد مورد علاقه، مهاجم در برخی مواقع به سمت انتقال داده های شرکت خارج از محل می رود. بسته به نوع داده هایی که هکرها شناسایی کردهاند و به آنها علاقه مند هستند، ممکن است یک رویداد یکباره یا یک فرآیند مداوم باشد.
از نقطه نظر مهاجمان، آنها باید آگاه باشند که این فعالیت ممکن است “سر و صدا” ایجاد کند و مدیران را نسبت به حضور آنها آگاه کند، بنابراین نفوذ باید با دقت و درک کامل از آنچه که سازمان در اختیار دارد انجام شود. درکی که از طریق مرحله کشف قبلی به دست می آید.
تکنیکهای استخراج میتواند به سادگی انتقال متن ساده در ایمیل یا فایلهای ضمیمه شده، یا مخفیتر مانند انتقال اطلاعات کاربری در URL یا آپلودهای مخفیانه در سروری باشد که توسط مهاجمان کنترل میشود.
در حالی که معمولاً نفوذ در سراسر اینترنت رخ می دهد، مدافعان باید از افراد داخلی که ممکن است سعی کنند IP شرکت را با کپی کردن در یک USB یا دیگر درایو محلی نفوذ کنند، آگاه باشند، بنابراین کنترل دستگاه نیز برای شناسایی و مسدود کردن این ابزار مهم است.
ویژگی های کلیدی تهدیدات پایدار پیشرفته
گروههای APT از تکنیکهای متفاوتی نسبت به سایر هکرها استفاده میکنند که سیستم شما برای متوقف کردن آن طراحی شده است. در اینجا برخی از ویژگی های تهدید مداوم پیشرفته وجود دارد که باید مراقب آنها باشید.
ورودهای عجیب و غریب پس از چند ساعت
اولین نشانه یک تهدید مداوم پیشرفته می تواند افزایش ورود به سیستم در اواخر شب باشد. APT ها می توانند کل محیط را تنها در چند ساعت با استفاده از حساب های دارای دسترسی و مجوزهای بالاتر به خطر بیاندازند.
از آنجایی که این هکرها از حسابهایی با مجوزهای بیشتری استفاده میکنند، شما همچنین میتوانید با بخشهای مختلف خود تماس بگیرید تا از زمانی که مدیران آنها به شبکه دسترسی دارند نظارت کنید. شناسایی زمانی که یک کاربر خارجی به اطلاعات شما دسترسی دارد باید آسان باشد.
بازیگران تهدید بازگشت
عوامل تهدید همچنین برنامههای تروجان درب پشتی را نصب میکنند تا مطمئن شوند اگر یکی از نقاط ورودی آنها به خطر بیفتد، راهی به سیستم شما خواهند داشت.
اگر چندین حمله از نوع مشابه را در مدت زمان طولانیتری شناسایی کردهاید، به احتمال زیاد یک حمله سایبری APT است.
ایمیل رهگیری شده
تهدیدات APT همچنین باعث جریانهای اطلاعاتی غیرمنتظره میشوند، مانند رهگیری ایمیل توسط رایانه دیگری. برخی از سیستمهای ایمیل ابری محل دسترسی به پیامها را ردیابی میکنند، اما همه این کار را نمیکنند.
همچنین ممکن است متوجه ایمیلهای فیشینگ نیزهای شوید که برای کارمندان مدیریت بالاتر ارسال میشوند و ممکن است سهوا اجازه دسترسی هکرها را بدهند.
فعالیت های عجیب دیگر
هر زمان که متوجه چیزی خارج از هنجار شدید، ممکن است APT باشد. این می تواند شامل افزایش ناگهانی مصرف داده یا کاهش سرعت سرور شما باشد.
ردیابی تهدیدات و رفتار غیرعادی سیستم برای تقویت امنیت سایبری شما ضروری است. یک خط پایه از رفتارهای عادی ایجاد کنید تا بتوانید به سرعت هر گونه رفتارهای پرت را شناسایی کنید.
محدود کردن خسارت ناشی از تهدیدات مداوم پیشرفته
هنگام فکر کردن به آسیب های ناشی از APTها به سازمان، باید چندین نکته را در نظر داشت.
هدف مهاجمان ممکن است پول، داده یا هر دو باشد، یا ممکن است بیشتر به ایجاد آسیب به شهرت یا، دوباره، همه موارد فوق علاقه داشته باشند. برخی از آسیب ها ممکن است فوری و برخی دیگر طولانی تر باشند.
آسیب فوری ممکن است به شکل زیان مالی، خرابی شبکه یا سرقت داده رخ دهد. APTها معمولاً در مورد مخفی کاری هستند، اما روند رو به افزایش در زمینه باج افزار هدف قرار دادن سازمان های خاص و سپس ضربه زدن به آنها با باج افزار است. این امر مخصوصاً برای شرکت وحشیانه است زیرا مهاجمان می توانند از مرحله کشف دارایی برای شناسایی مواردی که بیشترین ارزش را دارد استفاده کنند و اطمینان حاصل کنند که گزینه های بازیابی و هرگونه فناوری “پیشگیری از سوء استفاده” را غیرفعال کردهاند.
ارزیابی هزینههای بلندمدت دشوارتر است، اما ممکن است حول از دست دادن مالکیت معنوی که به رقیب کمک میکند، یا از دست دادن اعتماد سرمایهگذاران یا مشتریان باشد.
برای محدود کردن اثرات فوری و بلند مدت یک APT موفق، راه حل امنیتی شما باید شامل یک استراتژی پس از نقض باشد. این حداقل به معنای توانایی شناسایی و بستن هر گونه آسیبپذیری مورد استفاده در نقض، و توانایی جمعآوری دادههای عملی است. دادههایی که به شما کمک میکنند تا آنچه را که اتفاق افتاده است درک کنید، افراد مسئول را ردیابی کنید و در نهایت به کاهش هزینههای پس از نقض کمک کنید.
چگونه پانا مارکتینگ می تواند به شما کمک کند؟
تشخیص و اقدامات امنیتی مناسب بهترین راه برای مقابله با تهدیدات سایبری APT است. این رویکرد شامل مدیران شبکه، ارائه دهندگان امنیت و یک راه حل امنیتی فعال است. پانا مارکتینگ با ارائه خدمات افزایش امنیت سایت به طور فعال تهدیدات را در زمان واقعی حل می کند.
یک گام جلوتر بروید!
تهدیدات سایبری هر روز در حال پیشرفت و بهبود هستند. تفاوت تهدیدات APT با سایر تهدیدها در این است که با نفوذ به سیستم شما، تاکتیک های خود را بهبود می بخشند. بگذارید بیش از حد منتظر بمانند، و کل سیستم شما به خطر بیفتد.
راه حل این است که یک تهدید دائمی پیشرفته را ردیابی کنید و قبل از اینکه به بخش های امن تر پایگاه داده شما دسترسی پیدا کنند، آنها را دستگیر کنید. و در آخر؛ پیشنهاد ویژه ما به شما یادگیری و آموزش امنیت سایت است تا خودتان و یا تیم فنی طراحی سایت تان نحوه مقابله با انواع تهدیدات را بیاموزید.