تهدید مداوم پیشرفته یا (advanced persistent threat (apt چیست؟

advanced persistent threat apt یا تهدید پیشرفته مستمر چیست؟
آنچه در این مقاله میخوانید:

حمله (advanced persistent threat (apt یا تهدید پیشرفته مستمر (تهدید مداوم پیشرفته) چیست؟ حملات تهدید دائمی پیشرفته و راه مقابله با آنها را بشناسید!

هنگامی که اکثر مردم به یک حمله سایبری فکر می کنند، آن را به عنوان یک انتقال یکباره در نظر می گیرند. یک هکر راهی را پیدا می کند که وارد سیستم شما شود، شروع به دانلود اسناد و اطلاعات ضروری می کند و سپس آن را ترک می کند. با این حال، همیشه به این سادگی نیست.

هر تهدید سایبری پس از حمله اولیه به پایان نمی رسد، حتی زمانی که اولین تلاش ناموفق باشد. انجام یک حمله سایبری علیه یک سیستم به خوبی سازماندهی شده می تواند به زمان و هزینه نیاز داشته باشد. آنها معمولاً توسط گروه هایی از مجرمان سایبری سازماندهی می شوند که معمولاً به عنوان گروه های APT شناخته می شوند.

حال برسیم به اینکه تهدید مداوم پیشرفته (APT) چیست و برای دفع آنها باید به دنبال چه باشید؟

 

 

 

 

تعریف تهدید مداوم پیشرفته (APT)

یک تهدید پیشرفته مستمر، یک حمله سایبری است که در آن مجرمان برای سرقت داده ها یا نفوذ به سیستم هایی که اغلب در یک دوره طولانی ناشناخته می مانند، با یکدیگر همکاری می کنند. بیشتر این حملات توسط دولت-ملت هایی انجام می شود که به دنبال تضعیف دولت دیگری هستند.

در حالی که سایر حملات سایبری، مانند بدافزار ها و طرح‌های فیشینگ، در عرض چند روز کار می‌کنند، APT می‌تواند طی ماه‌ها یا حتی سال‌ها انجام شود.

گروه‌های APT برای مقابله با چالش‌های سخت‌تر تشکیل شده‌اند، اما آن‌قدر که تصور می‌کنید گران نیستند. هزینه حملات تهدید مداوم پیشرفته در سال 2019 کمتر از 15000 دلار گزارش شده است. گران ترین جنبه این حملات مربوط به ابزارهای تست نفوذ تجاری است که به آنها کمک می کند تا آسیب پذیری ها را در سیستم ها و شبکه ها پیدا کنند.

انگیزه های پشت حمله APT می تواند برای منافع مالی باشد، مانند انواع دیگر حملات سایبری، اما از آنها برای جاسوسی سیاسی نیز استفاده می شود. همانطور که انتظار دارید، دولت‌ها تمایل دارند امن‌ترین سیستم‌ها را داشته باشند که نیاز به یک حمله گسترده و پیچیده دارند.

 

تفاوت بین ATA و APT چیست؟

حمله هدفمند پیشرفته (ATA) روشی است که معمولاً، اما نه منحصراً، توسط گروه‌های مشخصی از بازیگران استفاده می‌شود. به این گروه‌ها اغلب در رسانه‌ها نام‌هایی مانند «خرس خیال» یا «لازاروس» داده می‌شود، و در محافل امنیتی به عنوان گروه «تهدید پایدار پیشرفته» تعیین می‌شوند و به آنها یک شناسه عددی مانند APT1، APT2 و غیره داده می‌شود.

آنچه یک گروه را از گروه دیگر متمایز می کند ممکن است تاکتیک ها، زیرساخت ها، استفاده مجدد از کد و/یا مجموعه هدف کلی آنها باشد. برای مثال، یک گروه APT ممکن است از مجموعه خاصی از روال‌های کد یا تاکتیک‌های مهندسی اجتماعی دوباره استفاده کند، در حالی که گروهی دیگر ممکن است به آسیب‌پذیری‌های خاص یا روز صفر متکی باشد. صرف نظر از اینکه یک شرکت توسط یک APT شناخته شده، یک باند جنایتکار، هکر تنها یا یک مخرب مورد حمله قرار می گیرد، ویژگی های حملات هدفمند یکسان باقی می ماند.

 

نمونه های تهدید پیشرفته مستمر

هر APT از یک روش پیروی نمی کند یا انگیزه های یکسانی ندارد. شناخته شده ترین گروه ها معمولاً با اهداف سیاسی کار می کنند، اما همه آنها از روش های مجرمانه برای رسیدن به اهداف خود استفاده می کنند.

 

استاکس نت

یکی از اولین و برجسته‌ترین نمونه‌های APT استاکس‌نت است که برای هدف قرار دادن برنامه هسته‌ای ایران طراحی شده است. اگرچه در سال 2010 کشف شد، اما تصور می شود که از سال 2005 در حال توسعه بوده است.

در زمان کشف، استاکس نت یک کرم کامپیوتری 500 کیلوبایتی بود که نرم افزار بیش از 14 سایت صنعتی در ایران را آلوده کرد. دستگاه های مایکروسافت ویندوز را هدف قرار داد و خود به خود گسترش یافت. نتیجه این بود که ایران تقریباً یک پنجم سانتریفیوژهای هسته‌ای خود را از دست داد.

 

پاندای شرور

یک نمونه جدیدتر از تهدید پیشرفته مستمر ، Wicked Panda، یکی از پرکارترین دشمنان مستقر در چین در دهه گذشته است. آنها در راستای منافع دولت چین کار می کنند و حملات انتفاعی انجام می دهند.

 

 

چگونه یک حمله تهدید دائمی پیشرفته کار می کند؟

در یک نگاه، حمله تهدید دائمی پیشرفته با نفوذ آغاز می شود. هکرها معمولاً با استفاده از دارایی‌های وب، منابع شبکه، ایمیل‌های فیشینگ، کاربران انسانی مجاز و غیره نفوذ می‌کنند. پس از ورود به داخل، هکر یک پوسته درب پشتی نصب می‌کند که به آنها اجازه می‌دهد هر زمان که بخواهند به سیستم قربانی دسترسی پیدا کنند.

در مرحله بعد، یک حمله تهدید مداوم پیشرفته به دنبال گسترش حضور خود و تلاش برای به خطر انداختن کارکنان با دسترسی به داده های ارزشمند است. هنگامی که هکرها اطلاعات کافی را جمع آوری کردند، استخراج خود را با یک حمله DDoS یا هر شکل دیگری از حواس پرتی پنهان می کنند.

حملات هدفمند دارای ویژگی های متمایزی هستند که می توان آنها را به عنوان مراحل مختلف برشمرد.

  • جمع آوری اطلاعات
  • نقاط ورود و نفوذ
  • ارتباطات – فرماندهی و کنترل
  • حرکت جانبی و کشف دارایی
  • خروج – سرقت اطلاعات

 

1. جمع آوری اطلاعات

مرحله اول حمله هدفمند جمع آوری اطلاعات تا حد امکان در مورد قربانی است. از دیدگاه مدافع، این یک عملیات غیرفعال است که تقریباً هیچ فرصتی برای شناسایی نمی دهد. در طول این مرحله، حریف اطلاعات عمومی در مورد کسب و کار، کارکنان و عملیات هدف را جمع آوری خواهد کرد. آدرس‌های ایمیل و نشانی‌های اینترنتی وب‌سایت از طریق منابع عمومی جمع‌آوری و جمع‌آوری می‌شوند، که بسیاری از آنها وجود دارد، مانند این.

هر گونه اطلاعات عمومی می تواند برای مهاجمان مفید باشد. آگهی‌های شغلی می‌توانند مواردی مانند سخت‌افزار و نرم‌افزار خاص مورد استفاده در سازمان را نشان دهند. و البته، بسیاری از دارک‌های گوگل می‌توانند به مهاجمان در جستجوی سایت‌های شما برای آسیب‌پذیری‌ها و منابع خاص کمک کنند.

 

2. نقاط ورود و نفوذ

چالش اصلی یک مزاحم دستیابی به ورود است، که در نهایت به معنای توانایی اجرای کد در شبکه هدف است. اگرچه گزینه‌های فنی مانند بهره‌برداری از آسیب‌پذیری‌های نرم‌افزار یا سخت‌افزار، اعتبارنامه‌های ضعیف، روز صفر و نرم‌افزار بدون وصله وجود دارد، رایج‌ترین روش ورود تاکنون برخی از تکنیک‌های مهندسی اجتماعی، معمولاً spear-phishing است. فریب دادن کاربران برای اجرای کدهای غیرمجاز به خودی خود یک هنر کامل است، اما چالشی است که، به ویژه در یک زمینه سازمانی، نشان دهنده یک مانع نسبتا کم برای غلبه بر آن است.

در اینجا حداقل فرصتی برای پیشگیری و تشخیص وجود دارد. حتی کاربران تحصیل‌کرده نیز ممکن است درگیر یک کمپین فیشینگ هوشمند یا مداوم شوند. بهترین دفاع سازمان، نرم‌افزار رفتاری خودکار است که می‌تواند فعالیت‌های مشکوک را در شبکه شما علامت‌گذاری کند و ترافیک رمزگذاری شده را بررسی کند.

احتمال دیگری که باید از حملات هدفمند آگاه بود، تهدید افراد داخلی است. هم کارکنان و هم پیمانکاران خطری برای شرکت هستند. هنگامی که یک حمله به اطلاعات اختصاصی بستگی دارد، اطلاعاتی که به طور گسترده در خارج از سازمان شناخته شده نیست، احتمال دخالت یک خودی حتی بیشتر است. توجه داشته باشید که حملات هدفمند ممکن است با هدف قرار دادن “wetware” – اعضای کارکنان شما – و نه فقط دارایی های سخت افزاری و نرم افزاری شما آغاز می شود.

 

3. ارتباطات – فرماندهی و کنترل

در یک حمله هدفمند، اولین دستور کاری یک هکر یا گروه هکری این است که ارتباط قابل دوام بین خود و کد مخرب رها شده در شبکه شما را تنظیم و حفظ کند. به عبارت دیگر، آنها می خواهند یک درب پشتی پایدار ایجاد کنند. این برای یک ATA به منظور صدور دستورات و تحریک مراحل بعدی حمله، مانند کشف دارایی، نفوذ، و پاکسازی حیاتی است.

در سمت مهاجم، مجموعه‌ای از چارچوب‌های پس از بهره‌برداری در دسترس عموم قرار دارند، مانند Empire، Pupy، Metasploit و بسیاری دیگر.

هکرها می‌توانند از کانال‌های فرمان و کنترل مختلفی استفاده کنند، از درخواست‌های ساده HTTP یا https گرفته تا سرور مهاجم تا فناوری‌های پیشرفته و غیرمتمرکز نظیر به نظیر. سایت‌های رسانه‌های اجتماعی مانند توییتر، فیس‌بوک و اسناد گوگل همگی در پروتکل‌های مخرب C&C مورد سوء استفاده قرار گرفته‌اند.

برای مدافعان، مجدداً، یک راه حل امنیتی نسل بعدی AV جامد که می تواند کدهای عمومی را تشخیص دهد و کنترل فایروال نقطه پایانی را ارائه دهد حداقل مطلق است.

 

4. حرکت جانبی و کشف دارایی

هنگامی که یک حمله هدفمند یک نقطه پایانی را به خطر می اندازد و به شبکه شما دسترسی پیدا می کند، به ندرت در آنجا متوقف می شود. هدف دیگر دسترسی به سایر سیستم های متصل و دستیابی به داده های حساس آنهاست. اگر مهاجم بتواند دسترسی سرپرست دامنه را به دست آورد، اساساً کلیدهای پادشاهی را به دست آورده است، و این – اغلب اوقات – دقیقاً همان چیزی است که مهاجم به دنبال آن است.

مدافعان باید بدانند که حتی بدون دسترسی ادمین دامنه، اگر کاربران در شبکه از رمز عبور یکسانی برای سرویس‌های مختلف شبکه استفاده می‌کنند، ممکن است کد حمله بتواند چندین سیستم را از یک درگیری واحد عبور دهد.

در این مرحله، مهاجم احتمالاً شروع به برشمردن دایرکتوری ها، جمع آوری لیست فایل ها و فهرست بندی داده های ارزشمند می کند. در این مرحله باید از C&C که قبلاً ایجاد شده بود برای انتقال اطلاعات به مهاجمان برای تجزیه و تحلیل استفاده شود، بنابراین در این مرحله این پتانسیل برای مدافعان وجود دارد که اگر دید کاملی در ارتباطات شبکه داشته باشند و لیست‌های نظارتی هشدارهایی را بر اساس فعالیت شبکه و فایل ایجاد کنند، ترافیک غیرعادی را تشخیص دهند. . همچنین اگر نرم افزار امنیتی با توانایی انجام پرس و جوهای اساسی و پیشرفته در تمام نقاط پایانی خود را از طریق یک رابط کاربری آسان، داشته باشید، به شما کمک می کند.

 

5. نفوذ – سرقت اطلاعات

با شناسایی موارد مورد علاقه، مهاجم در برخی مواقع به سمت انتقال داده های شرکت خارج از محل می رود. بسته به نوع داده هایی که هکرها شناسایی کرده‌اند و به آنها علاقه مند هستند، ممکن است یک رویداد یکباره یا یک فرآیند مداوم باشد.

از نقطه نظر مهاجمان، آنها باید آگاه باشند که این فعالیت ممکن است “سر و صدا” ایجاد کند و مدیران را نسبت به حضور آنها آگاه کند، بنابراین نفوذ باید با دقت و درک کامل از آنچه که سازمان در اختیار دارد انجام شود. درکی که از طریق مرحله کشف قبلی به دست می آید.

تکنیک‌های استخراج می‌تواند به سادگی انتقال متن ساده در ایمیل یا فایل‌های ضمیمه شده، یا مخفی‌تر مانند انتقال اطلاعات کاربری در URL یا آپلودهای مخفیانه در سروری باشد که توسط مهاجمان کنترل می‌شود.

در حالی که معمولاً نفوذ در سراسر اینترنت رخ می دهد، مدافعان باید از افراد داخلی که ممکن است سعی کنند IP شرکت را با کپی کردن در یک USB یا دیگر درایو محلی نفوذ کنند، آگاه باشند، بنابراین کنترل دستگاه نیز برای شناسایی و مسدود کردن این ابزار مهم است.

 

ویژگی های کلیدی تهدیدات پایدار پیشرفته

گروه‌های APT از تکنیک‌های متفاوتی نسبت به سایر هکرها استفاده می‌کنند که سیستم شما برای متوقف کردن آن طراحی شده است. در اینجا برخی از ویژگی های تهدید مداوم پیشرفته وجود دارد که باید مراقب آنها باشید.

 

ورودهای عجیب و غریب پس از چند ساعت

اولین نشانه یک تهدید مداوم پیشرفته می تواند افزایش ورود به سیستم در اواخر شب باشد. APT ها می توانند کل محیط را تنها در چند ساعت با استفاده از حساب های دارای دسترسی و مجوزهای بالاتر به خطر بیاندازند.

از آنجایی که این هکرها از حساب‌هایی با مجوزهای بیشتری استفاده می‌کنند، شما همچنین می‌توانید با بخش‌های مختلف خود تماس بگیرید تا از زمانی که مدیران آنها به شبکه دسترسی دارند نظارت کنید. شناسایی زمانی که یک کاربر خارجی به اطلاعات شما دسترسی دارد باید آسان باشد.

 

بازیگران تهدید بازگشت

عوامل تهدید همچنین برنامه‌های تروجان درب پشتی را نصب می‌کنند تا مطمئن شوند اگر یکی از نقاط ورودی آنها به خطر بیفتد، راهی به سیستم شما خواهند داشت.

اگر چندین حمله از نوع مشابه را در مدت زمان طولانی‌تری شناسایی کرده‌اید، به احتمال زیاد یک حمله سایبری APT است.

 

ایمیل رهگیری شده

تهدیدات APT همچنین باعث جریان‌های اطلاعاتی غیرمنتظره می‌شوند، مانند رهگیری ایمیل توسط رایانه دیگری. برخی از سیستم‌های ایمیل ابری محل دسترسی به پیام‌ها را ردیابی می‌کنند، اما همه این کار را نمی‌کنند.

همچنین ممکن است متوجه ایمیل‌های فیشینگ نیزه‌ای شوید که برای کارمندان مدیریت بالاتر ارسال می‌شوند و ممکن است سهوا اجازه دسترسی هکرها را بدهند.

 

فعالیت های عجیب دیگر

هر زمان که متوجه چیزی خارج از هنجار شدید، ممکن است APT باشد. این می تواند شامل افزایش ناگهانی مصرف داده یا کاهش سرعت سرور شما باشد.

ردیابی تهدیدات و رفتار غیرعادی سیستم برای تقویت امنیت سایبری شما ضروری است. یک خط پایه از رفتارهای عادی ایجاد کنید تا بتوانید به سرعت هر گونه رفتارهای پرت را شناسایی کنید.

 

محدود کردن خسارت ناشی از تهدیدات مداوم پیشرفته

هنگام فکر کردن به آسیب های ناشی از APTها به سازمان، باید چندین نکته را در نظر داشت.

هدف مهاجمان ممکن است پول، داده یا هر دو باشد، یا ممکن است بیشتر به ایجاد آسیب به شهرت یا، دوباره، همه موارد فوق علاقه داشته باشند. برخی از آسیب ها ممکن است فوری و برخی دیگر طولانی تر باشند.

آسیب فوری ممکن است به شکل زیان مالی، خرابی شبکه یا سرقت داده رخ دهد. APTها معمولاً در مورد مخفی کاری هستند، اما روند رو به افزایش در زمینه باج افزار هدف قرار دادن سازمان های خاص و سپس ضربه زدن به آنها با باج افزار است. این امر مخصوصاً برای شرکت وحشیانه است زیرا مهاجمان می توانند از مرحله کشف دارایی برای شناسایی مواردی که بیشترین ارزش را دارد استفاده کنند و اطمینان حاصل کنند که گزینه های بازیابی و هرگونه فناوری “پیشگیری از سوء استفاده” را غیرفعال کرده‌اند.

ارزیابی هزینه‌های بلندمدت دشوارتر است، اما ممکن است حول از دست دادن مالکیت معنوی که به رقیب کمک می‌کند، یا از دست دادن اعتماد سرمایه‌گذاران یا مشتریان باشد.

برای محدود کردن اثرات فوری و بلند مدت یک APT موفق، راه حل امنیتی شما باید شامل یک استراتژی پس از نقض باشد. این حداقل به معنای توانایی شناسایی و بستن هر گونه آسیب‌پذیری مورد استفاده در نقض، و توانایی جمع‌آوری داده‌های عملی است. داده‌هایی که به شما کمک می‌کنند تا آنچه را که اتفاق افتاده است درک کنید، افراد مسئول را ردیابی کنید و در نهایت به کاهش هزینه‌های پس از نقض کمک کنید.

 

چگونه پانا مارکتینگ می تواند به شما کمک کند؟

تشخیص و اقدامات امنیتی مناسب بهترین راه برای مقابله با تهدیدات سایبری APT است. این رویکرد شامل مدیران شبکه، ارائه دهندگان امنیت و یک راه حل امنیتی فعال است. پانا مارکتینگ با ارائه خدمات افزایش امنیت سایت به طور فعال تهدیدات را در زمان واقعی حل می کند.

 

یک گام جلوتر بروید!

تهدیدات سایبری هر روز در حال پیشرفت و بهبود هستند. تفاوت تهدیدات APT با سایر تهدیدها در این است که با نفوذ به سیستم شما، تاکتیک های خود را بهبود می بخشند. بگذارید بیش از حد منتظر بمانند، و کل سیستم شما به خطر بیفتد.

راه حل این است که یک تهدید دائمی پیشرفته را ردیابی کنید و قبل از اینکه به بخش های امن تر پایگاه داده شما دسترسی پیدا کنند، آنها را دستگیر کنید. و در آخر؛ پیشنهاد ویژه ما به شما یادگیری و آموزش امنیت سایت است تا خودتان و یا تیم فنی طراحی سایت تان نحوه مقابله با انواع تهدیدات را بیاموزید.

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر