5 znakova da ste na udaru naprednog postojanog napada (APT)

Imate li dragocene podatke na svojoj mreži? Primećujete čudno ponašanje mreže? Moguće da ste žrtva naprednog postojanog napada APT (Advanced Persistent Threat). Hakeri i zlonamerni softver naprednih postojanih napada (APT) su rasprostranjeniji i sofisticiraniji nego ikad. APT su profesionalni hakeri, koji rade bilo za svoju vladu ili za relevantne industrije, čiji je rad sa punim radnim vremenom hakovanje određenih kompanija i ciljeva. Oni vrše radnje relevantne za interese svojih sponzora, što može uključiti pristup poverljivim informacijama, postavljanje destruktivnog koda ili postavljanje skrivenih programa koji omogućavaju povratak u ciljnu mrežu ili računar po volji.

APT hakeri su vrlo kvalifikovani i imaju ogromnu operativnu prednost u tome što nikad neće biti uhapšeni. Zamislite koliko bi uspešniji i uporniji bio svaki drugi lopov ako bi mogao da dobije istu garanciju.

Ipak, oni ne žele da oni koje ciljaju odmah zapaze njihove aktivnosti, jer bi to moglo da komplikuje njihovu misiju. Uspešan APT napad provali u mreže i računare, uzima ono što mu treba, i izvuče se neprimećen. Oni više vole da budu „spori i slabi“. Oni ne žele da generišu mnogo čudnih događaja koji se mogu nadgledati, poruke o greškama ili zagušenje saobraćaja ili da izazovu poremećaje u radu.

Većina APT-a koristi prilagođeni kôd za obavljanje svojih aktivnosti, ali preferira, bar na početku, da za svoje prljave poslove koristi javno poznate ranjivosti. Na taj način, ako se njihove aktivnosti primete, žrtvi je teže da shvati da je to APT, a ne redovan, manje ozbiljan, hakerski ili zlonamerni program.

Uz sve to, kako možete prepoznati nešto što se trudi da bude tiho i neprimećeno?

Prepoznavanje APT-a

Pošto APT hakeri koriste drugačije tehnike od običnih hakera, oni ostavljaju za sobom drugačije tragove. Tokom protekle dve decenije, otkrio sam da će sledećih pet znakova najverovatnije ukazati na to da je vašu kompaniju ugrozio APT napad. Svaki od njih može biti deo legitimnih akcija u okviru posla, ali njihova neočekivana priroda ili obim aktivnosti mogu da posvedoče o APT napadu.

1. Povećan broj privilegovanih prijava kasno noću

APT-ovi brzo eskaliraju od kompromitovanja jednog računara do preuzimanja više računara ili čitavog okruženja za samo nekoliko sati. Oni rade tako što čitaju bazu podataka za autentifikaciju, kradu ovlašćenja i ponovo ih koriste. Oni saznaju koji nalozi korisnika (ili servisa) imaju veće privilegije i dozvole, a zatim idu preko tih naloga i ugrožavaju imovinu unutar okruženja. Često se veliki broj privilegovanih prijavljivanja javlja noću zato što napadači žive na drugoj strani sveta. Ako iznenada primetite veliku količinu privilegovanih prijava na više servera ili pojedinačnih računara visoke vrednosti dok je redovna radna ekipa kod kuće, počnite da brinete.

2. Široko rasprostranjeni trojanci na zadnjim vratima

APT hakeri često instaliraju trojanske programe na zadnja vrata kompromitovanih računara unutar napadnute sredine. Oni to rade kako bi se osigurali da se uvek mogu vratiti, čak i ako se uhvaćena ovlašćenja za prijavu promene kada im žrtva uđe u trag. Još jedna srodna osobina: Jednom otkriveni, APT hakeri ne nestaju kao normalni napadači. Zašto bi? Oni poseduju kompjutere u vašem okruženju, i verovatno ih nećete videti na sudu.

U današnje vreme, trojanci raspoređeni preko društvenog inženjeringa pružaju prolaz kroz koji se većina kompanija eksploatiše. Oni su prilično uobičajeni u svakom okruženju, i oni se umnožavaju u APT napadima.

3. Neočekivani tokovi informacija

Potražite velike, neočekivane tokove podataka od internih izvornih tačaka ka drugim internim računarima, ili ka spoljnim računarima. Možda su server ka serveru, server ka klijentu, ili mreža ka mreži.

Ti tokovi podataka mogu takođe biti ograničeni, ali ciljani – kao što je da neko pokupi e-poštu iz strane zemlje. Voleo bih da svaki email klijent ima mogućnost da pokaže gde se poslednji korisnik prijavio da pokupi e-poštu i gde je posljednjoj poruci pristupljeno. Gmail i neki drugi email sistemi u oblaku to već nude.

Ovo je postalo sve teže izvodljivo, jer su mnogi današnji tokovi informacija zaštićeni VPN-ima, obično uključuju TLS preko HTTP-a (HTTPS). Mada je to ranije bilo retko, mnoge kompanije sada blokiraju ili presreću sav HTTPS saobraćaj koji nije prethodno definisan i odobren pomoću uređaja za čuvanje sigurnosne provere. Uređaj „razmotava“ HTTPS saobraćaj zamenjujući ga sopstvenim TLS digitalnim i djeluje kao proksi pretvarajući se da je on druga strana transakcije u komunikaciji, kako prema izvoru tako i prema odredištu. On otkriva i pregleda saobraćaj, a zatim ponovo šifrira podatke pre nego što ih pošalje na originalne ciljeve komunikacije. Ako ne radite nešto ovako, promaći će vam filtrovano curenje podataka

Naravno, da biste otkrili mogući APT napad, morate da znate kako izgledaju vaši tokovi podataka pre nego što je vaše okruženje napadnuto. Počnite odmah i naučite svoje osnove.

4. Neočekivani paketi podataka

APT napadi često prikupe ukradene podatke na interne sakupljačke tačke pre nego što ih iznesu. Tražite velike komade podataka (gigabajte, ne megabajte) koji se pojavljuju na mestima gde ti podaci ne bi trebalo da budu, posebno ako su komprimovani u arhivske formate koje vaša kompanija obično ne koristi.

5. Fokusirane kampanje ciljanog pecanja

Ako bih morao da zamislim jedan od najboljih pokazatelja, to bi bilo fokusirano ciljano pecanje e-pošte zaposlenih u kompaniji koji koriste fajlove dokumenata (npr. Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS, ili Microsoft Office PowerPoint PPT), a sadrže izvršni kôd ili zlonamerne URL adrese. Ovo je originalni uzročnik u većini APT napada.

Najvažniji znak je da se e-pošta napadača ne šalje svima u kompaniji, već na selektivnije ciljeve osoba visoke vrednosti (npr. izvršni direktor, finansijski direktor, šef bezbednosti informacija, rukovodioci projekata ili rukovodioci u tehnologiji) unutar kompanije , često koristeći informacije koje su mogli naučiti samo uljezi koji su već ranije napadali druge članove tima.

E-mailovi mogu biti lažni, ali sadrže ključne reči koje se odnose na stvarne interne, trenutno tekuće projekte i teme. Umesto nekog generičkog, „Hej, pročitaj ovo!“ ciljani subjektu, oni sadrže nešto veoma relevantno za vaš tekući projekat i dolaze od drugog člana tima na projektu. Ako ste ikada videli neku od ovih veoma specifičnih ciljanih e-pošta za lažno pecanje, obično ćete biti malo zbunjeni jer ćete se sami upitati da li ste to mogli da izbegnete. Obično su toliko vešti.

Ako čujete za fokusirani napad ciljanog pecanja, naročito ako je nekoliko izvršnih direktora prijavilo da su prevareni da pritisnu na prilog, počnite da tražite ostala četiri znaka i simptoma. Možda je to rani znak potencijalne opasnosti.

Sve je rečeno, nadam se da nikad nećete morati da se suočite sa čišćenjem od APT napada. To je jedan od najtežih poslova za vas i vaše preduzeće. Prevencija i rano otkrivanje će smanjiti vaše muke.

Izvor: CSO

4848-xa-5-znakova-da-ste-na-udaru-naprednog-postojanog-napada-apt-xa