Ameaça persistente avançada (APT) - O tipo mais perigoso de ataque cibernético.

Advanced Persistent Threat (APT) é uma campanha de ataque na qual um intruso, ou equipe de intrusos, estabelece uma presença ilícita de longo prazo em uma rede para minerar dados confidenciais.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

Ataques de Ameaça Persistente Avançada. O que é APT? | Gridinsoft

O que é APT?

October 17, 2022

A ameaça persistente avançada, ou APT, é um risco complexo de segurança cibernética que consiste em vários elementos e é aplicado por um longo tempo. Embora exija mais recursos para se comprometer, a eficácia dos APTs é muito maior do que o malware comum.

As ameaças persistentes avançadas são consideradas o perigo mais perigoso, o que exige muito esforço para detectar e prevenir. O alvo final desse ataque - os dados confidenciais - e os elementos do ponto médio tocados durante o ataque cibernético devem ser protegidos no nível mais alto. Os especialistas em segurança cibernética que estabelecem e auxiliam na execução das soluções de EDR devem prever todos os possíveis vetores de ataque.

No entanto, esse ataque requer muitos recursos e trabalho do lado dos invasores. Os três principais estágios de uso do APT - infiltração, expansão e extração - exigem muito mais esforço do que os ataques "clássicos". Eles provavelmente valem a pena, mas algumas gangues existem menos do que esse ataque pode durar. Um ataque com uma ameaça persistente avançada é definitivamente a competição de profissionais.

APT lifecycle
O ciclo de vida do avançado ameaça persistente

As ameaças persistentes avançadas têm muitas vantagens para discutir. Primeiro, queremos definir a diferença entre APTs e ataques cibernéticos frequentes. Ameaças avançadas podem parecer como just-more-advanced-virus, mas é mais uma operação especial do que um ataque comum. Os ataques APT dependem de muitos outros programas - tanto usados ​​por criminosos quanto pelos do sistema atacado. Eles também são executados manualmente - ao contrário dos ataques de ransomware que geralmente são automatizados. A palavra "persistente" na nomenclatura significa exatamente o que deve fazer - tais ameaças são sobre a presença de longo prazo no sistema infectado. O alvo de tais ataques são dados valiosos, e quanto mais tempo o ataque estiver ativo, mais dados poderão ser contrabandeados.

Há também várias coisas a serem observadas. O malware precursor e as ferramentas para expandir a presença de malware para esses ataques são muitas vezes o mesmo que em ataques mais simples. Por exemplo, quando os hackers estabelecem a presença e atividade do APT em cada elemento da rede, eles podem optar pelas mesmas explorações na arquitetura do servidor e nos aplicativos do usuário. A bicicleta não precisa se reinventar, principalmente quando funciona bem. Outra coisa a lembrar são os alvos típicos dos ataques usando ameaças avançadas. Hackers raramente visam receber o resgate e às vezes não querem nenhum lucro. O alvo final pode ser vazar algumas informações críticas, excluí-las ou assumir o controle dos servidores/sites hospedados nesses servidores. Claro, essa tarefa pode levar meses para ser concluída, mas a implantação e a retenção do APT não são uma caminhada de 5 minutos.

Estágios APT. Da infiltração à extração de dados

Como mencionado, os ataques com ameaças persistentes avançadas têm três estágios principais. Durante o ataque, os cibercriminosos tentam injetar o malware, torná-lo mais sustentável (ou seja, infiltrar-se em todos os ambientes possíveis) e, finalmente, iniciar a extração de dados. Todas essas etapas requerem softwares e abordagens específicas. No entanto, é mais provável que a carga final seja um backdoor, um trojan de acesso remoto, um spyware ou suas combinações. Para ter uma explicação mais relevante, faremos várias observações sobre a real causa de um ataque cibernético com uma ameaça avançada que aconteceu no início de 2022. hackers da Coreia do Norte atacou o setor diplomático russo com Konni RAT.

Estágio 1. Infiltração de malware

Existem dezenas de formas possíveis de infiltração de malware na rede corporativa. No entanto, nos últimos dois anos, os analistas testemunharam uma tendência estrita: quase 40% dos ataques são cometidos por meio da exploração de RDP. E esse número é real para todas as formas de ataque cibernético, não apenas as relacionadas ao APT. No entanto, outros métodos - injeções de SQL e engenharia social, por exemplo - são usados ​​como bem. Em alguns casos, principalmente para distrair a atenção do pessoal, os criminosos também podem lançar um ataque DDoS. Administradores de sistema e mestres de segurança cibernética se esforçarão para proteger a rede, enquanto a ação principal acontecerá pelas costas deles.

No caso da injeção de Konni RAT pela gangue de crimes cibernéticos de mesmo nome, eles não realizaram manobras de distração. A abordagem deles foi o exemplo enciclopédico de spear phishing. Os invasores disfarçaram a mensagem de e-mail para a embaixada russa na Indonésia com o arquivo malicioso anexado como uma saudação de Ano Novo. Eles conseguiram falsificar o endereço de e-mail, então o domínio parecia “@mid.ru” - diferente do original “@mid.rf”, mas ainda semelhante o suficiente para enganar alguém. Em conjunto com o típico relaxamento pré-feriado, que dispersou a atenção dos funcionários da embaixada.

Etapas de injeção de malware

A coisa exata que os cibercriminosos tentam injetar no sistema ou rede alvo nem sempre é o mesmo vírus. Ele pode ser um script que se conectará ao servidor remoto para obter a carga útil ou enfraquecer o sistema de segurança antes do lançamento do malware. Um chamado malware precursor pode ser usado - para mostrar a página de phishing ou enganar a equipe para permitir a instalação do malware. No entanto, a grande maioria dos hackers tenta evitar o fator humano. No entanto, nem todos os funcionários são imprudentes o suficiente para ignorar comportamentos duvidosos.

No caso do ataque Konni APT, o anexo mencionado acima (exatamente, o arquivo .zip) continha um script que se conectava ao servidor de comando e conseguia baixar o instalador para o controle remoto trojan de acesso. Depois de lançar o arquivo поздравление.scr, funcionários da embaixada estavam assistindo a imagem abaixo enquanto a ação principal acontecia em segundo plano. Esse esquema de várias etapas é necessário para ofuscar a leitura do log e limpar todos os caminhos. Além disso, essas etapas intermediárias podem ser usadas para desativar o software de segurança. Quando a invasão é ocultada e o malware de carga útil é baixado, os criminosos passam para a segunda etapa - expansão.

Estágio 2. Expansão de malware

Comprometer um único computador na rede nunca é suficiente, mesmo que seja um controlador de domínio. Exatamente, os bandidos costumam mirar no DC ou, pelo menos, no computador com privilégios de administrador. Se eles inicialmente estenderem seus vírus no computador com privilégios de usuário, eles tentarão escalar os privilégios para executar seu malware como administrador. Os hackers podem fazer isso no perfil do usuário que infectaram ou criando uma conta de administrador oculta separada. Escalar privilégios não é uma tarefa fácil e geralmente requer o uso de exploits. No entanto, se o ataque for preparado adequadamente, os criminosos já sabem quais exploits usar e têm um aplicativo malicioso que está pronto para usar essa vulnerabilidade.

APT progress network
Progresso do APT na rede corporativa

Ter a conta de administrador permite que os criminosos criem as mesmas contas altamente privilegiadas em outros dispositivos e gerenciem a rede. Assumir o controlador de domínio é uma prática frequente, mas é mais difícil de executar. É por isso que os bandidos geralmente carregam coisas como utilitários de força bruta ou ferramentas de hack - eles servem como um pé de cabra quando o picklock falha. Instrumentos rudes são mais fáceis de detectar - mas geralmente, os criminosos conseguem desabilitar qualquer proteção nos computadores separados no estágio de força bruta DC.

Expandir a presença de malware na rede tem um motivo óbvio. Quanto mais computadores estiverem infectados, mais dados os cibercriminosos podem acessar e extrair. Essa equação simples e linear deve ser a orientação para administradores de sistema. Clustering de rede, medidas de proteção aprimoradas, controle persistente - todas essas coisas são essenciais ao lidar com dados confidenciais e valiosos. No entanto, os agentes de ameaças que se atrevem a cometer ataques com o APT provavelmente têm variantes de fallback. É por isso que é melhor ter uma solução de EDR bem feita. É impossível desligá-lo sem assumir o controle do DC e difícil de evitar - ele se baseia na detecção heurística, que é muito mais difícil de enganar.

Fase 3. Extração de dados

Como mencionamos anteriormente, as ameaças APT não são chamadas de “persistentes” apenas para a ocasião. Eles tentam durar o máximo que podem no sistema corporativo, reunindo todos os dados que podem ser potencialmente valiosos. No entanto, eles não enviam os dados para o servidor de comando, pois os encontram no PC da vítima. Mesmo quando o software de segurança está desabilitado, os administradores do sistema podem notar vários pacotes enviados de dentro da rede para um endereço desconhecido. Esse caso colocará todos em alerta e a ameaça avançada será descoberta nesse ponto. Para torná-lo mais silencioso, os cibercriminosos devem aplicar alguns truques.

Extração de dados
O terceiro estágio do ataque - exfiltração de dados

Esses truques podem ser sobre criar um disfarce para os arquivos extraídos, bem como distrair a atenção. Na maioria dos casos, os bandidos optam pela segunda variante. Não é tão fácil encontrar uma maneira de esconder a enorme quantidade de tráfego. Com que frequência você envia os arquivos de tamanho gigabyte por e-mail? Isso levantará suspeitas, mesmo que esse e-mail seja entregue com sucesso no momento da detecção. A distração que os bandidos costumam usar é o ataque DDoS, ou o chamado ruído branco - muitos comandos ou solicitações inúteis que ofuscam os logs. Esse truque pode contornar as soluções de segurança e criar muitas dores de cabeça para os analistas que tentam descobrir o que está acontecendo.

No entanto, quando os operadores de ataque APT decidem cessar sua presença em uma determinada rede, eles podem até mesmo realizar a extração final “como está”. Isso não seria uma prática comum, principalmente se as informações recebidas dessa empresa fossem vendidas por um bom preço. Os bandidos podem então revendar a maneira como se infiltraram na rede para seus colegas, bem como apenas se infiltrar novamente. Mas quando eles decidem tirar uma licença francesa, as coisas podem ficar ainda mais rígidas. Em alguns casos, criminosos podem implantar ransomware - como a cereja do bolo.

Como proteger sua rede contra ataques APT?

Como você pode ver nos parágrafos acima, as ameaças persistentes avançadas são extremamente sofisticadas e executadas por cibercriminosos qualificados. A implantação e a contra-ação do APT podem ser comparadas ao jogo de xadrez entre dois grossmeisters - ambos são muito habilidosos e têm muitos movimentos possíveis. Torna-se ainda mais interessante quando eles podem apenas adivinhar a atividade um do outro e realizar algumas etapas cuidadosas para entender o que está acontecendo. No entanto, assistir a este jogo já significa que algo deu errado. Isso não significa que as medidas de segurança devem ser capazes de impedir qualquer intrusão. Mas quando você faz tudo certo, os bandidos ficam de mãos atadas. Vamos ver como tornar sua rede corporativa segura contra ataques com ameaças persistentes avançadas.

Cessar o fator humano

pessoal imprudente é uma das maiores brechas de segurança que são impossíveis de eliminar. No entanto, você pode ensiná-los a se proteger e evitar coisas potencialmente perigosas, mas nunca dissipará completamente esse perigo. Dos 10 trabalhadores, nove serão diligentes e um - infantil. É por isso que além de aumentar o conhecimento de cibersegurança entre seus funcionários deve ser complementado com a diminuição dos danos gerais que podem ocorrer por erro humano.

  • Explique o perigo dos arquivos anexados. Muitas pessoas pensam que os anexos não podem ser perigosos, então eles os abrem sem dúvidas. Os hackers agradecem - uma grande parte dos ataques de qualquer escala acontece por causa dessa falsa crença.
  • Proteja todos os lugares apertados. As macros do MS Office e os scripts do Visual Basic podem conter códigos diferentes. Eles podem conter o downloader ou o mesmo malware vindo de fora. Proibindo sua execução sem a permissão do administrador do sistema - para evitar essas formas de injeção.
  • Configure a higiene do software. Esse conselho é útil contra qualquer malware, pois os criminosos usam as mesmas explorações para vários ataques. Atualizar os aplicativos regularmente, evitar o uso de programas não confiáveis ​​e ficar de olho nos aplicativos que podem coletar informações sobre seus usuários - esses conselhos são básicos.
  • Agrupe a rede. Mesmo que os hackers consigam infectar uma parte da rede, ela não conseguirá ir além.
  • Aplique o uso de privilégios de usuário para a maioria dos usuários. Atualmente, a maioria dos aplicativos não exige privilégios de administrador. Eles ainda podem pedir para você digitar a senha do administrador às vezes, mas é muito mais fácil fazer isso sob demanda do que resolver o ataque cibernético.

Abordagens técnicas contra APT

Além do conselho que toca os funcionários e é mais comum, há várias coisas a serem feitas especificamente contra o APT. Essas medidas geralmente sentem a segurança da rede e controle de tráfego. A lista de permissões e o monitoramento de tráfego são os dois aos quais você deve prestar mais atenção.

Lista de permissões

Este procedimento significa permitir acesso apenas a sites/endereços IP designados de dentro da rede corporativa. Essa configuração é útil para impedir que o downloader de malware se conecte ao servidor externo. Também tem um propósito mais “pacífico” - impedir que os funcionários visitem vários sites para minimizar a procrastinação. No entanto, usar este método separadamente dos demais não é 100% eficaz. Domínios “brancos” podem ser comprometidos com o tempo, ou a conexão pode ser criada por meio de software seguro e legítimo. Alguns programas ainda podem ser seguros, mas desatualizados - isso os torna vulneráveis ​​à exploração. Lembre-se de todos esses problemas ao estabelecer sua rede.

Monitoramento de tráfego

Embora a lista de permissões tenha mais a ver com proteção passiva, o controle de tráfego é uma contramedida ativa. Principalmente, a coisa mais importante para proteger é o mais vulnerável. Nas empresas, essas coisas são servidores de aplicativos da web. Eles são os mais expostos, pois todos podem conectá-los por design. Portanto, você deve prestar atenção adicional para protegê-los com firewalls ou outros filtros que possam impedir o ataque de injeção de SQL ou RFI. Além disso, os firewalls são bastante úteis quando se trata de controle de tráfego. Essas ferramentas podem registrar os eventos da rede, permitindo que você veja e analise possíveis anomalias.