یک تهدید دائمی پیشرفته (advanced persistent threat) یا APT مهاجمی است که برای مدت طولانی در محیط شما کمین می کند، بدافزار و سایر نرم افزارهای مخرب را در محیط شما رها می کند و داده های ارزشمند را استخراج می کند.

این یکی از ترسناک‌ترین تهدیداتی است که یک سازمان می‌تواند با آن روبرو شود، زیرا آنها برای فرار از شناسایی طراحی شده‌اند و اگر کشف شوند، ممکن است ماه‌ها یا حتی سال‌ها از اولین ورود APT به محیط یک شرکت بگذرد.

در این مقاله، به این می پردازیم که APT چیست، چه کسی احتمالاً از این نوع تهدید رنج می برد، و از چه نوع ابزارهای کاهش دهنده و دفاعی می توانید برای جلوگیری از به خطر انداختن APT سازمان خود استفاده کنید.🙂

چه کسانی بیشتر مورد هدف حملات APT هستند؟

به طور سنتی، شرکت ها و دولت ها بیشتر مورد هدف APT ها قرار می گرفتند زیرا ماهیت حمله به منابع، تلاش های هدفمند و روش های بسیار پیچیده نیاز دارد.

از آنجا که طبق تعریف، APTها برای مدت طولانی در یک محیط کمین کرده و به دنبال سرقت داده‌ها بودند، این تهدیدی نبود که شرکت‌های کوچکتر اغلب با آن مواجه می‌شدند یا لازم بود نگران آن باشند.

با این حال، روند رو به رشدی وجود دارد که می بینیم APT ها شرکت های کوچکتر، شرکت های متوسط و شرکای دولتی و پیمانکاران را هدف قرار می دهند. سرقت مالکیت معنوی هنوز بسیار ارزشمند است و شرکت‌های بیشتری در معرض حمله APT قرار می‌گیرند.

تحقیقات کسپرسکی (Kaspersky ) که در اواخر سال ۲۰۲۰ منتشر شد، نشان داد که یک گروه بزرگ APT، Deathstalker، بر سازمان‌های مالی کوچک تا متوسط تمرکز کرده است، که تفاوت بسیاری با  نهادهایی که بیشتر مورد هدف قرار می‌گیرند دارند.

چه کسی پشت حملات APT است؟

گروه‌های هکر دولتی اغلب در پشت حملات APT قرار دارند و گروه‌های تحت حمایت ایالات متحده حتی از این تکنیک علیه دشمنان خود استفاده می‌کنند. اما گروه‌های APT نیز در حال افزایش هستند و گروه‌های هکری با بودجه خوب اکنون از این حمله استفاده می‌کنند.

چگونه یک تهدید پایدار پیشرفته (APT) کار می کند؟

از آنجایی که APTها برای مدت طولانی در محیط سازمان باقی می مانند، چرخه حیات طولانی برای تهدید وجود دارد. اینجا یک خرابی است.

مصالحه و دسترسی اولیه

این مرحله اولیه ای است که پس از انجام تکالیف APT و دانستن نحوه ورود به سازمان مورد نظر می باشد. چه از طریق spearphishing، مهندسی اجتماعی، حمله مستقیم به یک شبکه یا سوء استفاده از آسیب پذیری نرم افزار یا دستگاه، APT در نهایت راه خود را باز خواهد کرد.

استقرار بدافزار برای نفوذ عمیق تر

پس از ورود، مهاجم تعدادی بدافزار و ابزارهای دیگر را مستقر می‌کند که به آن کمک می‌کند در سازمان شما پنهان بماند، در صورت دستگیری یک درب پشتی (backdoor) ایجاد می‌کند و یک اتصال C&C (فرمان و کنترل) برای دسترسی از راه دور ایجاد می‌کند.

گسترش و حرکت جانبی

پس از استقرار بدافزار لازم، مهاجم می‌تواند آزادانه حرکت کند، از تونل‌های جدید ایجاد شده، امتیازات افزایش یافته و تکنیک‌های اضافی مانند شکستن رمز عبور brute force که دسترسی به سایر بخش‌های شبکه شما را در عین ناشناخته ماندن فراهم می‌کند، استفاده کند.

داده های حساس یا ارزشمند را ضبط کنید

از آنجایی که این نوع حمله بسیار پیچیده و هدفمند است، مهاجم احتمالاً دقیقاً می داند که به دنبال چه چیزی است. هنگامی که آنها قادر به دسترسی به پوشه‌ها، دارایی‌ها و بخش‌های مهم شبکه شما شدند، می‌توانند شروع به گرفتن این داده‌ها کنند.

این اغلب از طریق بدافزار و ابزارهای دیگر انجام می‌شود که به‌طور بی‌صدا اطلاعات را در چندین منبع ذخیره می‌کنند، آن‌ها را فشرده می‌کنند و رمزگذاری می‌کنند تا از دید مدیران پنهان بماند.

خروج و خروج بالقوه

جکپات. در صورت موفقیت، مهاجم شروع به ارسال داده های در معرض خطر به سرور C&C یا مکان در دسترس دیگری مانند یک سرور در معرض خطر می کند.

برای فرار بیشتر از شناسایی، ممکن است داده ها رمزگذاری شوند یا مهاجم ممکن است یک حمله نویز سفید(white noise attack) به سازمان انجام دهد تا تمرکز تیم امنیتی را منحرف کند و منابع را محدود کند.

این می تواند به شکل یک حمله DDoS یا اشکال دیگری از حملات باشد که به راحتی قابل شناسایی هستند، بنابراین سازمان مجبور به واکنش می شود.

متأسفانه، این به معنای پایان APT نیست. بسته به میزان موفقیت آنها یا اینکه آیا می توانند از داده های اضافی استفاده کنند، APT ممکن است در محیط شما باشد و  از داده دیگر هم استفاده کند.

از طرف دیگر، آنها همچنین ممکن است یک درب پشتی(backdoor) (که اغلب در مرحله ۲ ایجاد می شود) را باز بگذارند تا هر زمان که نیاز داشتند راهی برای ورود داشته باشند. این امر خطر شناسایی غیرضروری را کاهش می دهد و در عین حال اطمینان می دهد که آنها می توانند هر زمان که فرصت جذابی وجود دارد به سرقت داده ها بازگردند.

تاکتیک ها و تکنیک های APT

APT یک حمله چند وجهی است و از تعدادی ابزار و روش‌های مختلف برای به خطر انداختن شبکه، فرار از شناسایی و استخراج داده‌های ارزشمند استفاده می‌کند. روش ها عبارتند از:

مصالحه کارکنان(Employee compromise): یک APT به دسترسی عمیق در یک سازمان نیاز دارد. یک مسیر آسان می تواند کارمندی باشد که ناخواسته روی یک ایمیل کلیک می کند یا یک فایل پیوست را دانلود می کند. حملات فیشینگ، spearphishing و مهندسی اجتماعی کارکنان را هدف قرار می دهند.

بهره برداری از آسیب پذیری(Vulnerability exploitation): در طول مرحله تحقیق، یک APT ممکن است فهرستی از نرم افزار، دستگاه ها، شرکا و فروشندگانی که استفاده می کنید داشته باشد. حتی ممکن است بدانند که آیا آنها را به روز کرده اید یا نه. اگر آنها بدانند که شما خود را آسیب پذیر می کنید، ممکن است از یک حمله برای سوء استفاده از آسیب پذیری شناخته شده استفاده کنند یا حمله کنند.

بدافزارها، روت‌کیت‌ها و تروجان‌ها(Malware, rootkits, and trojans): APT‌ها از تعدادی ابزار مانند روت‌کیت‌ها استفاده می‌کنند که به آنها اجازه می‌دهد شبکه‌ها را بیشتر در معرض خطر قرار دهند، از شناسایی در حین حرکت جانبی در یک محیط، سوء استفاده از آسیب‌پذیری‌ها و سیفون کردن داده‌ها (siphon data) جلوگیری کنند.

نحوه دفاع در برابر حمله APT

از آنجایی که APT ها از تعدادی از روش ها و ابزارهای مختلف حمله استفاده می کنند، ممکن است دفاع در برابر آنها ترسناک به نظر برسد. با این حال، دقیقاً به همین دلیل است که شما باید روی تعدادی از ابزارها و فرآیندهای دفاعی سرمایه گذاری کنید که میزان مستعد بودن شما را در برابر این نوع حملات محدود می کند.

ابزارهای نظارت و تشخیص شبکه و نقطه پایانی را پیاده سازی کنید

برای اینکه بدانید آیا یک عامل مخرب وارد محیط شما شده است یا خیر و اینکه آیا آنها به صورت جانبی حرکت می‌کنند و به فایل‌ها یا داده‌های حیاتی دسترسی دارند یا خیر، ضروری است.

هنگامی که یک فرد مجاز وارد شبکه شما می شود، ابزارهای تشخیص و نظارت مناسب باید در زمان واقعی به شما هشدار دهند تا بتوانید در سریع ترین زمان ممکن پاسخ دهید. هرچه سریعتر بتوانید اقدام کنید، APT زمان کمتری برای مخفی شدن دارد.

کارکنان خود را آموزش دیده و آگاه نگه دارید

آموزش آگاهی از امنیت در اینجا بسیار مهم است زیرا معمولاً در مرحله اول نفوذ به خطر می افتد. کمک به کارمندان در شناسایی ایمیل‌های فیشینگ، مقابله با حملات مهندسی اجتماعی و به صدا درآوردن زنگ هشدار به سازمان شما کمک می‌کند تا هوشیار بماند.

مطمئن شوید که بی جهت در معرض دید قرار نگرفته اید

APT ها همچنین می توانند با سوء استفاده از آسیب پذیری های شناخته شده(CVE) راه خود را باز کنند. این می تواند ناشی از عدم به روز رسانی نرم افزار و دستگاه ها و اعمال به روز رسانی های امنیتی لازم باشد. با حفظ نکردن یک برنامه مدیریت پچ، در معرض خطر قرار گرفتن خود افزایش می دهید.

مجوزها و امتیازات مدیریت خود را محدود کنید

مهاجمان APT اغلب به صورت جانبی حرکت می کنند زیرا برای گرفتن داده های حساس و استقرار بدافزار نیاز به دسترسی به یک حساب با مجوز، دسترسی یا امتیازات بالا دارند. با اعمال سیاست حداقل امتیاز، تعداد حساب هایی را که در صورت به خطر افتادن، می توانند توسط تهدیدات APT مورد استفاده قرار گیرند، به شدت کاهش می دهید.

دفاع در برابر APT ها به یک وضعیت امنیتی قوی نیاز دارد

APTها می توانند تهدیدات ترسناکی باشند، زیرا شناسایی آنها اغلب سخت است و به سازمانی که هدف قرار می گیرد، مشخص می شوند. اما این بدان معنا نیست که نمی توانید در برابر آنها دفاع کنید و ابزارها و راه حل های اساسی امنیت سایبری نقش مهمی دارند.

همانطور که در حال ایجاد موقعیت امنیتی خود هستید، باید از قبل به یک رویکرد امنیت سایبری لایه ای فکر کنید. نظارت بر شبکه، تشخیص نقطه پایانی و پاسخ را در اولویت قرار دهید، اطمینان حاصل کنید که تنها تعداد کمی از حساب ها دارای امتیازات بیشتری هستند و کارمندان خود را آموزش دهید.

اینها با هم یک دفاع قوی، جامع و پیشگیرانه در برابر بسیاری از انواع حملات، از جمله APT ها، ارائه می کنند. چالش در یافتن ابزار و شرکای مناسب است.