APT چیست؟ : ( Advanced Persistent Threat )
یک تهدید دائمی پیشرفته (advanced persistent threat) یا APT مهاجمی است که برای مدت طولانی در محیط شما کمین می کند، بدافزار و سایر نرم افزارهای مخرب را در محیط شما رها می کند و داده های ارزشمند را استخراج می کند.
این یکی از ترسناکترین تهدیداتی است که یک سازمان میتواند با آن روبرو شود، زیرا آنها برای فرار از شناسایی طراحی شدهاند و اگر کشف شوند، ممکن است ماهها یا حتی سالها از اولین ورود APT به محیط یک شرکت بگذرد.
در این مقاله، به این می پردازیم که APT چیست، چه کسی احتمالاً از این نوع تهدید رنج می برد، و از چه نوع ابزارهای کاهش دهنده و دفاعی می توانید برای جلوگیری از به خطر انداختن APT سازمان خود استفاده کنید.🙂
چه کسانی بیشتر مورد هدف حملات APT هستند؟
به طور سنتی، شرکت ها و دولت ها بیشتر مورد هدف APT ها قرار می گرفتند زیرا ماهیت حمله به منابع، تلاش های هدفمند و روش های بسیار پیچیده نیاز دارد.
از آنجا که طبق تعریف، APTها برای مدت طولانی در یک محیط کمین کرده و به دنبال سرقت دادهها بودند، این تهدیدی نبود که شرکتهای کوچکتر اغلب با آن مواجه میشدند یا لازم بود نگران آن باشند.
با این حال، روند رو به رشدی وجود دارد که می بینیم APT ها شرکت های کوچکتر، شرکت های متوسط و شرکای دولتی و پیمانکاران را هدف قرار می دهند. سرقت مالکیت معنوی هنوز بسیار ارزشمند است و شرکتهای بیشتری در معرض حمله APT قرار میگیرند.
تحقیقات کسپرسکی (Kaspersky ) که در اواخر سال ۲۰۲۰ منتشر شد، نشان داد که یک گروه بزرگ APT، Deathstalker، بر سازمانهای مالی کوچک تا متوسط تمرکز کرده است، که تفاوت بسیاری با نهادهایی که بیشتر مورد هدف قرار میگیرند دارند.
چه کسی پشت حملات APT است؟
گروههای هکر دولتی اغلب در پشت حملات APT قرار دارند و گروههای تحت حمایت ایالات متحده حتی از این تکنیک علیه دشمنان خود استفاده میکنند. اما گروههای APT نیز در حال افزایش هستند و گروههای هکری با بودجه خوب اکنون از این حمله استفاده میکنند.
چگونه یک تهدید پایدار پیشرفته (APT) کار می کند؟
از آنجایی که APTها برای مدت طولانی در محیط سازمان باقی می مانند، چرخه حیات طولانی برای تهدید وجود دارد. اینجا یک خرابی است.
مصالحه و دسترسی اولیه
این مرحله اولیه ای است که پس از انجام تکالیف APT و دانستن نحوه ورود به سازمان مورد نظر می باشد. چه از طریق spearphishing، مهندسی اجتماعی، حمله مستقیم به یک شبکه یا سوء استفاده از آسیب پذیری نرم افزار یا دستگاه، APT در نهایت راه خود را باز خواهد کرد.
استقرار بدافزار برای نفوذ عمیق تر
پس از ورود، مهاجم تعدادی بدافزار و ابزارهای دیگر را مستقر میکند که به آن کمک میکند در سازمان شما پنهان بماند، در صورت دستگیری یک درب پشتی (backdoor) ایجاد میکند و یک اتصال C&C (فرمان و کنترل) برای دسترسی از راه دور ایجاد میکند.
گسترش و حرکت جانبی
پس از استقرار بدافزار لازم، مهاجم میتواند آزادانه حرکت کند، از تونلهای جدید ایجاد شده، امتیازات افزایش یافته و تکنیکهای اضافی مانند شکستن رمز عبور brute force که دسترسی به سایر بخشهای شبکه شما را در عین ناشناخته ماندن فراهم میکند، استفاده کند.
داده های حساس یا ارزشمند را ضبط کنید
از آنجایی که این نوع حمله بسیار پیچیده و هدفمند است، مهاجم احتمالاً دقیقاً می داند که به دنبال چه چیزی است. هنگامی که آنها قادر به دسترسی به پوشهها، داراییها و بخشهای مهم شبکه شما شدند، میتوانند شروع به گرفتن این دادهها کنند.
این اغلب از طریق بدافزار و ابزارهای دیگر انجام میشود که بهطور بیصدا اطلاعات را در چندین منبع ذخیره میکنند، آنها را فشرده میکنند و رمزگذاری میکنند تا از دید مدیران پنهان بماند.
خروج و خروج بالقوه
جکپات. در صورت موفقیت، مهاجم شروع به ارسال داده های در معرض خطر به سرور C&C یا مکان در دسترس دیگری مانند یک سرور در معرض خطر می کند.
برای فرار بیشتر از شناسایی، ممکن است داده ها رمزگذاری شوند یا مهاجم ممکن است یک حمله نویز سفید(white noise attack) به سازمان انجام دهد تا تمرکز تیم امنیتی را منحرف کند و منابع را محدود کند.
این می تواند به شکل یک حمله DDoS یا اشکال دیگری از حملات باشد که به راحتی قابل شناسایی هستند، بنابراین سازمان مجبور به واکنش می شود.
متأسفانه، این به معنای پایان APT نیست. بسته به میزان موفقیت آنها یا اینکه آیا می توانند از داده های اضافی استفاده کنند، APT ممکن است در محیط شما باشد و از داده دیگر هم استفاده کند.
از طرف دیگر، آنها همچنین ممکن است یک درب پشتی(backdoor) (که اغلب در مرحله ۲ ایجاد می شود) را باز بگذارند تا هر زمان که نیاز داشتند راهی برای ورود داشته باشند. این امر خطر شناسایی غیرضروری را کاهش می دهد و در عین حال اطمینان می دهد که آنها می توانند هر زمان که فرصت جذابی وجود دارد به سرقت داده ها بازگردند.
تاکتیک ها و تکنیک های APT
APT یک حمله چند وجهی است و از تعدادی ابزار و روشهای مختلف برای به خطر انداختن شبکه، فرار از شناسایی و استخراج دادههای ارزشمند استفاده میکند. روش ها عبارتند از:
مصالحه کارکنان(Employee compromise): یک APT به دسترسی عمیق در یک سازمان نیاز دارد. یک مسیر آسان می تواند کارمندی باشد که ناخواسته روی یک ایمیل کلیک می کند یا یک فایل پیوست را دانلود می کند. حملات فیشینگ، spearphishing و مهندسی اجتماعی کارکنان را هدف قرار می دهند.
بهره برداری از آسیب پذیری(Vulnerability exploitation): در طول مرحله تحقیق، یک APT ممکن است فهرستی از نرم افزار، دستگاه ها، شرکا و فروشندگانی که استفاده می کنید داشته باشد. حتی ممکن است بدانند که آیا آنها را به روز کرده اید یا نه. اگر آنها بدانند که شما خود را آسیب پذیر می کنید، ممکن است از یک حمله برای سوء استفاده از آسیب پذیری شناخته شده استفاده کنند یا حمله کنند.
بدافزارها، روتکیتها و تروجانها(Malware, rootkits, and trojans): APTها از تعدادی ابزار مانند روتکیتها استفاده میکنند که به آنها اجازه میدهد شبکهها را بیشتر در معرض خطر قرار دهند، از شناسایی در حین حرکت جانبی در یک محیط، سوء استفاده از آسیبپذیریها و سیفون کردن دادهها (siphon data) جلوگیری کنند.
نحوه دفاع در برابر حمله APT
از آنجایی که APT ها از تعدادی از روش ها و ابزارهای مختلف حمله استفاده می کنند، ممکن است دفاع در برابر آنها ترسناک به نظر برسد. با این حال، دقیقاً به همین دلیل است که شما باید روی تعدادی از ابزارها و فرآیندهای دفاعی سرمایه گذاری کنید که میزان مستعد بودن شما را در برابر این نوع حملات محدود می کند.
ابزارهای نظارت و تشخیص شبکه و نقطه پایانی را پیاده سازی کنید
برای اینکه بدانید آیا یک عامل مخرب وارد محیط شما شده است یا خیر و اینکه آیا آنها به صورت جانبی حرکت میکنند و به فایلها یا دادههای حیاتی دسترسی دارند یا خیر، ضروری است.
هنگامی که یک فرد مجاز وارد شبکه شما می شود، ابزارهای تشخیص و نظارت مناسب باید در زمان واقعی به شما هشدار دهند تا بتوانید در سریع ترین زمان ممکن پاسخ دهید. هرچه سریعتر بتوانید اقدام کنید، APT زمان کمتری برای مخفی شدن دارد.
کارکنان خود را آموزش دیده و آگاه نگه دارید
آموزش آگاهی از امنیت در اینجا بسیار مهم است زیرا معمولاً در مرحله اول نفوذ به خطر می افتد. کمک به کارمندان در شناسایی ایمیلهای فیشینگ، مقابله با حملات مهندسی اجتماعی و به صدا درآوردن زنگ هشدار به سازمان شما کمک میکند تا هوشیار بماند.
مطمئن شوید که بی جهت در معرض دید قرار نگرفته اید
APT ها همچنین می توانند با سوء استفاده از آسیب پذیری های شناخته شده(CVE) راه خود را باز کنند. این می تواند ناشی از عدم به روز رسانی نرم افزار و دستگاه ها و اعمال به روز رسانی های امنیتی لازم باشد. با حفظ نکردن یک برنامه مدیریت پچ، در معرض خطر قرار گرفتن خود افزایش می دهید.
مجوزها و امتیازات مدیریت خود را محدود کنید
مهاجمان APT اغلب به صورت جانبی حرکت می کنند زیرا برای گرفتن داده های حساس و استقرار بدافزار نیاز به دسترسی به یک حساب با مجوز، دسترسی یا امتیازات بالا دارند. با اعمال سیاست حداقل امتیاز، تعداد حساب هایی را که در صورت به خطر افتادن، می توانند توسط تهدیدات APT مورد استفاده قرار گیرند، به شدت کاهش می دهید.
دفاع در برابر APT ها به یک وضعیت امنیتی قوی نیاز دارد
APTها می توانند تهدیدات ترسناکی باشند، زیرا شناسایی آنها اغلب سخت است و به سازمانی که هدف قرار می گیرد، مشخص می شوند. اما این بدان معنا نیست که نمی توانید در برابر آنها دفاع کنید و ابزارها و راه حل های اساسی امنیت سایبری نقش مهمی دارند.
همانطور که در حال ایجاد موقعیت امنیتی خود هستید، باید از قبل به یک رویکرد امنیت سایبری لایه ای فکر کنید. نظارت بر شبکه، تشخیص نقطه پایانی و پاسخ را در اولویت قرار دهید، اطمینان حاصل کنید که تنها تعداد کمی از حساب ها دارای امتیازات بیشتری هستند و کارمندان خود را آموزش دهید.
اینها با هم یک دفاع قوی، جامع و پیشگیرانه در برابر بسیاری از انواع حملات، از جمله APT ها، ارائه می کنند. چالش در یافتن ابزار و شرکای مناسب است.
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
۱۰ افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
2 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
عااااالی بود
awli bod