APT - Úvod  Co je APT  Historie  Hrozba  Charakteristika APT  Group  1.Fáze  2.Fáze  3.Fáze  4.Fáze  Životní cyklus APT  Jak detekovat APT  Obrana proti APT  APT Tutoriál

APT

 

Nejprve pár slov o použití termínu "APT"
Pokročilé trvalá hrozba (APT) bylo získat spoustu tisku v uplynulém roce. Tam je spousta debata přes zda APT je "kdo", nebo je "jak". 
Nicméně, tam je malá debata o módní slovo status APT. To je, jak jsem se používat termín dnes: jako módní slovo, které vám pomohou
pozornost manažerů 'a dostat je ke stolu pro toto cvičení. Stejně jako všechny bezpečnostní úsilí, pokud vám chybí podpora řízení, budete pravděpodobně nezdaří.
Proč potřebujete cvičení
Výskyt APT je low-frekvence vysoce-dopad incidentu. Nejste pravděpodobně zásady, postupy a spustit-připravené knihy. Není mnoho lidí,
kteří mají první ruky-zkušenosti s bojem proti ní a že bude těžké najít, když budete skutečně potřebovat. To je důvod, proč je třeba pružně reagovat
rámec a projít scénářů, jako je tato, aby zůstali připravené.
Před cvičení
Budete chtít připravit vhodné komunikační dostat své poselství k řízení a účastníků, může to být tak jednoduché, jak e-maily, ale moje požadovat úplné
zprávy nebo prezentace v závislosti na vaší organizace. Tato zpráva by měla minimálně obsahovat popis hrozby, a jak to může ovlivnit vaši firmu. Nebo "co je APT" a "proč bychom se měli bát?"
Popisovat APT-jako události
Můžete Google kolem a najít nějaké opravdu skvělé bloggerů diskusi APT. Management nebude vědět tyto lidi tak to nemusí být jediný zdroj, který chcete zahrnout. 
Já bych doporučit zprávy v médiích (zejména média, že vaše vedení čtenářů) o těchto high-profil události:
Google Aurora
NASDAQ
Noční Dragon
RSA
Proč bychom se měli obávat?
To je klasický "proč bych se měl starat", otázku, která jste zvyklí na manipulaci s. Pokud nejste na seznamu cílů zřejmé-už možná budete chtít zdůraznit,
že každá organizace má své tajemství, a jiné skupiny pravděpodobně chtít těch tajemství, a to buď pro přímý zisk, nebo jednoduše po nich na internetu,
aby vás vypadat špatně .Tyto skupiny mohou využívat taktiky podobné těm vysoce-události profilu, a to je účel tohoto cvičení, zjistit, zda jste připraveni
zvládnout takovou pozornost.
Příprava Oznámení
Budete začít cvičení s "oznámení". Nepochybně bude vaše organizace se dozvěděla o akci prostřednictvím návštěvu nebo telefon-hovor od vlády nebo zákon-vymáhání agentury. 
Budou kontaktujte svého vyššího managementu, nikoli bezpečnostní tým nebo help-desk. To nebude dobrý den pro všechny z vás, tak znovu, je to dobrý nápad
zapojit horní vedení v tomto procesu, takže vědí, na koho se obrátit poté, co byly informovány o incidentu.
Scénář bude něco jako: "jsme se naučili, prostřednictvím informátora, který si korunovační klenoty byly odcizeny, si myslíme, že kompromis došlo k více než šesti
měsíci a útočníci možná použit jeden nebo více z následujících IP adres," a poskytují seznam 62 IP adres.
Vždy obsahovat seznam věcí, hledat a seznam bude obsahovat mnoho falešných-vede, a pravděpodobně bude obtížné využít ve vašem prostředí. To není neobvyklé,
že se zobrazí seznam desítek IP adresy, doménová jména, a MD5 otisk podezření na malware s malou nebo žádnou kontextu, a pokud jste řekl, čas-rám okna událost
je obvykle velmi široká vzhledem k nejistota, která vyšetřovatelé v časných stádiích události.
První cvičení
Před zadávání úkolů a točí se reakce na události v procesu první věc, že ​​účastníci musí určit, je ", kdo by měl být informován o incidentu," a "kdo by měl být zapojen v odpovědi."
 Jsou tam lidé chybějící z tabulky, která by měla být účast? Jakmile jste zachytil svůj seznam lidí, které je třeba okamžitě informován, vymyslet, jak bude toto oznámení doručena. 
Máte-po hodinách kontaktní informace pro každého na tomto seznamu?
To by mělo být první dodávky vyrobené z tohoto cvičení.
Máte-li luxus držet multi-den cvičení by to být dobrý čas na přestávku. Vyzvat ty, kteří byli identifikováni jako chybějící od stolu, a připravit nouzový kontakt proces dokumentace. 
Účastníci by měli užívat čas na přemýšlení, jak by prošetřila omezené informace uvedené v původním oznámení.
Vytvoření Time-line z útoku
Jako organizátor víte, co se opravdu stalo ve scénáři a pohon účastníků 'objev procesu. Udělejte si čas vzorek-line níže a přizpůsobit ji pro vaše prostředí. Některé změny
budou snadné, jiní mohou mít trochu kreativní a nevyzpytatelný myšlení ( např. přijít s věrohodný způsob, jak se útočníci mohou vytvořit velení a řízení kanál z vaší firmy.)
V době pod-line je produkt syntézy mnoha posledních detailů, které byly publikovány, příběhy pro mě v barech a jiných nespolehlivých a spekulativní zdrojů. Jak se říká
v televizi, veškeré podobnosti se skutečnými událostmi je čistě náhodná. Bylo vyvinuto úsilí, aby se čas-line realistické tak, že tam může být hodnota získané z výkonu.
Po celou dobu-line budu volat některé check-bodů za vlajky jako protivník dosáhl kritické fáze v útoku. Tyto vlajky jsou prezentovány organizovat diskuse a přestávka
této rozsáhlé a složité akce se stanoví na zvládnutelné kousky. Ty mohou být také použity v každém budoucím pero-testování procesu měřit úspěch, nebo třeba přezkoumat
na vlastní auditorské k měření detekční a kontrolní činnosti na místě se bránit, že vlajku.
První fáze
První budou shromažďovat informace o vás, vaší organizace a prostředí. To bude velmi těžké odhalit, a budete pravděpodobně nikdy vědět, kdy to začalo a co informace,
které shromáždili. Můžete si být docela jistý, že Google a vašich vlastních marketingových a PR snahy byly zapojeny.
Tam bude nějaký průzkum, průzkum sítě, nebo zranitelnosti vašich webových aplikací. Bude velmi obtížné určit, co bylo v souvislosti s eventuální útok a to, co bylo jen další den na internetu.
První úspěšný útok bude pravděpodobně zahrnovat webové aplikace. SQL injection nebo souboru-injekce zranitelnost bude zneužita na jednom ze svých serverů web-.
Toto je první příznak, SQL injection uniká heslo hash, nebo podrobnosti o účtu. Ty budou exfiltrated ven mezi HTTP požadavků z útoku, a všechny hodnoty hash projdou
krakování. Mají rainbow tables, a paralelní-výpočetních zdrojů, tak nakonec heslo bude klesat k tomuto úsilí a budou se muset pracovat účet v systému. To je další příznak:
pracovní uživatelské jméno a heslo dvojice. Nicméně, pokud vzdálený soubor-zařazení zranitelnost je nalézt a zneužít (vlajka), že nyní mají příležitost k poklesu souborů v
systému a spustit je přes webové požadavky. Nejprve to bude jednoduchý soubor Přidal-stránky, že pokles pomocí souboru-injekce. Pak budou vkládat on-line ovládací panel
v systému (příznak), a za použití stejného přístupu na web, který vám poskytne na internet, mohou nahrát a spustit libovolný kód s využitím oprávnění procesu webového serveru ID.
Budou pokles více nástrojů na serveru, se zaměřením na heslo hash na samotný systém (flag.) Tyto budou stáhl systému přes HTTP a podrobí se stejné heslo útoky.
Jeden mají pracovní účty na úrovni systému (vlajka) budou se používat, že k přihlášení do jiných systémů pomocí on-line ovládací panel (vlajka - můžete zjistit, že váš
 web-server je přihlášení do jiných systémů?)
Jejich cílem je vaše doména Active server (nebo vaše firma ekvivalent centralizovaný systém řízení přístupu.) Jakmile budou k dispozici pracovní účet na tomto serveru,
bude se pokusí pozvednout oprávnění dost chytit heslo hash. Pokud používáte stejný admin heslo pro webové servery, jak budete ve vašem Active server domény,
pak se můžete přeskočit tento krok - jste to mnohem jednodušší pro ně.
Druhá fáze
Vyzbrojeni pracovní účty, a uživatel-listy, a další veřejné informace o vaší firmě / životní prostředí, budou plavidla cílený e-maily o klíčové hráče ve vaší organizaci. 
Tyto zprávy budou obsahovat škodlivý buď jako náklad, nebo obsahují odkazy na stránky, které bude kompromisem čtenáře a nainstalovat vzdálený přístup--nástroj v systému (flag.)
Velení a řízení metodou používanou těchto nástrojů bude směs nových a staré školy. Očekávejte něco jako chytrá zakódované DNS provoz na něco tak jednoduchého
jako reverzní telnet vysolit na ohrožena poskytovatele hostingu. Toto je místo, kde budete muset být kreativní a přizpůsobit to na něco, co by ve vašem prostředí. 
Je to také příležitost vrhnout nějaké světlo na všechny bezpečnostní díry, do očí bijící, že jste si vědomi a chtějí vyššího managementu, aby pomohli s
 (např. nedostatek odchozí filtrování, nebo široký otevřený proxy server politiky.)
Heist
V tomto bodě, útočníci jsou v pozici, na výzkum, kde jsou vaše klíčové dokumenty v držení, a jak se chytit. Jakmile mají vnitřní systém pod jejich kontrolou,
a je to jen otázka času, než oni jeden mít heslo správce nebo schopnost podporovat účet (vlajka - jste varování o tom, kdy účty překlasifikovat nebo,
 pokud je správce přihlášení přímo systémů?) na oprávnění správce. Oni budou pohybovat od stroje ke stroji hledá pro jejich konečné cíle (flag.)
Jednou našel, to půjde ven přes stávající velení a řízení kanály (tj. nástroj pro vzdálený přístup nebo HTTP ovládací panel), nebo přímo z e-mailem.
Příklad Vlajky pro cvičení
Tyto vlajky jsou bych použil pro výkon výše uvedené:
Phase One
SQL injection objevil na webové aplikace
SQL injection využít pro vystavit webové aplikace hashe autentizace
Přístupné na webové aplikace získaných pomocí popraskané heslo
Soubor vzdálené Zahrnutí zranitelnost objevena v ověřené oblasti webových aplikací
RFI zranitelnosti využít pro spuštění ovládacího panelu
Soubor nahrál skript v systému nainstalován pomocí ovládacího panelu
Heslo hash nástroj pro extrakci nahrát na webový server
Web-server heslo hashe extrahovat
Web-server pokusy o přihlášení do řadiče domény služby Active.
Druhá fáze
Člen vedení Horního dostane škodlivý soubor PDF
Člen Obchodní oddělení dostane škodlivý tabulky
Člen IT oddělení obdrží odkaz na škodlivý video
Vzdálená-Access-Tool je nainstalován na jeden nebo více z kopí-phishing cíle
Command-a-Control kanál je vytvořen na vnitřní ploše nebo notebooku
Heslo extrakční nástroje jsou nainstalovány v systému ohrožena.
Heslo hashe jsou extrahovány
Ohrožena systému přihlásí do řadiče domény služby Active.
Nové účty jsou přidány do domény a udělil oprávnění správce.
 Heist
Ohrožena systém připojí jednotku obsahující korunovační klenoty.
Soubory jsou komprimovány a nahrány na webové stránky na internetu
Podrobně Vlajky
Pro každou vlajkou se chystáte dát přibližný čas, že to nastane. Počínaje první vlajka, "SQL injection objevil na webové aplikace," poznámka přibližný uplynulý čas.
Některé vlajky budou následovat v rychlém sledu, ostatní mohou počkat několik týdnů nebo měsíců jako heslo hash jsou napadeni. Fáze jedna a druhá fáze se
mohou překrývat. Možná budete chtít dát více vlajek v modelovat, jak se skupina může prozkoumat vaše životní prostředí a vyzkoušet různé techniky.
Kromě časování každé vlajky. Budete chtít na vědomí, jak to příznak se může projevit ve vaší organizaci přihlásí k ospravedlnění, jak byl objeven krok ve Vaší firmě.
 Ne každý vlajku nechá snadno log důkazy. Možná poznámka pod vlajkou jako "v současnosti nezjistitelné" tím, že váš systém, a to by byl "objeven" v rámci výkonu
z něčeho víc intenzivní, jako je forenzní analýzu nebo objevit na fiktivní externí konzultant přinesl doplnit svůj tým.
Prezentace událostí
Po ukončení práce se svůj vlastní čas-line v útoku, seznam všechny jednotlivých vlajek v chronologickém pořadí. Přijít s věrohodný způsob, který může zjistit,
že událost, bude tato příručka vám písemně objevu fáze cvičení. Například, daný IP adresy poskytnutých oznamující agentury, možná zjistíte, jeden z těch IP
 adres jako jeden z velení a kontroly koncových bodů, a že by vás jeden z interních infikovaných systémů.
Je to společné dílo zpět od objevu incidentu na příčinu. Tak to má smysl prezentovat vlajek v obráceném chronologickém pořadí-- i když tam může být případ,
kdy objev první a druhé fáze útoku dojít souběžně.
Jakmile budete mít uvedeny mimo pořadí, ve kterém budete prezentovat své akce připraví na některé otázky kolem každého vlajku. Zpočátku budete diskutovat o tom,
jak byste zahájit tuto událost, ale později byste se měli zaměřit na to, jak byste druhově odhalit útočník dosažení tohoto vlajku. Dalším produktem tohoto procesu
bude seznam doporučení, aby bylo možné odhalit útočníky budoucnost, zatímco oni se snažíte dostat, a zastavit je dříve, než se dostat příliš daleko. Nikdo nechce dostat,
 že telefon-hovor říkat jim, že jsem měl hlavní kompromis.
Balit?
Na konci tohoto cvičení byste měli mít pracovní CERT kontakt listu. I když nejste zpočátku vědomi toho, že všichni by měli být informováni o události jako je tento,
je nyní členem vaší organizace Emergency Response Team.
Pro každou vlajku, měli byste mít uvedeny z vašeho plánu zjistit, kdy útočník dosahuje této fázi ve vašem prostředí. Měli byste mít identifikovaných existujících ovládacích prvků,
 nebo poukázat na potřebu dodatečných kontrol. Budete mít pravděpodobně určeny případy, kdy jednotlivé záznamy by vás varoval o velký obrázek, ale ve vzájemné shodě,
by několikanásobné záznamy, které správně upozornil na loupež. Jít s diskusí o tom, jak můžete získat různé skupiny spolupracovat a sdílet záznam a záznam dat.
Výsledky této činnosti by měl být sepsán, sdílené s horním řízení, audit a pero-testování týmu. Za to, že zjistíte, že máte mnohem více práce. Líto. Jediné, co mohu říct je,
že je to lepší než vaše CEO dostat telefon-hovor ze zvláštní agent Smith.