APT -  

Úvod  Co je APT  Historie  Hrozba  Charakteristika APT  Group  1.Fáze  2.Fáze  3.Fáze  4.Fáze  Životní cyklus APT  Jak detekovat APT  Obrana proti APT  APT Tutoriál

Druhá fáze

Fáze 2: Discovery Jakmile jste uvnitř, útočník mapuje systémů subjektů a automaticky vyhledává důvěrných údajů, nebo v případě některých APTS, provozní pokyny a funkčnost. Objev může zahrnovat nechráněných dat a sítí, jakož i software a hardware zranitelnosti, exponované pověření a cesty na dodatečné zdroje nebo přístupovými body. Zde opět, kde většina cílené útoky jsou oportunistické, APT útoky jsou více metodické a jít do mimořádné délky, aby se zabránilo odhalení. • Více vektory -as s vpádem, APTS mají tendenci používat více objevné techniky v kombinaci. Jakmile malware je přítomen na hostiteli Systémy, další nástroje lze stáhnout podle potřeby za účelem zkoumání software, hardware a zranitelnosti sítě. • Běh tichý, břehy mele -Od Cílem APT má zůstat uvnitř organizace a sklizně informací v dlouhodobém horizontu, zjišťování procesy jsou navrženy tak, aby nedošlo k detekci za každou cenu. Hydraq (také známý jako útoky Aurora nebo Google) používá řadu mlžení techniky, aby sám o sobě skrývá obětem.

Konkrétně se používá špagety kód, technika používá k výrobě Analýza a detekce malwaru obtížnější. • výzkum a analýzu úsilí -Discovery jsou doprovázeny výzkumem a analýzou o zjištěných systémů a dat, včetně sítě topologie, uživatelská jména, hesla a tak dále. Je-li detekován APT, první otázka zní: Jak je to dlouho tam byl? Ne tak s typickou cíleného útoku; -li čísla účtu byly odcizeny není těžké k dnešnímu dni porušení smlouvy a zhodnotit škody. S APTS, ale to může být téměř nemožné určit ve chvíli, kdy k útoku došlo. Oběti mohou muset prolézt log souborů nebo dokonce likvidovat zařízení, protože vpád a objev fáze byly tak dobře skryta. Pokročilé přetrvávající ohrožení: společnosti Symantec V některých případech může být docela snadné najít APT kill-řetězce. Ale zdání může klamat. Zřejmý kill-řetězce mohou být úmyslně zahájena rozptýlit oběť, zatímco pachatelé postupovat nepozorovaně jejich skutečným cílům.
Vyzbrojeni pracovní účty, a uživatel-listy, a další veřejné informace o vaší firmě / životní prostředí, budou plavidla cílený e-maily o klíčové hráče ve vaší organizaci. 
Tyto zprávy budou obsahovat škodlivý buď jako náklad, nebo obsahují odkazy na stránky, které bude kompromisem čtenáře a nainstalovat vzdálený přístup--nástroj v systému (flag.)
Velení a řízení metodou používanou těchto nástrojů bude směs nových a staré školy. Očekávejte něco jako chytrá zakódované DNS provoz na něco tak jednoduchého
jako reverzní telnet vysolit na ohrožena poskytovatele hostingu. Toto je místo, kde budete muset být kreativní a přizpůsobit to na něco, co by ve vašem prostředí. 
Je to také příležitost vrhnout nějaké světlo na všechny bezpečnostní díry, do očí bijící, že jste si vědomi a chtějí vyššího managementu, aby pomohli s
 (např. nedostatek odchozí filtrování, nebo široký otevřený proxy server politiky.)
Heist
V tomto bodě, útočníci jsou v pozici, na výzkum, kde jsou vaše klíčové dokumenty v držení, a jak se chytit. Jakmile mají vnitřní systém pod jejich kontrolou,
a je to jen otázka času, než oni jeden mít heslo správce nebo schopnost podporovat účet (vlajka - jste varování o tom, kdy účty překlasifikovat nebo,
 pokud je správce přihlášení přímo systémů?) na oprávnění správce. Oni budou pohybovat od stroje ke stroji hledá pro jejich konečné cíle (flag.)
Jednou našel, to půjde ven přes stávající velení a řízení kanály (tj. nástroj pro vzdálený přístup nebo HTTP ovládací panel), nebo přímo z e-mailem.