APT -  

Úvod  Co je APT  Historie  Hrozba  Charakteristika APT  Group  1.Fáze  2.Fáze  3.Fáze  4.Fáze  Životní cyklus APT  Jak detekovat APT  Obrana proti APT  APT Tutoriál

První fáze

Fáze 1: Invaze V cílených útocích hackeři typicky proniknout do sítě organizace pomocí sociálního inženýrství, zero-day zranitelnost, SQL injection, cílené malware či jiným způsobem. Tyto metody jsou také používány v APTS, často ve shodě. Hlavním rozdílem je, že při běžné cílené útoky používají krátkodobé, "rozbít a chytit" metody, APT nájezdy jsou navrženy tak, aby vytvořit plážový hlavu, ze kterého chcete zahájit tajné operace po delší časové období. Ostatní charakteristiky APT nájezdy patří následující: • Průzkumný -APT útoky často zaměstnávají velké množství výzkumných pracovníků, kteří mohou strávit několik měsíců studovat jejich cíle a dělat seznamovat se s cílovými systémy, procesů a lidí, včetně partnerů a dodavatelů. Informace mohou být shromažďovány jak online a za použití obvyklých postupů dozoru. V případě útoku Stuxnet o organizacích, které se považují za provozní íránským jaderným 3-Martin Lee, "Opakované útoky zradí motivací útočníků", "Symantec, 13.července

zařízení, útok tým vlastnil odborné znalosti v oblasti navrhování programovatelných automatů (PLC) použitého k obohacení uranu které byly zaměřeny na útok. 4 • Sociální inženýrství -Incursion se často provádí za použití technik inženýrství sociální, jako je například vyvolání nepodezírajících zaměstnancům ke kliknutí na odkazy nebo otevírat přiložené soubory, které se zdají pocházet z důvěryhodnými partnery nebo kolegy. Na rozdíl od typického phishing útoku, takové techniky jsou často napájeny do hloubky výzkumu na cílové organizace. V jednom případě malého počtu lidských zdrojů zaměstnanců byly zaměřeny pomocí zdánlivě neškodný přílohu, tabulkový o najímání potřeby, které se objevily přijít z práce výpis webové stránky. V případě Hydraq, cílené uživatelé byli vedeni k webovým stránkám obrazu, hosting, kde byly infikováno přes drive-vedlejší stáhnout. • zero-day zranitelnost -Zero-day zranitelnosti jsou bezpečnostní mezery, které jsou neznámé pro vývojáře softwaru a mohou se proto být zneužita útočníky dříve, než vývojář může poskytnout opravu nebo opravit. V důsledku toho cílová organizace je roven nule dny na přípravu; to je chycen nepřipravený. Vzhledem k tomu, že trvá velké množství času a úsilí, aby objevit zranitelnosti nultého dne, jen nejdokonalejší útočník Organizace je pravděpodobné, že jich využili. Apts často používají jeden zero-day zranitelnost ve vztahu k porušení cíl, přepnout do druhé a pak třetí, protože každý bod útoku je nakonec vyřešen. To byl případ s Hydraq. Útok Stuxnet byl výjimečný v tom čtyřech samostatné zero-day zranitelnosti byly využívány současně. • Manuální operace -Common nebo masivní útoky využívají automatizaci s cílem maximalizovat jejich dosah. "Sprej a modlit se" phishingu používat automatizovaný spam zasáhnout tisíce uživatelů v naději, že určité procento klikne na odkaz nebo přídavného zařízení a spouštějí invazi. Na druhé straně, zatímco APTS může nasadit spam, častěji zaměřují se na různé jednotlivé systémy, a tento proces je pevně vpád zaměřený-ne automatizovaný proces použitý v non-APT útoků
První budou shromažďovat informace o vás, vaší organizace a prostředí. To bude velmi těžké odhalit, a budete pravděpodobně nikdy vědět, kdy to začalo a co informace,
které shromáždili. Můžete si být docela jistý, že Google a vašich vlastních marketingových a PR snahy byly zapojeny.
Tam bude nějaký průzkum, průzkum sítě, nebo zranitelnosti vašich webových aplikací. Bude velmi obtížné určit, co bylo v souvislosti s eventuální útok a to, co bylo jen další den na internetu.
První úspěšný útok bude pravděpodobně zahrnovat webové aplikace. SQL injection nebo souboru-injekce zranitelnost bude zneužita na jednom ze svých serverů web-.
Toto je první příznak, SQL injection uniká heslo hash, nebo podrobnosti o účtu. Ty budou exfiltrated ven mezi HTTP požadavků z útoku, a všechny hodnoty hash projdou
krakování. Mají rainbow tables, a paralelní-výpočetních zdrojů, tak nakonec heslo bude klesat k tomuto úsilí a budou se muset pracovat účet v systému. To je další příznak:
pracovní uživatelské jméno a heslo dvojice. Nicméně, pokud vzdálený soubor-zařazení zranitelnost je nalézt a zneužít (vlajka), že nyní mají příležitost k poklesu souborů v
systému a spustit je přes webové požadavky. Nejprve to bude jednoduchý soubor Přidal-stránky, že pokles pomocí souboru-injekce. Pak budou vkládat on-line ovládací panel
v systému (příznak), a za použití stejného přístupu na web, který vám poskytne na internet, mohou nahrát a spustit libovolný kód s využitím oprávnění procesu webového serveru ID.
Budou pokles více nástrojů na serveru, se zaměřením na heslo hash na samotný systém (flag.) Tyto budou stáhl systému přes HTTP a podrobí se stejné heslo útoky.
Jeden mají pracovní účty na úrovni systému (vlajka) budou se používat, že k přihlášení do jiných systémů pomocí on-line ovládací panel (vlajka - můžete zjistit, že váš
 web-server je přihlášení do jiných systémů?)
Jejich cílem je vaše doména Active server (nebo vaše firma ekvivalent centralizovaný systém řízení přístupu.) Jakmile budou k dispozici pracovní účet na tomto serveru,
bude se pokusí pozvednout oprávnění dost chytit heslo hash. Pokud používáte stejný admin heslo pro webové servery, jak budete ve vašem Active server domény,
pak se můžete přeskočit tento krok - jste to mnohem jednodušší pro ně.