APT چیست | آشنایی با تهدیدات پیشرفته و مستمر یا Advanced Persistent Threat

 APT چیست

یک تهدید پیشرفته و مستمر یا APT، حمله‌ی پیچیده و مداومی است که در آن، یک مهاجم بدون اینکه شناسایی شود در یک شبکه حضور پیدا می‌کند تا در یک دوره‌ی زمانی طولانی، اطلاعات حساس را به سرقت ببرد. حمله APT برای نفوذ به یک سازمان خاص، با هدف گریز از اقدامات امنیتی موجود و عدم شناسایی، به دقت برنامه‌ریزی و طراحی می‌شود.

اجرای یک حمله APT نسبت به یک حمله‌ی عادی، نیازمند سطح بالاتری از سفارشی‌سازی و پیچیدگی است. مهاجمان معمولاً تیم‌هایی از مجرمان سایبری هستند که از لحاظ مالی به‌خوبی تأمین شده و سازمان‌های بسیار ارزشمند را هدف قرار می‌دهند. آن‌ها زمان و منابع زیادی را صرف تحقیق و شناسایی آسیب‌پذیری‌های امنیتی یک سازمان می‌کنند.

اهداف APTها یا تهدیدات پیشرفته و مستمردر چهار دسته‌ی کلی قرار می‌گیرد:

  • جاسوسی، شامل دزدی دارایی‌های فکری یا اسرار دولتی
  • جرایم الکترونیک برای سود مالی
  • هکتیویسم[۱]
  • تخریب

نحوه‌ی کار حمله‌ APT

برای پیشگیری، شناسایی و پاسخ به یک APT، باید ویژگی‌های آن را بشناسیم. اکثر APTها چرخه‌ی عمر یکسانی دارند که شامل نفوذ به یک شبکه، گسترش دسترسی و رسیدن به هدف حمله است؛ این هدف معمولاً دزدیدن داده از طریق استخراج آن از شبکه است.

نفوذ

در مرحله‌ی اول، APT از طریق یک ایمیل، شبکه، فایل یا آسیب‌پذیری برنامه کاربردی دسترسی پیدا می‌کند. یکی از نشانه‌های APT، ایمیل فیشینگ است که به‌طور انتخابی افراد سطح بالایی مانند مدیران اجرایی ارشد یا فناوری را، با استفاده از اطلاعات به‌دست آمده از دیگر اعضای تیم که دچار نقض امنیتی شده‌اند، مورد هدف قرار می‌دهد. حملات ایمیلی که افراد به‌خصوصی را هدف قرار می‌دهند، فیشینگ نیزه‌ای یا Spear-Phishing نام دارند.

ممکن است به نظر برسد که ایمیل از یکی از طرف یکی از اعضای تیم بوده و شامل ارجاعی به یک پروژه باشد. اگر چندین مدیر اجرایی گزارش دهند که فریب حملات فیشینگ نیزه‌ای را خورده‌اند، باید به دنبال نشانه‌های دیگری از APT گشت.

تشدید و حرکت جانبی[۲]

وقتی دسترسی اولیه به‌دست آمد، مهاجمان بدافزار را وارد شبکه‌ی سازمان می‌کنند تا وارد مرحله‌ی دوم یعنی گسترش شوند. آن‌ها به صورت جانبی حرکت می‌کنند تا شبکه را به خوبی شناسایی کرده و اطلاعات اعتباری مثلا حساب‌های کاربری و رمزهای عبور را بدست آورند تا به اطلاعات حیاتی کسب‌و‌کار دسترسی پیدا کنند.

همچنین ممکن است یک Backdoor ایجاد کنند، طرحی که به آن‌ها توانایی می‌دهد در آینده وارد شبکه شده و عملیات مخفی خود را به انجام برسانند. معمولاً نقاط ورودی بیشتری ایجاد می‌گردد تا از ادامه‌دار بودن حمله، در صورت کشف و بسته شدن یک نقطه‌ی دارای ضعف امنیتی، اطمینان حاصل شود.

استخراج

مجرمان سایبری جهت آماده‌سازی برای مرحله‌ی سوم، اطلاعات دزدیده شده را در محلی امن درون شبکه ذخیره می‌کنند تا وقتی‌که داده‌ها به میزان کافی جمع‌آوری گردد، سپس داده‌ها را بدون شناسایی استخراج می‌کنند. ممکن است برای پرت کردن حواس تیم امنیتی و مشغول کردن پرسنل شبکه، هنگام استخراج داده‌ها، از تاکتیک‌هایی مثل Denial-of-Service یا DoS استفاده شود. شبکه می‌تواند در حالت نقض امنیتی و در معرض خطر باقی بماند تا در هر زمانی سارقان برگردند.

ویژگی‌های یک حمله APT

ازآنجایی‌که مهاجمین APT از تکنیک‌های متفاوتی در مقایسه با هکرهای عادی استفاده می‌کنند، نشانه‌های متفاوتی را نیز از خود به جا می‌گذارند. علاوه بر کمپین‌های فیشینگ نیزه‌ای که رهبران سازمان‌ها را هدف قرار می‌دهند، نشانه‌های حمله‌ APT شامل موارد زیر است:

  • فعالیت غیرعادی در حساب‌های کاربران، مثل افزایش لاگین‌های سطح بالا در ساعات آخر شب
  • حضور گسترده‌تر Trojanهای Backdoor
  • بسته‌های غیرمنتظره یا غیرعادی داده که نشان‌دهنده جمع‌آوری داده‌ها، جهت آماده شدن برای استخراج است.
  • جریان‌های غیرعادی داده مثل موارد نامعمول در داده‌های خروجی یا افزایش ناگهانی یا غیرعادی در عملیات دیتابیس که شامل مقادیر زیادی از داده باشد.

مثال‌هایی از تهدیدات پیشرفته و مستمر

در حال حاضر بیش از ۱۵۰ مهاجم در دنیا شناسایی شده‌اند و شامل مهاجمین دولتی، مجرمان الکترونیک و هکتیویست‌ها هستند. سیستم نام‌گذاری مهاجمین نشان‌دهنده‌ی عامل مسئولی است که از حمایت دولت بهره می‌برد — «BEAR» به روسیه، «CHOLLIMA» به کره‌ی شمالی، «PANDA» به چین اشاره دارد. «SPIDER» برای جرایم الکترونیکی مورد استفاده قرار می‌گیرد که از حمایت دولت بهره‌مند نیست.

در ادامه مثال‌های قابل‌توجهی از APTهای شناسایی شده‌، مطرح می‌گردد:

FANCY BEAR

FANCY BEAR (APT28, Sofacy) از پیام‌های فیشینگ و وب‌سایت‌های Spoofشده که بسیار شبیه به وب‌سایت‌های حقیقی هستند استفاده می‌کند تا به رایانه‌های قدیمی و دستگاه‌های موبایل دسترسی پیدا کند. این مهاجم از روسیه که حداقل از سال ۲۰۰۸ به بعد عملیات انجام داده است، سازمان‌های سیاسی ایالات متحده، سازمان‌های نظامی اروپا و قربانیانی در بخش‌های مختلف جهان را هدف قرار داده است.

GOBLIN PANDA

GOBLIN PANDA (APT27) در ابتدا در سپتامبر ۲۰۱۳ مشاهده شد، هنگامی که نشانه‌های حمله یا IOAها در شبکه‌ی یک شرکت تکنولوژی، فعال در بخش‌های مختلف، کشف شد. این مهاجم که در چین قرار دارد از دو سند Microsoft Word در زمینه‌های مربوط به آموزش استفاده می‌کند تا در هنگام باز شدن سند، فایل‌های مخربی منتشر شود. اهداف این مهاجم معمولاً در بخش‌های دفاعی، انرژی و دولتی در جنوب‌شرق آسیا به‌خصوص ویتنام قرار دارند.

اهمیت سرعت در شناسایی تهدیدات پیشرفته و مستمر

امروز مهم‌ترین مفهوم در امنیت سایبری، سرعت است. برای اینکه افراد بتوانند از خود دفاع کنند، باید سریع‌تر از مهاجم باشند. در شرکت امن‌پردازان کویر (APK) با استفاده از زمان شکست[۳]، پیچیدگی عملیاتی یک عامل مخرب سنجیده شده و سرعت مورد نیاز برای پاسخگویی نیز ارزیابی می‌گردد.

زمان شکست یا Breakout Time به زمانی که یک مهاجم پس از پیدا کردن دسترسی نیاز دارد تا حرکت جانبی خود را درون یک شبکه شروع کند؛ گفته می‌شود. این زمان یکی از معیارهای حیاتی برای ردیابی سرعت عملیات مهاجمان و ارزیابی زمان شناسایی و پاسخ یک تیم امنیتی است.

برای اینکه با موفقیت جلوی یک نقض امنیتی گرفته شود، یک سازمان باید تهدیدات را با بیشترین سرعت ممکن شناسایی، بررسی و رفع کند. یکی از مدل‌های موجود برای اینکار، قانون ۱-۱۰-۶۰ نام دارد؛ بر مبنای این مدل یک نفوذ باید در عرض ۱ دقیقه شناسایی شود، در عرض ۱۰ دقیقه بررسی گردد و در عرض ۶۰ دقیقه کنترل و رفع گردد. این استاندارد باعث می‌شود که سرعت دفاع از سرعت مهاجمین بیشتر شود، اما برخی از مهاجمان ممکن است حتی سریع‌تر از این باشند.

در ادامه میانگین زمان شسکت عاملان تهدید اصلی امروز مطرح می‌شود:

عاملان تهدید میانگین زمان شکست
روسیه ۰۰:۱۸:۴۹
کره‌ شمالی ۰۲:۲۰:۱۴
چین ۰۴:۰۰:۲۶
جرم سایبری غیردولتی ۰۹:۴۲:۲۳

باید در نظر داشت که زمان شسکت برای جرایم سایبری غیر دولتی در تمام گروه‌ها، میانگین بوده و برخی از مهاجمان می‌توانند بسیار سریع‌تر از چیزی که میانگین نشان می‌دهد، عمل کنند. این میانگین‌ها به یک سازمان این توانایی را می‌دهد که زمان پاسخ خود را براساس نوع مهاجمانی که احتمال دارد با آن‌ها روبه‌رو ‌شود و با توجه به تمرکز کسب‌و‌کار یا تمرکز بخشی از مهاجمان خود، تنظیم کند. مثلاً اگر سازمان با یک مهاجم دولتی روس مواجه باشد، ممکن است یک نقض امنیتی اساسی زیر یک ساعت اتفاق بیفتد.

استفاده از یک راهکار EDR که به دنبال IOAها می‌گردد تا حملات را پیش از اینکه داده از دست رود شناسایی کند، ضروری است. شرکت امن‌پردازان کویر (APK) با در اختیار داشتن مجموعه‌‌ای از حرفه‌‌ای‌‌ترین مهندسان امنیت سایبری، و پیشرفته‌ترین تجهیزات امنیتی، آماده ارائه خدمات امنیتی مختلف، از جمله شناسایی تهدیدات پیشرفته و مستمر یا APT است. جهت کسب اطلاعات بیشتر در این زمینه می‌‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Hacktivism

[۲] Lateral Movement

[۳] Breakout Time

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.