Что такое APT-атака (Advanced Persistent Threat) и как ее остановить?

Опубликовано:

Передовая постоянная угроза (APT) - одна из самых опасных киберугроз, с которыми может столкнуться компания. Эти атаки трудно обнаружить, и они позволяют злоумышленнику скрываться в сети в течение нескольких месяцев. Пока хакеры остаются в системе, компания терпит регулярные потери данных и сбои в работе, не зная причины проблем.

Эта статья представляет собой введение в APT-атаки. Мы объясним, что такое APT, научим, как распознать признаки заражения, и покажем способы подготовки к этому типу атак.

Что такое атака APT?

Передовая постоянная угроза (APT) - это кибератака, при которой злоумышленник получает и сохраняет долгосрочное присутствие в сети. Последствия атаки APT обширны и включают в себя:

  • Потеря данных и интеллектуальной собственности.
  • Саботаж инфраструктуры.
  • Перерыв в обслуживании.
  • Полный захват сайта.

APT - это многоступенчатые атаки, которые создаются за несколько недель и длятся месяцами или даже годами. APT отличается от обычных кибератак по четырем важнейшим параметрам:

  • APT сложнее, чем обычные онлайн-угрозы. Для проведения атак требуются команды, работающие полный рабочий день, чтобы обеспечить скрытое присутствие в целевой сети.
  • APT не являются атаками типа "бей и беги". Как только хакеры получают доступ к сети, их цель - оставаться в ней как можно дольше.
  • APT - это в основном ручная атака, не опирающаяся на автоматизацию.
  • APT не представляют угрозы для большого числа целей. Атаки направлены на конкретную компанию, поэтому для каждого взлома разрабатывается индивидуальный план, который подходит только для защиты цели.

Атака APT требует больших усилий и ресурсов. Хакеры обычно охотятся за дорогостоящими целями, такими как предприятия и корпорации. Однако злоумышленники APT часто нападают на небольшие фирмы, входящие в цепочку поставок крупных организаций.

Хакеры используют менее защищенные компании в качестве точки входа, поэтому предприятия любого размера должны знать, как распознать атаку APT.

Какова основная цель атаки APT?

Цель APT-атаки - проникнуть в сеть, не вызывая тревоги в системе, и провести внутри достаточно времени, чтобы украсть данные. Все ценные данные являются потенциальной целью APT, включая:

  • Интеллектуальная собственность.
  • Персонально идентифицируемая информация пользователя.
  • Засекреченные данные.
  • Данные инфраструктуры.
  • Учетные данные доступа.
  • Чувствительные коммуникации.

Помимо кражи данных, целью APT может быть саботаж инфраструктуры, разрушение отдельных систем или захват сайта. Каждая атака имеет свою уникальную цель, но цель всегда представляет собой сочетание утечки данных, шпионажа и саботажа.

Обнаружение атак APT: Каковы признаки атаки APT?

Хакеры APT используют передовые методы для сокрытия своей деятельности, но определенные системные аномалии могут указывать на то, что атака продолжается.

Неожиданные логины

Украденные учетные данные для входа в систему - один из основных способов получения доступа к сети злоумышленниками APT. Частые входы на серверы в неурочное время могут указывать на продолжающуюся атаку APT. Хакеры могут работать в другом часовом поясе или действовать ночью, чтобы снизить вероятность обнаружения.
Увеличение количества троянских программ-бэкдоров

Если инструменты обнаруживают больше бэкдор-троянов, чем обычно, причиной может быть APT-атака. APT-злоумышленники используют троянские программы-бэкдоры для обеспечения постоянного доступа в случае изменения учетных данных.

Фишинговые письма

Фишинговые письма - явный признак потенциальной APT. Хакеры могут отправлять такие письма сотрудникам высшего руководства в надежде получить доступ к закрытым данным.

Пакеты данных

Злоумышленники APT часто копируют и хранят данные, которые они хотят украсть, в другом месте сети. Когда файлы изолированы и собраны в пакет, их легче переправить.

Злоумышленники размещают пакеты в местах, где команда обычно не хранит данные. Регулярно сканируйте и проверяйте любые неправильно размещенные или необычные файлы данных.

Странная активность базы данных

Странная активность базы данных может быть индикатором APT. Обратите внимание на внезапное увеличение количества операций с базами данных, связанных с огромными объемами данных.

Подозрительное поведение учетных записей администраторов

Обращайте внимание на любые изменения в поведении учетных записей администраторов. Хакеры APT полагаются на права администратора, чтобы перемещаться по сети и заражать большие поверхности. Создание новых учетных записей со странными родителями также является признаком потенциальной APT.

Жизненный цикл атаки APT: 4 этапа атаки APT

Атака APT включает в себя несколько этапов и различные методы атаки. Типичная атака состоит из четырех этапов: планирование, проникновение, расширение и выполнение.

Этап 1: планирование

Каждый APT-проект требует разработки индивидуального плана по преодолению систем защиты объекта. На этапе планирования хакеры должны выполнить следующие шаги:

  • Определить объект и цель операции.
  • Определить необходимые навыки и нанять членов команды.
  • Найти (или создать) подходящие инструменты для работы.
  • Изучите архитектуру объекта, средства контроля доступа и все аппаратные и программные решения.
  • Определите, как лучше всего спланировать атаку.

Собрав всю информацию, злоумышленники развертывают небольшую версию программного обеспечения. Эта разведывательная программа помогает проверить сигналы тревоги и выявить слабые места системы.

Этап 2: проникновение

Атакующий получает доступ к сети. Проникновение обычно происходит через одну из трех поверхностей атаки:

  • Веб-активы.
  • Сетевые ресурсы.
  • Авторизованные пользователи.

Для получения первоначального доступа хакеры APT используют различные методы атаки, включая:

  • Расширенное использование уязвимостей "нулевого дня".
  • Методы социальной инженерии.
  • Целенаправленный фишинг (spear phishing).
  • Удаленное включение файлов (RFI).
  • RFI или SQL-инъекции.
  • Межсайтовый скриптинг (XSS).
  • Физическое заражение вредоносным ПО.
  • Использование слабых мест в приложениях (особенно ошибок нулевого дня).
  • Туннелирование системы доменных имен (DNS).

Распространенной тактикой при проникновении является одновременная DDoS-атака. DDoS отвлекает персонал и ослабляет периметр, облегчая проникновение в сеть.

Получив первоначальный доступ, злоумышленники быстро устанавливают вредоносное ПО backdoor, которое предоставляет доступ к сети и позволяет выполнять удаленные операции.

Этап 3: Расширение

После того как злоумышленники закрепились в сети, они расширяют свое присутствие в ней. Расширение включает в себя продвижение по иерархии пользователей и компрометацию сотрудников, имеющих доступ к ценным данным. Атаки грубой силы являются обычной тактикой на этом этапе.

Вредоносное ПО играет важную роль в APT, поскольку позволяет хакерам сохранять доступ без обнаружения. Вредоносное ПО помогает злоумышленнику:

  • Скрываться от системного контроля.
  • Перемещаться между сегментами сети.
  • Собирать конфиденциальные данные.
  • Следить за сетевой активностью.
  • Обнаруживать новые точки входа, если существующие становятся недоступными.

На этом этапе злоумышленник получает надежный и долгосрочный доступ к сети. Средства контроля безопасности не подозревают об опасности, и злоумышленник может приступить к выполнению цели атаки. Если целью является кража данных, злоумышленники хранят информацию в пакетах и прячут их в той части сети, где трафик практически отсутствует.

Этап 4: Исполнение

Собрав достаточно данных, воры пытаются извлечь информацию. Типичной тактикой извлечения информации является использование белого шума, чтобы отвлечь команду безопасности. Передача данных происходит, пока персонал сети и защитные системы заняты.

Команды APT обычно пытаются завершить извлечение информации, не выдавая своего присутствия. Злоумышленники часто оставляют черный ход после выхода из системы с целью повторного доступа к системе в будущем.

Если цель APT-атаки - саботаж системы, фаза выполнения действует по-другому. Хакеры незаметно получают контроль над критическими функциями и манипулируют ими, чтобы нанести ущерб. Например, злоумышленники могут уничтожить целые базы данных, а затем нарушить связь, чтобы предотвратить аварийное восстановление.

Опять же, цель состоит в том, чтобы нанести ущерб так, чтобы служба безопасности не узнала о злоумышленниках. Такой скрытный подход позволяет проводить повторные атаки.

Как предотвратить атаку APT

Стандартные меры безопасности, такие как антивирусные программы, не могут эффективно защитить компанию от атак APT. Обнаружение и защита от APT требуют различных тактик защиты и сотрудничества между сетевыми администраторами, группами безопасности и всеми пользователями.

Мониторинг трафика

Мониторинг трафика очень важен для:

  • Предотвращения установки бэкдоров.
  • Блокирования извлечения украденных данных.
  • Выявления подозрительных пользователей.

Изучение трафика внутри и вне периметра сети помогает обнаружить любое необычное поведение. Брандмауэр веб-приложений (WAF) на границе сети должен фильтровать весь трафик к серверам. WAF предотвращает атаки на уровне приложений, такие как RFI и SQL-инъекции - две распространенные атаки на этапе проникновения APT.

Мониторинг внутреннего трафика также крайне важен. Сетевые брандмауэры обеспечивают обзор взаимодействия пользователей и помогают выявить нерегулярные входы в систему или странные передачи данных. Внутренний мониторинг также позволяет предприятию следить за файловыми ресурсами и системными "медовыми точками", обнаруживая и удаляя бэкдоры.

Белые списки доменов и приложений

Белые списки - это метод контроля над тем, какие домены и приложения доступны из сети. Белые списки снижают уровень успешности APT за счет минимизации количества поверхностей для атак.

Чтобы "белые списки" работали, команда должна тщательно выбирать допустимые домены и приложения. Строгие политики обновления также необходимы, так как вы должны убедиться, что пользователи всегда используют последние версии всех приложений.

Установите строгий контроль доступа

Сотрудники, как правило, являются наиболее уязвимым местом в периметре безопасности. Злоумышленники APT часто пытаются превратить сотрудников в легкий шлюз для обхода защитных систем.

Лучшим методом защиты предприятия от злоумышленников-инсайдеров является политика Zero Trust. Безопасность Zero Trust ограничивает уровни доступа каждой учетной записи, предоставляя доступ только к тем ресурсам, которые необходимы пользователю для выполнения работы.

В среде Zero Trust взломанная учетная запись ограничивает возможность злоумышленника перемещаться по сети.

Еще одной полезной мерой безопасности является использование двухфакторной аутентификации (2FA). 2FA требует от пользователей предоставления второй формы проверки при доступе к чувствительным областям сети. Дополнительный уровень безопасности на каждом ресурсе замедляет перемещение злоумышленников по системе.

Следите за обновлением безопасности

Постоянное обновление жизненно важно для предотвращения атак APT. Обеспечение сетевого программного обеспечения последними обновлениями безопасности снижает вероятность появления слабых мест и проблем совместимости.

Предотвращение попыток фишинга

Фишинг-мошенничество - обычная точка входа для атаки APT. Обучите сотрудников распознавать попытки фишинга и расскажите им, что делать, если они столкнулись с такой попыткой.

Фильтрация электронной почты помогает предотвратить успех фишинговых атак. Фильтрация и блокировка вредоносных ссылок или вложений в электронных письмах останавливает попытки проникновения.

Регулярно выполняйте сканирование на наличие бэкдоров

Хакеры APT оставляют бэкдоры в сети после получения незаконного доступа. Сканирование и удаление бэкдоров является эффективным методом остановки текущих и предотвращения будущих попыток APT.

Эксперты рекомендуют искать:

  • Командные оболочки (WMI, CMD и PowerShell), которые устанавливают сетевые соединения.
  • Инструменты удаленного администрирования сервера или сети на системах, не являющихся администраторами.
  • Документы Microsoft Office, Flash или инциденты Java, которые вызывают новые процессы или порождают командные оболочки.

Не забывайте проверять конечные устройства на наличие бэкдоров и других вредоносных программ. Атаки APT часто связаны с захватом конечного устройства, поэтому обнаружение и реагирование на компрометацию является приоритетной задачей.

Знайте о серьезности APT и будьте готовы к атаке

Последствия атаки APT могут быть очень серьезными. Потеря данных и репутации практически гарантированы, поэтому сделайте все возможное, чтобы предотвратить атаку. К счастью, теперь вы знаете, что такое APT и как ее распознать, поэтому вы готовы к усилению и защите своих рабочих нагрузок.

Узнайте о кибернетической цепи поражения, которая поможет вам понять и предсказать различные стадии кибератаки. Знание того, как работают хакеры, позволяет компании выбрать правильные инструменты и стратегии для ограничения брешей, реагирования на готовящиеся атаки и минимизации рисков.

Смотрите также:
Понравилась статья? Поделиться с друзьями:
Добавить комментарий