Einführung in Advanced Persistent Threats (APT)

Bei Advanced Persistent Threats handelt es sich um gezielte Angriffe, bei denen es sich um langfristige Vorgänge handelt, die von seinen Erstellern (Hackern) ausgeführt werden, indem die Angriffsnutzlast mithilfe ausgefeilter Methoden (dh unter Umgehung traditioneller Endpoint Protection-Lösungen) bereitgestellt wird, ohne dass die beabsichtigten Aktionen (wie z. B. Datenraub) heimlich ausgeführt werden erkannt werden.
In der Regel wird das Ziel solcher Angriffe sehr sorgfältig ausgewählt und zunächst eine sorgfältige Aufklärung durchgeführt. Das Ziel solcher Angriffe sind in der Regel große Unternehmen, staatliche Organisationen, die oftmals zwischenstaatliche Konkurrenten schaffen und solche Angriffe aufeinander auslösen und hochsensible Informationen abbauen.

Einige Beispiele für fortgeschrittene dauerhafte Bedrohungen sind:

  • Titan Regen (2003)
  • GhostNet (2009) -Stuxnet (2010), das das iranische Atomprogramm fast zum Erliegen gebracht hätte
  • Hydra
  • Tiefer Panda (2015)

Die Merkmale und das Fortschreiten fortgeschrittener persistenter Bedrohungen

Die APT unterscheiden sich in vielerlei Hinsicht von herkömmlichen Bedrohungen:

  • Sie verwenden ausgeklügelte und komplexe Methoden, um in das Netzwerk einzudringen.
  • Sie bleiben viel länger unentdeckt, während eine herkömmliche Bedrohung möglicherweise nur im Netzwerk oder auf der Ebene des Endpoint-Schutzes erkannt wird oder selbst dann, wenn sie Glück haben und Endpoint-Lösungen passieren, eine regelmäßige Schwachstellenkontrolle und kontinuierliche Überwachung die Bedrohung erfasst Bedrohung, während die fortschreitenden andauernden Bedrohungen einfach alle Sicherheitsebenen passieren und sich schließlich auf den Weg zu den Hosts machen. Sie bleiben dort für einen längeren Zeitraum und führen ihre Operation aus.
  • Die APTs sind gezielte Angriffe, während herkömmliche Angriffe möglicherweise nicht zielgerichtet sind.
  • Sie zielen auch darauf ab, das gesamte Netzwerk zu infiltrieren.

Fortschreiten fortgeschrittener persistenter Bedrohungen

  1. Auswählen und Definieren eines Ziels - Ein Ziel sollte definiert werden, dh welche Organisation das Opfer eines Angreifers sein soll. Dazu sammelt der Angreifer zunächst möglichst viele Informationen über Footprinting und Aufklärung.
  2. Finden und Organisieren von Komplizenschaften - Die APT umfasst fortschrittliche, hoch entwickelte Techniken, die zum Angreifen verwendet werden. In den meisten Fällen ist der Angreifer hinter ATP nicht allein. Die zweite wäre also, den „Partner in Crime“ zu finden, der über diese Fähigkeiten verfügt, um ausgefeilte Techniken für die Durchführung von APT-Angriffen zu entwickeln.
  3. Gebühren erheben und / oder erheben - Um die APT-Angriffe auszuführen, müssen die richtigen Tools ausgewählt werden. Die Tools können auch zum Erstellen eines APT erstellt werden.
  4. Aufklärung und Informationsbeschaffung - Vor dem Ausführen eines APT-Angriffs versucht der Angreifer, so viele Informationen wie möglich zu sammeln, um einen Entwurf des vorhandenen IT-Systems zu erstellen. Das Beispiel für das Sammeln von Informationen könnte die Topologie des Netzwerks, DNS- und DHCP-Server, DMZ (Zonen), interne IP-Bereiche, Webserver usw. sein. Es ist zu beachten, dass das Definieren eines Ziels angesichts der Größe eine Weile dauern kann einer Organisation. Je größer ein Unternehmen ist, desto länger dauert die Erstellung eines Entwurfs.
  5. Auf Erkennung testen - In dieser Phase suchen wir nach Schwachstellen und versuchen, eine kleinere Version der Aufklärungssoftware bereitzustellen.
  6. Einstiegs- und Bereitstellungspunkt - Hier kommt der Tag, an dem die gesamte Suite über einen Einstiegspunkt bereitgestellt wird, der nach sorgfältiger Prüfung unter vielen anderen Schwachstellen ausgewählt wurde.
  7. Anfängliches Eindringen - Jetzt befindet sich der Angreifer endlich im Zielnetzwerk. Von hier aus muss er entscheiden, wohin er gehen und das erste Ziel finden soll.
  8. Ausgehende Verbindung initiiert - Sobald der APT zum Ziel wechselt, setzt er sich selbst und versucht, einen Tunnel zu erstellen, durch den die Datenexfiltration stattfindet.
  9. Erweiterung der Suche nach Zugriff und Anmeldeinformationen - In dieser Phase versucht der APT, sich im Netzwerk zu verbreiten und versucht, so viel Zugriff wie möglich zu erhalten, ohne dass dies erkannt wird.
  10. Standbein stärken - Hier versuchen wir, nach weiteren Schwachstellen zu suchen und diese auszunutzen. Auf diese Weise erhöht ein Hacker die Wahrscheinlichkeit, Zugriff auf andere Standorte mit erhöhtem Zugriff zu erhalten. Hacker erhöhen auch die Chance, mehr Zombies zu gründen. Ein Zombie ist ein Computer im Internet, der von einem Hacker kompromittiert wurde.
  11. Datenexfiltration - Dies ist der Prozess des Sendens der Daten an die Basis des Hackers. Hacker versucht im Allgemeinen, die Ressourcen des Unternehmens zu verwenden, um die Daten zu verschlüsseln und sie dann an ihre Basis zu senden. Oft lenken die Hacker das Sicherheitsteam durch Lärm ab, sodass die vertraulichen Informationen unerkannt herausgeschoben werden können.
  12. Spuren verbergen und unentdeckt bleiben - Die Hacker stellen sicher, dass alle Spuren während des Angriffs und nach dem Verlassen gelöscht werden . Sie versuchen, so verstohlen wie möglich zu bleiben.

Apt-Angriffe erkennen und verhindern

Lassen Sie uns zuerst versuchen, die vorbeugenden Maßnahmen zu sehen:

  • Sensibilisierung und erforderliche Sicherheitsschulung - Die Organisationen sind sich bewusst, dass die meisten Sicherheitsverletzungen, die heutzutage auftreten, darauf zurückzuführen sind, dass Benutzer etwas unternommen haben, was nicht hätten getan werden dürfen, möglicherweise gelockt wurden oder nicht der richtigen Sicherheit gefolgt sind B. das Herunterladen von Software von schlechten Websites, der Besuch von Websites mit böswilliger Absicht, das Opfer von Phishing und vielem mehr! Daher sollte eine Organisation weiterhin Sicherheitsbewusstseinssitzungen durchführen und ihre Mitarbeiter über die Arbeit in einer gesicherten Umgebung sowie die Risiken und Auswirkungen von Sicherheitsverletzungen informieren.
  • Zugriffskontrollen (NAC und IAM) - Die NAC- oder Netzwerkzugriffskontrollen verfügen über eine Vielzahl von Zugriffsrichtlinien, die zum Blockieren der Angriffe implementiert werden können. Dies liegt daran, dass ein Gerät, das eine der Sicherheitsüberprüfungen nicht besteht, von NAC blockiert wird. Das Identitäts- und Zugriffsmanagement (IAM) kann dazu beitragen, dass die Hacker, die versuchen, unser Passwort zu stehlen, das Passwort knacken.
  • Penetrationstests - Dies ist eine hervorragende Möglichkeit, Ihr Netzwerk gegen Penetration zu testen. Hier werden die Menschen der Organisation selbst zu Hackern, die oft als ethische Hacker bezeichnet werden. Sie müssen wie ein Hacker denken, um in das Unternehmensnetzwerk einzudringen, und das tun sie auch! Dadurch werden die vorhandenen Steuerelemente und Schwachstellen verfügbar gemacht. Basierend auf der Gefährdung legt die Organisation die erforderlichen Sicherheitskontrollen fest.
  • Administrative Kontrollen - Die administrativen und Sicherheitskontrollen sollten intakt sein. Dies beinhaltet das regelmäßige Patchen von Systemen und Software mit Intrusion Detection-Systemen und Firewalls. Das öffentlich zugängliche IPS der Organisation (wie Proxy, Webserver) sollte in der DMZ (Demilitarized Zone) abgelegt werden, damit es vom internen Netzwerk getrennt ist. Auf diese Weise kann ein Hacker, auch wenn er die Kontrolle über einen Server in der DMZ erlangt, nicht auf interne Server zugreifen, da diese auf der anderen Seite liegen und Teil des separaten Netzwerks sind.

Nun werden wir über Detective Measures sprechen

  • Netzwerküberwachung - Command and Control Center (C & C) sind die Flügel für Advanced Persistent Threats, mit denen Nutzdaten und vertrauliche Daten ein- und ausgeführt werden können. Der infizierte Host verlässt sich bei der Ausführung der nächsten Aktionsserie auf das Befehls- und Kontrollzentrum und kommuniziert im Allgemeinen regelmäßig. Wenn wir also versuchen, die Programme, Domänennamenabfragen, die in regelmäßigen Abständen auftreten, zu erkennen, ist es sinnvoll, diese Fälle zu untersuchen.
  • Benutzerverhaltensanalyse - Hierbei werden künstliche Intelligenz und Lösungen eingesetzt, die die Aktivität des Benutzers im Auge behalten. Die Erwartung ist, dass die Lösung in der Lage sein sollte, Anomalien bei Aktivitäten zu erkennen, die ein Host ausführt.
  • Einsatz von Täuschungstechnologie - Dies ist ein doppelter Vorteil für die Organisation. Zunächst werden die Angreifer angelockt, Server und andere Ressourcen zu fälschen, um so die ursprünglichen Vermögenswerte einer Organisation zu schützen. Jetzt verwendet die Organisation auch diese gefälschten Server, um die Methoden zu lernen, die Angreifer anwenden, während sie die Organisation angreifen, und um ihre Cyber-Kill-Kette zu lernen.

Reparatur und Reaktion

Wir müssen auch die Reaktions- und Reparaturverfahren kennenlernen, wenn Advanced Persistent Threats (APT) -Angriffe auftreten. Zunächst könnte APT in der Anfangsphase stecken bleiben, wenn wir die richtigen Tools und Technologien einsetzen, und in der Anfangsphase werden die Auswirkungen viel geringer ausfallen, da das Hauptmotiv von APT darin besteht, länger zu bleiben und unentdeckt zu bleiben. Sobald dies erkannt wurde, sollten wir versuchen, möglichst viele Informationen aus den Sicherheitsprotokollen, der Forensik und anderen Tools abzurufen. Das infizierte System muss neu abgebildet werden und es sollte sichergestellt werden, dass keine Bedrohung von allen infizierten Systemen und Netzwerken entfernt wird. Anschließend sollte die Organisation alle Systeme gründlich überprüfen, um festzustellen, ob mehr Stellen erreicht wurden. Die Sicherheitskontrolle sollte dann geändert werden, um solche oder ähnliche Angriffe zu verhindern, die in Zukunft auftreten könnten.
Wenn die Advanced Persistent Threats (APT) Tage vergangen sind und erst viel später erkannt wurden, sollten die Systeme sofort offline geschaltet und von allen Arten von Netzwerken getrennt werden. Alle betroffenen Dateidienste müssen ebenfalls überprüft werden . Dann sollte ein vollständiges Reimaging der betroffenen Hosts durchgeführt werden, und es sollte eine gründliche Analyse durchgeführt werden, um die nachfolgende Cyber-Kill-Kette aufzudecken. Das CIRT (Cyber ​​Incident Response Team) und Cyber ​​Forensics sollten beauftragt werden, alle aufgetretenen Datenverletzungen zu beheben.

Fazit

In diesem Artikel haben wir gesehen, wie ein APT-Angriff funktioniert und wie wir solche Bedrohungen verhindern, erkennen und darauf reagieren können. Man sollte sich eine grundlegende Vorstellung über eine typische Cyber-Kill-Kette machen, die hinter APT-Angriffen steckt. Hoffe dir hat das Tutorial gefallen.

Empfohlene Artikel

Dies ist eine Anleitung zu Advanced Persistent Threats (APT). Hier diskutieren wir die Einführung und die Eigenschaften und das Fortschreiten von fortgeschrittenen persistenten Bedrohungen, die Erkennung und Verhinderung von APT-Angriffen. Sie können auch unsere anderen Artikelvorschläge durchgehen, um mehr zu erfahren.

  1. Was ist WebSocket?
  2. Sicherheit von Webanwendungen
  3. Cyber-Sicherheitsherausforderungen
  4. Arten von Web-Hosting
  5. Firewall-Geräte

Kategorie:

Software-Entwicklung