Nebyli jste napadeni útokem APT?

24. 12. 2019

Sdílet

 Autor: Fotolia © alexskopje
Máte ve své síti cenná data? Všimli jste si zvláštního chování sítě? Mohli byste se stát obětí sofistikovaných skrytých ataků typu APT (Advanced Persistent Threat). Jak to poznáte?

Hackeři a malware používající útoky APT jsou rozšířenější a důmyslnější než v minulosti. APT využívají profesionální hackeři, kteří pracují buď pro svou vládu, nebo pro příslušného zadavatele v nějakému oboru.

Jejich prací je napadnout konkrétní firmy a cíle. Vykonávají akce podle zájmů svých sponzorů, což může zahrnovat přístup k důvěrným informacím, spuštění destruktivního kódu nebo umístění programů se skrytými zadními vrátky, které umožní budoucí vstup na vyžádání do cílové sítě nebo počítače.

APT hackeři jsou vysoce kvalifikovaní a mají obrovskou „provozní“ výhodu v tom, že nikdy nebudou zatčeni. Představte si, o kolik úspěšnější a vytrvalejší by mohli být jiní zloději, pokud by dostali stejnou záruku.

Přesto však nechtějí, aby si jejich aktivit  oběti hned všimly, protože by to komplikovalo jejich misi. Úspěšný útok APT se prolomí do sítí a počítačů, získá to, co potřebuje, a zmizí bez povšimnutí.

Preferuje se práce způsobem „pomalu a nenápadně“. Zločinci nechtějí vygenerovat spoustu podivně vypadajících auditovatelných událostí, chybových zpráv a dopravní zácpu ani způsobit přerušení služby.

Většina APT používá k vykonávání svých aktivit vlastní kód, ale pro svou špinavou práci upřednostňují, alespoň zpočátku, využití veřejně známých zranitelností.

Tímto způsobem, když dojde k rozpoznání jejich aktivit, je pro oběť obtížnější, aby si uvědomila, že jde o APT, a nikoli o běžný a méně závažný případ napadení hackerem nebo malwarem.

S ohledem na to si tedy položme otázku, jak rozpoznat něco, co se snaží zůstat nepovšimnuté?

 

Rozpoznávání APT

Protože APT hackeři používají jiné metody než běžní kyberzločinci, zanechávají za sebou i jiné stopy. Během posledních dvou desetiletí experti zjistili, že následujících pět příznaků nejspíše naznačuje, že vaše společnost byla útokem APT napadená.

Každý z nich by mohl být součástí legitimních činností v rámci fungování firmy, ale jejich neočekávaná povaha nebo objem činnosti mohou svědčit o existenci útoku APT.

 

1. Nárůst přihlášení s vyšším oprávněním v noci

Útoky APT rychle eskalují z kompromitace jednoho počítače k ​​ovládnutí více přístrojů nebo celého prostředí během několika hodin. Dosahují toho přečtením autentizační databáze, ukradením přihlašovacích údajů a jejich opětovným použitím.

Zjistí, které uživatelské účty nebo účty služeb mají vyšší oprávnění, a použijí tyto účty ke kompromitaci zařízení v prostředí. Často se začne vyskytovat větší počet přihlášení s vyšším oprávněním v noci, protože útočníci žijí na druhé straně světa.

Pokud náhle zaznamenáte vysoký počet přihlášení s vyšším oprávněním na více serverech nebo vysoce hodnotných jednotlivých počítačích, zatímco je legitimní pracovní tým doma, začněte se obávat.

 

2. Hodně trojských koní se zadními vrátky

APT hackeři často instalují v napadeném prostředí do kompromitovaných počítačů trojské koně se zadními vrátky. Snaží se tak zajistit, aby se mohli kdykoli vrátit i v případě, že by došlo ke změně zneužitých přihlašovacích údajů, když by oběť začala mít podezření.

Další příbuzný příznak: Při odhalení APT hackeři nezmizí jako běžní útočníci. Proč by měli? Získali nadvládu nad počítači ve vašem prostředí a není pravděpodobné, že je uvidíte u soudu.

V současné době jsou trojské koně nasazené prostřednictvím sociálního inženýrství způsobem, jak dochází k průniku do většiny společností. Jsou poměrně běžné v každém prostředí a při útoku APT se množí.

 

3. Neočekávané toky informací

Hledejte velké, neočekávané toky dat z interních počátečních bodů do jiných interních počítačů nebo do externích počítačů. Může jít o přenosy ze serveru na server, ze serveru na klienta, nebo mezi sítěmi.

Tyto toky dat mohou být také omezené, ale cílené – jako když si někdo vyzvedává e-maily z cizí země. Bylo by skvělé, kdyby každý e-mailový klient uměl ukázat, odkud se naposledy uživatel přihlásil k vyzvednutí e-mailu a odkud se k poslední zprávě přistupovalo. Gmail a některé další cloudové e-mailové systémy to už nabízejí.

Realizace je obtížnější, protože mnoho dnešních informačních toků se chrání připojením VPN, obvykle TLS přes HTTP (HTTPS). Ačkoli to bývalo vzácné, mnoho společností nyní blokuje nebo odposlouchává veškeré dříve nedefinované a neschválené HTTPS přenosy pomocí kontrolního průchodu vybaveného bezpečnostním zařízením.

Toto zařízení „rozbalí“ přenosy HTTPS tak, že je nahradí svým vlastním TLS a funguje jako prostředník, který oběma stranám komunikace předstírá, že je druhou stranou komunikace.

Rozbalí a kontroluje přenos a poté data znovu zašifruje před odesláním na původní komunikační cíle. Pokud něco takového neděláte, nemáte možnost zjistit probíhající přenosy kradených dat.

Samozřejmě platí, že pro možnost detekce případného útoku APT musíte vědět, jak vypadají vaše datové toky předtím, než by došlo ke kompromitaci vašeho prostředí. Začněte hned a zjistěte si základní vlastnosti vašeho prostředí.

 

4. Neočekávané balíky dat

Útoky APT často slučují ukradená data do interních sběrných míst, než je přesunou ven. Hledejte velké (gigabajty, nikoli megabajty) kusy dat, jež by se objevovaly na místech, kde by  neměla být, zvláště pokud jsou komprimovaná v archivních formátech, které vaše firma normálně nepoužívá.

 

5. Kampaně cíleného (spear) phishingu

Kdyby se měl označit jeden z nejlepších ukazatelů APT ataků, byly by to e-mailové kampaně cíleného phishingu zaměřené na zaměstnance společnosti, kteří používají soubory dokumentů (např. Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS nebo Microsoft Office PowerPoint PPT) obsahující spustitelný kód nebo škodlivé odkazy URL. To je totiž prvotní prostředek drtivé většiny útoků APT.

Nejdůležitějším příznakem je to, že phishingový e-mail útočníka se nezašle všem ve firmě, ale namísto toho jen vybraným cílům – jednotlivcům, jež ve firmě představují vysokou hodnotu (např. výkonný ředitel, finanční ředitel, ředitel zabezpečení informací, vedoucí projektů a technologičtí lídři), a to často s použitím informací, jež mohou znát jen útočníci, kteří již předtím zkompromitovali jiné členy týmu.

E-maily mohou být falešné, ale obsahují klíčová slova týkající se reálných interních, aktuálně probíhajících projektů a témat.

Namísto nějakého obecného phishingového tématu typu „Ahoj, přečti si tohle!“ obsahují něco velmi relevantního pro váš probíhající projekt a pocházejí od jiného člena projektového týmu.

Pokud jste někdy viděli nějaký z těchto velmi konkrétních cílených phishingových e-mailů, pravděpodobně vám začne běhat mráz po zádech, protože se budete ptát sami sebe, zda byste tomu sami nepodlehli. Jsou obvykle velmi dobré.Jestliže slyšíte o cíleném phishingovém útoku, zejména pokud několik manažerů ohlásilo, že byli svedeni ke kliknutí na přílohu v podobě souboru, začněte hledat ostatní čtyři příznaky. Může to být váš kanárek v uhelném dole.

Lze jen doufat, že nikdy nebudete muset čelit potřebě sanace po útoku APT. Je to jedna z nejtěžších věcí, kterou můžete vy a váš podnik zažít. Prevence a včasná detekce ale mohou vaše utrpení snížit.

bitcoin školení listopad 24

 

Tento příspěvek vyšel v Security Worldu 2/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.