Druhá fáze
Fáze 2: Discovery Jakmile jste uvnitř, útočník mapuje systémů subjektů a automaticky vyhledává důvěrných údajů, nebo v případě některých APTS, provozní pokyny a funkčnost. Objev může zahrnovat nechráněných dat a sítí, jakož i software a hardware zranitelnosti, exponované pověření a cesty na dodatečné zdroje nebo přístupovými body. Zde opět, kde většina cílené útoky jsou oportunistické, APT útoky jsou více metodické a jít do mimořádné délky, aby se zabránilo odhalení. • Více vektory -as s vpádem, APTS mají tendenci používat více objevné techniky v kombinaci. Jakmile malware je přítomen na hostiteli Systémy, další nástroje lze stáhnout podle potřeby za účelem zkoumání software, hardware a zranitelnosti sítě. • Běh tichý, břehy mele -Od Cílem APT má zůstat uvnitř organizace a sklizně informací v dlouhodobém horizontu, zjišťování procesy jsou navrženy tak, aby nedošlo k detekci za každou cenu. Hydraq (také známý jako útoky Aurora nebo Google) používá řadu mlžení techniky, aby sám o sobě skrývá obětem.
Konkrétně se používá špagety kód, technika používá k výrobě Analýza a detekce
malwaru obtížnější. • výzkum a analýzu úsilí -Discovery jsou doprovázeny
výzkumem a analýzou o zjištěných systémů a dat, včetně sítě topologie,
uživatelská jména, hesla a tak dále. Je-li detekován APT, první otázka zní: Jak
je to dlouho tam byl? Ne tak s typickou cíleného útoku; -li čísla účtu byly
odcizeny není těžké k dnešnímu dni porušení smlouvy a zhodnotit škody. S APTS,
ale to může být téměř nemožné určit ve chvíli, kdy k útoku došlo. Oběti mohou
muset prolézt log souborů nebo dokonce likvidovat zařízení, protože vpád a objev
fáze byly tak dobře skryta. Pokročilé přetrvávající ohrožení: společnosti
Symantec V některých případech může být docela snadné najít APT kill-řetězce.
Ale zdání může klamat. Zřejmý kill-řetězce mohou být úmyslně zahájena rozptýlit
oběť, zatímco pachatelé postupovat nepozorovaně jejich skutečným cílům.
Vyzbrojeni pracovní účty, a uživatel-listy, a další veřejné informace o vaší
firmě / životní prostředí, budou plavidla cílený e-maily o klíčové hráče ve vaší
organizaci.
Tyto zprávy budou obsahovat škodlivý buď jako náklad, nebo
obsahují odkazy na stránky, které bude kompromisem čtenáře a nainstalovat
vzdálený přístup--nástroj v systému (flag.)
Velení a řízení metodou
používanou těchto nástrojů bude směs nových a staré školy. Očekávejte něco jako
chytrá zakódované DNS provoz na něco tak jednoduchého
jako reverzní telnet
vysolit na ohrožena poskytovatele hostingu. Toto je místo, kde budete muset být
kreativní a přizpůsobit to na něco, co by ve vašem prostředí.
Je to také
příležitost vrhnout nějaké světlo na všechny bezpečnostní díry, do očí bijící,
že jste si vědomi a chtějí vyššího managementu, aby pomohli s
(např.
nedostatek odchozí filtrování, nebo široký otevřený proxy server politiky.)
Heist
V tomto bodě, útočníci jsou v pozici, na výzkum, kde jsou vaše klíčové
dokumenty v držení, a jak se chytit. Jakmile mají vnitřní systém pod jejich
kontrolou,
a je to jen otázka času, než oni jeden mít heslo správce nebo
schopnost podporovat účet (vlajka - jste varování o tom, kdy účty
překlasifikovat nebo,
pokud je správce přihlášení přímo systémů?) na
oprávnění správce. Oni budou pohybovat od stroje ke stroji hledá pro jejich
konečné cíle (flag.)
Jednou našel, to půjde ven přes stávající velení a
řízení kanály (tj. nástroj pro vzdálený přístup nebo HTTP ovládací panel), nebo
přímo z e-mailem.