APT -
Jak poznat APT útoky
Rozpoznávání APT
Protože APT hackeři používají jiné metody než běžní kyberzločinci, zanechávají za sebou i jiné stopy. Během posledních dvou desetiletí experti zjistili, že následujících pět příznaků nejspíše naznačuje, že vaše společnost byla útokem APT napadená.
Každý z nich by mohl být součástí legitimních činností v rámci fungování firmy, ale jejich neočekávaná povaha nebo objem činnosti mohou svědčit o existenci útoku APT.
1. Nárůst přihlášení s vyšším oprávněním v noci
Útoky APT rychle eskalují z kompromitace jednoho počítače k ovládnutí více přístrojů nebo celého prostředí během několika hodin. Dosahují toho přečtením autentizační databáze, ukradením přihlašovacích údajů a jejich opětovným použitím.
Zjistí, které uživatelské účty nebo účty služeb mají vyšší oprávnění, a použijí tyto účty ke kompromitaci zařízení v prostředí. Často se začne vyskytovat větší počet přihlášení s vyšším oprávněním v noci, protože útočníci žijí na druhé straně světa.
Pokud náhle zaznamenáte vysoký počet přihlášení s vyšším oprávněním na více serverech nebo vysoce hodnotných jednotlivých počítačích, zatímco je legitimní pracovní tým doma, začněte se obávat.
2. Hodně trojských koní se zadními vrátky
APT hackeři často instalují v napadeném prostředí do kompromitovaných počítačů trojské koně se zadními vrátky. Snaží se tak zajistit, aby se mohli kdykoli vrátit i v případě, že by došlo ke změně zneužitých přihlašovacích údajů, když by oběť začala mít podezření.
Další příbuzný příznak: Při odhalení APT hackeři nezmizí jako běžní útočníci. Proč by měli? Získali nadvládu nad počítači ve vašem prostředí a není pravděpodobné, že je uvidíte u soudu.
V současné době jsou trojské koně nasazené prostřednictvím sociálního inženýrství způsobem, jak dochází k průniku do většiny společností. Jsou poměrně běžné v každém prostředí a při útoku APT se množí.
3. Neočekávané toky informací
Hledejte velké, neočekávané toky dat z interních počátečních bodů do jiných interních počítačů nebo do externích počítačů. Může jít o přenosy ze serveru na server, ze serveru na klienta, nebo mezi sítěmi.
Tyto toky dat mohou být také omezené, ale cílené – jako když si někdo vyzvedává e-maily z cizí země. Bylo by skvělé, kdyby každý e-mailový klient uměl ukázat, odkud se naposledy uživatel přihlásil k vyzvednutí e-mailu a odkud se k poslední zprávě přistupovalo. Gmail a některé další cloudové e-mailové systémy to už nabízejí.
Realizace je obtížnější, protože mnoho dnešních informačních toků se chrání připojením VPN, obvykle TLS přes HTTP (HTTPS). Ačkoli to bývalo vzácné, mnoho společností nyní blokuje nebo odposlouchává veškeré dříve nedefinované a neschválené HTTPS přenosy pomocí kontrolního průchodu vybaveného bezpečnostním zařízením.
Toto zařízení „rozbalí“ přenosy HTTPS tak, že je nahradí svým vlastním TLS a funguje jako prostředník, který oběma stranám komunikace předstírá, že je druhou stranou komunikace.
Rozbalí a kontroluje přenos a poté data znovu zašifruje před odesláním na původní komunikační cíle. Pokud něco takového neděláte, nemáte možnost zjistit probíhající přenosy kradených dat.
Samozřejmě platí, že pro možnost detekce případného útoku APT musíte vědět, jak vypadají vaše datové toky předtím, než by došlo ke kompromitaci vašeho prostředí. Začněte hned a zjistěte si základní vlastnosti vašeho prostředí.
4. Neočekávané balíky dat
Útoky APT často slučují ukradená data do interních sběrných míst, než je přesunou ven. Hledejte velké (gigabajty, nikoli megabajty) kusy dat, jež by se objevovaly na místech, kde by neměla být, zvláště pokud jsou komprimovaná v archivních formátech, které vaše firma normálně nepoužívá.
5. Kampaně cíleného (spear) phishingu
Kdyby se měl označit jeden z nejlepších ukazatelů APT ataků, byly by to e-mailové kampaně cíleného phishingu zaměřené na zaměstnance společnosti, kteří používají soubory dokumentů (např. Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS nebo Microsoft Office PowerPoint PPT) obsahující spustitelný kód nebo škodlivé odkazy URL. To je totiž prvotní prostředek drtivé většiny útoků APT.
Nejdůležitějším příznakem je to, že phishingový e-mail útočníka se nezašle všem ve firmě, ale namísto toho jen vybraným cílům – jednotlivcům, jež ve firmě představují vysokou hodnotu (např. výkonný ředitel, finanční ředitel, ředitel zabezpečení informací, vedoucí projektů a technologičtí lídři), a to často s použitím informací, jež mohou znát jen útočníci, kteří již předtím zkompromitovali jiné členy týmu.
E-maily mohou být falešné, ale obsahují klíčová slova týkající se reálných interních, aktuálně probíhajících projektů a témat.
Namísto nějakého obecného phishingového tématu typu „Ahoj, přečti si tohle!“ obsahují něco velmi relevantního pro váš probíhající projekt a pocházejí od jiného člena projektového týmu.
Pokud jste někdy viděli nějaký z těchto velmi konkrétních cílených phishingových e-mailů, pravděpodobně vám začne běhat mráz po zádech, protože se budete ptát sami sebe, zda byste tomu sami nepodlehli. Jsou obvykle velmi dobré.Jestliže slyšíte o cíleném phishingovém útoku, zejména pokud několik manažerů ohlásilo, že byli svedeni ke kliknutí na přílohu v podobě souboru, začněte hledat ostatní čtyři příznaky. Může to být váš kanárek v uhelném dole.
Lze jen doufat, že nikdy nebudete muset čelit potřebě sanace po útoku APT. Je to jedna z nejtěžších věcí, kterou můžete vy a váš podnik zažít. Prevence a včasná detekce ale mohou vaše utrpení snížit.