Životní cyklus APT

Schéma, popisující životní cyklus představen přístup pokročilého přetrvávající hrozby (APT), který se opakuje jednou kompletní.

Herci za pokročilými perzistentními hrozbami vytvořit rostoucí a měnící se riziko pro finanční aktiva organizací, duševní vlastnictví, a reputaci pomocí následujících nepřetržitý proces:

Cílit na konkrétní organizace pouze jednotlivé cíle
Pokus získat oporu v životním prostředí (obyčejné taktiky patří spear phishing e-maily)
Použijte narušit systémy jako přístup do cílové sítě
Vynaložit dodatečné nástroje, které pomáhají plnit cíle útoku
Kryt dráhy zachovat přístup pro budoucí iniciativy
Globální krajina apts ze všech zdrojů se někdy označuje v jednotném čísle jako "the" APT, jako jsou odkazy na herce za konkrétního incidentu nebo série incidentů. V roce 2013, Mandiant představil výsledky svého výzkumu o údajných čínských útoků pomocí APT metodiky mezi lety 2004 a 2013, které následovalo podobný životní cyklus:

Počáteční kompromis - provádí pomocí sociálního inženýrství a kopí phishing , prostřednictvím e-mailu s použitím zero-day viry . Další populární způsob infekce byla výsadba malware na internetových stránkách, že zaměstnanci oběť bude pravděpodobně navštíví.
Zřídit oporu - provoz softwaru pro vzdálenou správu v síti oběti, vytvářet síťové zadní vrátka a tunely umožňují stealth přístup ke své infrastruktuře.
Eskalace oprávnění - pouze využije a prolomení hesla k získání oprávnění správce nad počítačem oběti a případně rozšířit ji na doméně Windows účty správce.
Vnitřní Reconnaissance - shromažďují informace o okolní infrastrukturu, vztahy důvěryhodnosti, domény systému Windows strukturu.
Přesunout Bočně - rozšířit ovládací prvek do jiných pracovních stanic, serverů a prvků infrastruktury a provádět sběr dat na nich.
Zachovat přítomnost - zajistit nepřetržité kontroly nad přístupovými kanály a přihlašovacích údajů získaných v předchozích krocích.
Kompletní Mission - exfiltrate ukradených dat ze sítě oběti.
V incidentů analyzoval Mandiant, průměrná doba, během kterého útočníci řízené sítě oběti byl jeden rok, s nejdelšími. - Téměř pět let.Tyto infiltrace byly údajně provedeny pomocí Shanghai-založené jednotky 61398 z Čínské lidové osvobozenecké armády . Čínští představitelé popřeli jakýkoliv podíl na těchto útoků.