Tištěný RM
Od výrobců a distributorů

Vzdejte se … nebo bojujte! – APT Fáze 2: Průzkum

Naše série pokračuje již čtvrtou částí na téma APT (Advanced Persistent Threats) pohledem společnosti Symantec. Jak si poradit s novým typem ohrožení přetrvávajícími pokročilými hrozbami? Dnes nás čeká Fáze 2: Průzkum.

TD SYNNEX

Fáze 2: Průzkum

Jakmile útočníci proniknou dovnitř, začnou mapovat systémy organizace a automaticky vyhledávat tajná data, nebo, jako v případě některých APT útoků, provozní pokyny a funkce. Průzkum může zahrnovat nechráněná data a sítě, stejně jako softwarové a hardwarové zranitelnosti, vystavená pověření a cesty k dalším zdrojům a přístupovým bodům. Zde opět platí, že zatímco většina cílených útoků probíhá oportunisticky, APT útoky jsou více metodické a mohou dosahovat mimořádné délky, aby se zabránilo jejich odhalení.

  • Kombinace technik – Podobně jako při průniku mají APT útoky snahu kombinovat současně i více průzkumných technik. Jakmile je na hostujícím systému přítomný malware, mohou být staženy další nástroje, potřebné k průzkumu softwarových, hardwarových a síťových zranitelností.
  • Nenápadně a hluboko – Jelikož je cílem APT zůstat uvnitř organizace a dlouhodobě sbírat informace, jsou průzkumné procesy navrženy tak, aby se za každou cenu vyhnuly odhalení. Hydraq (také známý jako Aurora nebo Google útoky), využíval několik obfuskačních technik, aby zůstal nepozorovaně uvnitř napadené organizace. Konkrétně využíval tzv. špagetový kód, techniku využívanou ke ztížení analýzy a detekce malwaru.
  • Výzkum a analýza – Průzkumné aktivity jsou provázeny výzkumem a analýzou nalezených systémů a dat, včetně topologie sítě, přihlašovacích jmen a hesel uživatelů atd.

    Jestliže je APT útok detekován, první otázka zní: Jak dlouho působil? V případě běžného cíleného útoku je to jinak. Jestliže byly odcizeny například čísla účtů, není těžké určit datum průniku a posoudit škody. Oproti tomu u APT útoků může být téměř nemožné zjistiti už jen to, kdy se útok vlastně odehrál. Oběti budou možná muset kompletně projít logovací soubory nebo dokonce zlikvidovat napadená zařízení, jelikož byly fáze průniku a průzkumu velmi dobře skryté.

    V některých případech může být řetězec APT útoku odhalen snadno. Ale zdání může klamat. Zřejmé stopy útoku mohou být vypuštěny záměrně, aby odvedly pozornost oběti, zatímco pachatelé nepozorovaně postupují ke svým skutečným cílům… … Pokračovaní v dalším díle

    Předcházející díly:

Díl 3: Vzdejte se ... nebo bojujte! - APT Fáze 1: Průnik naleznete zde: https://bit.ly/1NWq729

Díl 2: Vzdejte se ... nebo bojujte! - APT Fáze 0: Příprava na útok naleznete zde: https://bit.ly/1UpRDJi

Díl 1: Vzdejte se ... nebo bojujte! - Higlight APT naleznete zde: https://bit.ly/1eUS6mQ