Vzdejte se… nebo bojujte! – APT Fáze 4: Exfiltrace

V naší sérii na téma APT (Advanced Persistent Threats) pohledem společnosti Symantec se dostáváme k Fázi 4: Exfiltraci.

TD SYNNEX

26. 10. 2015
2 min
TD SYNNEX

Fáze 4: Exfiltrace

Jakmile útočníci získají kontrolu nad cílenými systémy, mohou pokračovat v krádeži intelektuálního vlastnictví nebo dalších důvěrných dat.

Přenos dat – Podle řídicích a ovládacích signálů mohu být získaná data odesílána zpět na základnu útočníků, buďto v čisté podobě (například prostřednictvím webmailu), nebo zabalená do zašifrovaných balíčků či zkomprimovaných souborů chráněných heslem. Hydraq využíval pro odesílání odcizených informací zpět na základnu několik nových technik. Jednou z nich bylo využití portu 443 jako primárního kanálu pro upload odcizených dat. Také vytvořil spojení, které se podobalo dialogu pro výměnu SSL klíčů, ovšem nevedlo k plnému sestavení SSL kanálu. A konečně, využíval i privátní šifry k zašifrování obsahu, který opouštěl napadenou organizaci.
Důkladná analýza – Zatímco odcizená čísla kreditních karet z cíleného úroku jsou rychle připravena k prodeji, informace získané při APT útoku jsou často dlouho analyzovány, zdali mohou sloužit jako vodítko ke strategickým příležitostem. Tato data mohou být předmětem manuální analýzy experty, snažícími se získat obchodní tajemství, předvídat kroky konkurence a plánovat odpovídající protiakce.

Co dělat?

Povyk kolem APT útoků zakrývá jejich skutečnou podstatu – tyto hrozby jsou ve skutečnosti jen speciálním případem z mnohem širší kategorie útoků, cílených na specifické organizace všech typů. Pokud se bude APT mezi hrozbami i nadále vyskytovat – a není důvod se domnívat, že tomu tak nebude – budeme se se stejnými technikami setkávat i u dalších kyberzločinců. Skutečnost, že jsou APT útoky často zaměřeny na odcizení intelektuálního vlastnictví, navíc znamená, že kyberzločinci mohou získat novou roli poskytovatelů informaci ve schématech průmyslové špionáže … Pokračovaní v dalším díle