سلام و درود خدمت تمامی شما دوستان عزیز و گرامی ، امیدوارم که حالتون خوب باشه.

تو این مقاله میخوایم راجب حملات APT صحبت کنیم، همونطور که میدونید سازمان ها برای جلوگیری از حملات APT میان red team رو استخدام میکنن و یکی از وظایف red team اینه که بیاد حملات APT رو روی یک سازمان پیاده سازی و شبیه سازی کنه 🙂 حالا بریم ببنیم این APT که میگن چیه و واقعا کارش چیه چیکار میکنه 😐 پس بریم تا داشته باشیم.

اگر بخوام بطور خلاصه ی توضیح مختصری راجب APT بدم اینه که APT یا Advanced Persistent Threats که فارسیشم میشه تهدیدات مستمر پیشرفته :\ به یک حمله سایبری خاص میگن که توسط افراد بسیار حرفه ای برای سرقت اطلاعات داده های سازمان ها ، شرکت ها و… انجام میشه و این هکر های بسیار حرفه ای هم معمولا توسط دولت ها و ادمای بزرگو پولدار استخدام و ساپورت میشن.

جالب  شد ن ؟! :\ خب برای جزئیات بیشترش تا آخر این مقاله با من همراه باشید.

حمله APT یا Advanced Persistent Threats چیست ؟

خب دوستان ببنید ، همونطور که گفتم APT مخفف Advanced Persistent Threat هست و این حملات بصورت خیلی حرفه ای در سطح سازمان های خیلی بزرگ انجام میشه و این گروه ها با اسم های مستعار خودشون که دارن فعالیت میکنن که اسم گروه هاشون هم معمولا بر اساس یک شماره بعد از APT مشخص میشه مثلا APT 40 یا APT 49 و… و این گروه ها توسط سازمان های ناشناخته و بزرگ / دولت ها حمایت میشن و هدفشون بیشتر سرقت اطلاعات و جاسوسی هست .. ینی در این نوع حمله یک گروه قدرتمند تو زمینه هک و امنیت به یک سازمانی نفوذ میکنند و بصورت خیلی طولانی توی یک شبکه ای باقی میمونن و هدفشون شنود و سرقت داده است.

حالا اینارو که میدونید موردی نیست ، بدترین چیز تو این نوع حملات اینه که هکر برای یک مدت طولانی توی اون شبکه / سیستم میمونه و کسی نمیتونه بفهمه که نفوذگر ها برای چه مدت توی اون شبکه یا سیستم بودند :\ چرا ؟! چون کسایی که اینجور حملات رو انجام میدن به اصطلاح نوب نیستن و سطحشون خیلی بالاست .. مثلا میبینی اون گروه APT تا یک سال تو شبکه میمونه و اصلا قابل شناسایی نیست و مثلا میبنی بعد یکسال تااازه میفهمن که بعله اینا تو شبکه بودن و داشتن سرقت اطلاعات یا غیره انجام میدادن ، که برای شناسایی و جلوگیری از اینجور حملات هم الان سازمان های خیلی مهم و پیشرفته میان و red team , blue team , purple team استخدام میکنند که همونطور که میدونید یکی از وظایف red teaming اینه که بیاد حملات apt رو روی یک سازمان شبیه سازی کنه و نقاط ضعف و… اون سازمان رو باید از طریق purple team به blue team گزارش بده تا اون سازمان نقاط ضعفش رو پچ کنهو blue team هم در برابر اینجور حملات آمادگی کافی داشته باشه.

ناگفته نماند که گروه های APT کلا توسط سازمان های بزرگ و خصوصی یا دولت ها و همچنین یکسری افراد کلابردار/مافیایی از لحاظ مالی به شدت ساپورت میشن ینی پولی خوبی بهشون میدن و این گروه ها هم براشون کم نمیزارن و زمانی زیادی رو روی اون target خاصی که بهشون میدن میزارن و از بروز ترین متد های هک برای نفوذ استفاده می کنند مثل آسیب پذیری های zero day (آسیب پذیری های پچ نشده) یا one day (آسیب پذیری هایی که توسط یک نفر کشف شده و اثبات داده ولی exploit ـی بصورت پابلیک براش وجود نداره و اون آسیب پذیری پج نشده ، حالا ی شخص دیگه میاد بر اساس اون  PoC (اثبات) از اون آسیب پذیری میاد و exploit ـش رو مینویسه این میشه  one day ینی آسیب پذیری هایی که بر اساس zero day کشف و exploit میشن) و خلاصه اون گروه هکری منابع  و زمان زیادی رو برای تحقیق و کشف آسیب پذیری های امنیتی روی اون تارگتی که بهش دادن صرف میکنه و… 😉 این دیگه از اوناست که تو فیلما میبیند مثلا فیلم whomai یا hacker 2019,2015 یا حالا جرکتای که تو فیلم mr robot زدن و…!…

حالا فهمیدیم که حملات APT چیه حالا وقشته بریم سراغ بخش های مختلف APT و بررسیشون کنیم!

خب دوستان حملات APT یا همین خود اصطلاح APT که مخفف Advanced Persistent Threat هست از سه بخش زیر تشکیل شده است :

• تهدید Threat : همونطور که گفتم APT ها از اهداف و مقاصد مشخصی دارند و توسط هکرای حرفه ای و متخصص اینجور حملات انجام میشه و به همین دلیل اونارو یک تهدید می نامند.
• پایدار/مداوم/همیشگی/مستمر :\ (Persistent) : خب باز همونطور که قبلا گفتم APT ـها اهداف مشخصی دارند ینی هدفشون از حمله اینه که جاسوسی کنند یا سرقت اطلاعات انجام بدن و دنبال سواستفاده های مالی از اون اطلاعات نیستند که این نشون میده که این تیم ها توسط گروه های خاصی مثل دولت ها و… استخدام و ساپورت میشن .. حالا این تیم ها نیاز دارند تا دسترسی طولانی مدت به اون شبکه یا سیستم داشته باشند تا بتونن کار خودشون رو انجام بدن و معمولا برای اینکار هم از backdoor ـها یا درب پشتی استفاده می کنند که بکدور هم ی نوع بدافزاره که در مرحله ی Post Exploitation از هک مورد استفاده قرار میگیره ینی بعد از نفوذ به ی سیستم یا شبکه ، برای حفظ دسترسی به اون شبکه/سیستم و در صورت از دست دادن دسترسی فعلی از اون سیستم و پس گرفتن دسترسی از backdoor ـها استفاده می کنند در کل بکدور ینی یک مسیر دوم یا یک مسیر میانبر جز مسیر اصلی برای دسترسی به اون سیستم یا شبکه که در صورت از دست رفتن مسیر اصلی این مسیر میانبر باعث میشه که اون هکر دوباره از اون سیستم یا شبکه دسترسی بگیره و این باعث میشه ما یک تهدید همیشگی یا Persistent Threat رو توی سیستم و شبکه توسط APT داشته باشیم .. ناگفته نماند که در حملات APT اون گروهی که اتک میزنه بعد از نفوذ کلا قصد پایان دادن فعالیت خودشو نداره و همیشه تلاش میکنه تا دسترسیی که گرفتن رو ببرن بالاتر و ماندگار ترش کنن .. و به همین دلیل اونارو Persistent Threat نیز می نامند.
• پیشرفته (Advanced) : واژه ی پیشرفته در حملات APT به توانایی اون هکرا اشاره داره ، که ینی اینکه این حملات توسط هکرای متخصص و حرفه ای با مهارت های ويژه که توسط سازمان های مختلف به خوبی مورد حمایت مالی قرار میگیرند انجام میشه .. و این افراد معمولا از تکنیک ها و ابزار های خاص و Private برای انجام حملات خودشون استفاده میکنند .. و به همین دلیل اونارو Advanced Persistent Threat می نامند.

اهداف حملات APT 

خب دوستان حالا فهمیدیم APT چیه و چیکار میکنه و همونطور که گفتم کلا برای این گروه ها و اینجور حملات هزینه های زیادی میکنن و الکی نیست نیست که اینهمه خرج میکنن!! چرا ؟ چون این گروه ها  معمولا برای یک هدفی بزرگ توسط اشخاص/سازمان های مختلف استخدام میشن و از همه لحاظ اونارو ساپورت میکنن بهشون پول میدن تا کارشونو به درستی و به خوبی انجام بدن .. برخی از این اهداف حملات APT به شرح زیر می باشد : 

• اهداف سیاسی مربوط باشه مثلا یک کشور علیه یک کشوری دیگر
• سرقت اطلاعات مالی،اقتصادی،نظامی و هسته ایه یک کشور
• ربودن اطلاعات کارخانه ها و شرکت های بزرگ
• جاسوسی ، شامل دزدی دارایی های فکری یا اسرار دولتی
• جرایم الکترونیک برای سود مالی
• هکتیویسم یا hacktivism (به گروهی از هکر ها می گویند که در جهت اعتراض و مقاصد سیاسی فعالیت می کنند. یا به کسی میگن که از سواد هکش برای کار های اخلاقی و حقوق بشری و علیه ظالمین استفاده میکنه که خیلی وقتا ممکنه کارش غیرقانونی باشه ولی کارش کار خوبیه مثل گروه Anonymous)
• تخریب بی سروصدا
• تصاحب کل سایت
• حذف بانک اطلاعاتی 
• سرقت اطلاعات
• دسترسی به اطلاعات محرمانه و حساس 
• با استفاده از آخرین تکنیک ها و متد های هک انجام می شود.
• دسترسی طولانی مدت و ناشناخته به هدف دارند.
• انگیزه این حملات معمولاً سود مالی یا اخذ اطلاعات سیاسی و جاسوسی سایبری است.
• این حملات بسیار پیچیده تر از حملات سنتی هستند و یک هدف از پیش تعیین شده دارند که با دقت بررسی و برنامه ریزی می شود.
• هدف یک APT آلوده کردن کل شبکه است، نه فقط بخش های خاصی از آن.
• و…

آمارها نشان می‌دهند که حملات APT بطور متوسط از ۱ تا ۵ سال طول می‌کشند، بنابراین اهداف آنها باید، اهدافی خاص و کلان باشد تا بتواند هزینه‌ی حمله را توجیه کند.

فرق بین APT و ATA

دوستان این رو همیشه یادتون باشه که به حملات APT ، حملات هدفمند پیشرفته (Advanced Targeted Attacks) یا ATA هم میگن!…

پس اگر جایی بجای واژه APT از ATA استفاده کردن دیگه شما بدونید چیه و نگید نگفتید :\

یا مثلا یجا بجای اینکه بگن APT میگن APTs که APTs میشه جمع APT ، در کل مفهوم یکیه ایناهم گفتم در جریانش باشید.

بررسی حملات APT و نحوه کارکرد آن

خب برای انجام یک حمله ی APT تمیزو بی نقص اون گروه APT نیاز داره که یکسری مراحل طی کنه و به این مراحلی که APT برای انجام حملات پیشرفتش طی میکنه میگن life cycle یا چرخه ی عمر اون حمله که برنامه ریزی و اعمال این حملات طی 4 مرحله انجام می شود :

1. برنامه ریزی (Planning) : هر پروژه ی APT به یک برنامه ریزی یا نقشه ی تمیز نیاز داره تا اون گروه بتونه با استفاده از مراحل و روش های مختلف و از قبل برنامه ریزی شده بیاد و مکانیزم های امنیتی اون target/سازمان/هدف مورد نظرش رو شناسایی و bypass کنه و یا به عبارتی دیگر در مرحله ی اول برای انجام حملات APT اون گروه apt نیاز به یک نقشه داره تا طبق اون نقشه پیش برنو به اون سازمان مورد نظرشون نفوذ کنند و در آخر به اون هدف مورد نظرشون برسن ، هکر ها باید مراحل زیر رو برای Planning انجام بدن : 

• مشخص کردن target و هدف عملیات
• شناسایی مهارت های لازم برای انجام حملات و استخدام اعضای تیم
• ایجاد و پیدا کردن ابزار های مناسب برای انجام عملیات
• درک عمیق از معماری سیستم ها و شبکه ی اون سازمان و درک تمامی راه حل های سخت افزاری و نرم افزاری
• پیاده سازی بهترین روش حمله
• و…

زمانی که اون گروه هکری تمام اطلاعات را جمع آوری کردند، نسخه کوچکی از نرم افزار رو ایجاد می کنند. این برنامه شناسایی به تست آلارم ها و شناسایی نقاط ضعف سیستم کمک می کند.

2. نفوذ (Infiltration) : توی مرحله ی دوم ینی مرحله ی Infiltration یا نفوذ همونطور که از اسمش مشخصه مهاجمین موفق میشن به اون شبکه یا سیستم های اون سازمان مورد نظرشون نفوذ کنند ، و معمولا از یکی از راه های زیر اون گروه هکری موفق میشن به به اون سازمان نفوذ کنند : 

• وب
• شبکه
• کاربرای مجاز سازمانیه اون سازمان
• و…

برای دستیابی به دسترسی اولیه، هکرهای APT از روش های مختلف حمله استفاده می کنند، از جمله :

• استفاده از exploit ـهای پیشرفته و zero day
• استفاده از تکنیک ها و روش های مختلف مهندسی اجتماعی
• فیشینگ
• کشف و بهره برداری از آسیب پذیری های سطح وب اپلیکیشن مثل (SQLi,xss,lif,rfi,etc)
• حملات فیزیکی ، ینی مثلا بصورت فیزیکی یکی بره بدافزار رو یکی از سیستم های اون سازمان اجرا کنه و در نهایت اون بدافزار خودشو تو شبکه پخش کنه
• بهره برداری از نقاط ضعفی که در مرحله ی Recon (شناسایی) بدست می آورند
• یک تاکتیک رایج در حین نفوذ، راه اندازی یک حمله DDoS همزمان است. DDoS حواس کارمند های اون سازمان را پرت می کند و محیط را ضعیف می کند و نفوذ به شبکه را آسان تر می کند.
• و…

هنگامی که مهاجمان به دسترسی اولیه دست یافتند، به سرعت یک بدافزار در پشتی (backdoor) را نصب می کنند که دسترسی به شبکه را می دهد و امکان عملیات از راه دور را فراهم می کند.

3. گسترش (Expansion) : حب حالا بعد از اینکه گروه APT به شبکه و سیستم های اون سازمان نفوذ کردند حضور خودشون رو توی سطح شبکه ی سازمان گسترش میدن ، پس مرحله ی سوم از APT Attack میشه گسترش حضور مهاجمین در شبکه ی اون سازمان .. سپس دسترسی هایی که دارن رو میبرن بالا یا اصطلاحا Privilege Escalation انجام میدن و این بالا رفتن سطح دسترسی مهاجمین باعث میشه که اطلاعات حساس اون سازمان به خطر بیوفته، چرا ؟! چون دسترسیشون بالاست و میتونن به اطلاعات دسترسی داشته باشندو اونارو بخونن یا سرقت کنندو غیره. که معمولا در این مرحله از حملات Brute Force هم زیاد استفاده میشه مثلا برای دسترسی به حساب کاربران و… .

بدافزار برای APT حیاتی است زیرا به هکرها اجازه می دهد بدون شناسایی دسترسی داشته باشند. به دلایل زیر کلا بدافزار ها توی حملات APT مهمه کلا :

• مخفی ماندن
• جمع آوری داده های حساس
• نظارت/مانیتور بر فعالیت های شبکه
• پیدا کردن نقاط ورود و آسیب پذیر بیشتر
• و…

خلاصه در این مرحله، مهاجم دسترسی قابل اعتماد و طولانی مدت به شبکه دارد. کنترل های امنیتی از خطر بی اطلاع هستند و مهاجم می تواند شروع به تکمیل هدف حمله کند. اگر هدف سرقت داده باشد، مهاجمان اطلاعات را در بسته‌هایی ذخیره می‌کنند و در بخشی از شبکه با ترافیک کم یا بدون ترافیک پنهان می‌کنند.

4. اجرا (Execution) :‌ خب این مرحله مرحله ی نهایه و اون گروه هکری توی این مرحله اطلاعات کافی رو جمع آوری کردن و کرم هایی که میخواستن بریزنو دیگه توی مراحل قبل ریختن و در این مرحله میان و Data exfiltration یا اسخراج داده هارو انجام میدن ، یعنی هکرا توی این مرحله میان و اطلاعاتی که بدست آوردن رو مورد عنایت/سرقت قرار میدنو اون اطلاعاتو استخراج می کنند. یک تاکتیک معمول استخراج، استفاده از نویز سفید برای پرت کردن هواس تیم امنیتی است. انتقال داده زمانی اتفاق می‌افتد که پرسنل شبکه و سیستم دفاعی درگیر هستند. تیم‌های APT معمولاً سعی می‌کنند استخراج را بدون حضور خود تکمیل کنند. ینی مهاجمان اغلب پس از خروج از سیستم با هدف دسترسی مجدد به سیستم در آینده میان و یک backdoor توی سیستم ها و شبکه های اون سازمان مورد نظر جاسازی میکنند و سپس اونجارو ترک می کنند. اگر هدف حمله APT خرابکاری یک سیستم باشد، مرحله اجرا متفاوت عمل می کند. هکرها به طور نامحسوس کنترل عملکردهای حیاتی را به دست می آورند و آنها را برای ایجاد آسیب دستکاری می کنند. برای مثال، مهاجمان می‌توانند کل پایگاه‌های داده را نابود کنند و سپس ارتباطات را برای جلوگیری از خدمات بازیابی فاجعه مختل کنند. باز هم، هدف این است که بدون اینکه تیم امنیتی متوجه مهاحمان شود، کرم خودشان را بریزند . این رویکرد مخفیانه امکان حملات مکرر را فراهم می کند.

ناگغته نماند که در وب سایت ها و مقالاتو جاهای مختلف مراحل یک حمله ی APT و life cycle APT رو به  بخش های مختلف مثلا 5 مرحله یا 6 مرحله یا بیشتر یا کمتر و غیره ، ممکنه تقسیم بندی کرده باشند ، میخوام اینو بهتون که مفاهیم یکیه و من این چهار مرحله رو بصورت کلی و جمع بندی شده گفتم و در کل مهم اون مفهوم نهایه که همشون یکیه 🙂

معرفی فریم ورک MITRE Att&ck 

خب MITRE Attack یا همون MITRE Att&ck فرقی نمیکنه جفتش درسته ولی معمولا اینجوریه که MITRE Att&ck مینویسن و MITRE Attack میخونن.

عرضم به حضورتون که MITRE Att&ck یک فریمورک یا چارچوبی است برای Red Teamer ـها ، Threat Hunter ـها و خیلی از اشخاص دیگه که توی این حوزه فعالیت می کنند.

در واقع MITRE Att&ck برای Red Teamer ـها یک فریمورک خیلی حیاتی می باشد .. توی MITRE Att&ck در واقع تکنیک ها و تاکیتیک های مربوط به حملات APT که همونطور که گفتیم red team کارش اینه که اینجور حملات رو شبیه سازی کنه و خلاصه تکنیک ها تاکتیک های حملات APT داخل فریمورک MITRE Att&ck گنجاده شده و یک رد تیمر میتونه با خوندن اینا تکنیک ها و تاکتیک هایی که قبلا در حملات APT استفاده شده رو یاد بگیره و ازشون استفاده کنه.

این هم سایت مربوط به MITRE می باشد و میتونید بهش مراجعه کنید : 

https://attack.mitre.org/

و این هم داکیومنتشه و پیشنهاد میکنم حتما مطالعه و مراجعه کنید و همچنین شما میتونید به این سایت مراجعه کنید و تحلیل حملات APT ـهای مختلفی رو ببنید و هرکدوم هم خودش بصورت کامل توضیح داده :

https://attack.mitre.org/tactics/enterprise/

که این بود کل مفهوم MITRE Att&ck Framework .. که تمامی اتفاقاتی که قبلا رخ داده رو توسط کارشناس امنیت و forensic کارا تشخیص داده شده و اینجا جمع آوری شده تا از اتفاقات گذشته درس بگیرن و یاد بگیرن.

نمونه هایی از حملات APT

خب دوستان همونطور که در اول مقاله هم گفتم ساختار نامگذاری گروه های APT به این شکله که اول خود واژه ی APT میاد و بعد از apt هم ی عددی قرار میگیره و کلا هر کدوم از این گروه های APT اینجوری نامگذاری میشن و هر کشوری هم APT خاص خودش و با اسم منحصر به فرد خودش داره مثلا APT 19 که یکی از APT ـهای کشور چینه یا مثلا APT 39 , APT35 , APT34 , APT33 که مربوط میشه به همین کشور خودمون ینی ایران ، که این شماره هایی که میبنید برای هر کشور و هر گروه در نظر گرفته شده هم توسط MITRE نامگذاری میشه و این اسم ها و شماره ها برای هر گروه منحصربفرده.

ناگفته هم نماند که هر کدوم از این گروه ها علاوه بر اسم ی دونه ID هم دارن که با G شروع می شود و بعدش ی عددی میاد مثل :

G0064 => APT33 (یکی از گروه های هکریه ایران که تحت حمایت دولت فعالیت می کند)

,…

لیست کاملترشو وب سایت MITRE ATT&CK طبقه بندی کرده و میتونید با مراجعه این آدرس اونارو ببنید.

در حال حاضر بیش از 150 مهاجم در دنیا شناسایی شده‌اند و شامل مهاجمین دولتی، مجرمان الکترونیک و هکتیویست‌ها هستند. سیستم نام‌گذاری مهاجمین نشان‌دهنده‌ی عامل مسئولی است که از حمایت دولت بهره می‌برد — «BEAR» به روسیه، «CHOLLIMA» به کره‌ی شمالی، «PANDA» به چین اشاره دارد. «SPIDER» برای جرایم الکترونیکی مورد استفاده قرار می‌گیرد که از حمایت دولت بهره‌مند نیست.

در ادامه قراره نمونه هایی از حملات APT ـهای مختلف رو مثال بزنم ، پس با من همراه باشید :‌ 

• گروه APT28 که به Goblin Panda نیز معروف است ی گروه هکری برای روسیه است و این گروه از سال 2008 کار خودشو شروع میکنه و کارشونم این بود که میومدن با استفاده از روش های مختلف phishing به کامپیوتر ها و موبایل های قدیمی دسترسی پیدا میکردند ، که سازمان های سیاسی ایالات متحده و سازمان های نظامی اروپا و قربیانی در بخش های مختلف جهان را هدف قرار میدادند.
• گروه APT33 که به گروه های HOLMIUM و Elfin نیز مربوط است ، این گروه یک گروه هکری تحت حمایت ایران است که از سال 2013 فعالیت خودشون رو شروع کردند .. این گروه سازمان هایی را در چندین صنعت ایالات متحده (USA)، عربستان سعودی و کره جنوبی را هدف قرار داده است که علاقه خاصی به بخش های هوانوردی و انرژی و… دارند ینی فقط اینارو مورد هدف قرار میدادند. روش حملشون هم به این شکل بودش که APT33 ایمیل های فیشینگ را برای کارمندانی که شغلشان مرتبط با صنعت هوانوردی است ارسال کرد. این ایمیل‌ها شامل فریب‌هایی با موضوع استخدام و حاوی پیوندهایی به فایل‌های برنامه مخرب HTML (.hta) بود. فایل‌های hta حاوی شرح شغل و پیوندهایی به آگهی‌های شغلی قانونی در وب‌سایت‌های استخدامی محبوب بودند که به افراد مورد نظر مربوط می‌شد.
• یکی از APT ـهای پیچیده و گودرتمند دیگه که این بار این حرکتو روی ایران پیاده کردن این بودش که آمریکا و اسرائیل ی بدافزار پیشرفته ای رو برای حمله به برنامه های هسته ای ایران ایجاد کردند و در سال 2010 توسط محققین امنیت سایبری این بدافزار کشف شد و الانم در گیتهاب بصورت open source موجوده و میتونید با مراجعه به این آدرس و یا این آدرس اونو ببنید ، خلاصه این حمله ی APT یکی از پیچیده ترین APT ـهای تاریخه و همچنین این بدافزار سیستم های کنترل صنعتی (SCADA) را مورد هدف قرار داده بود و از طریق دستگاه USB آلوده داخل شبکه ی داخلی پخش شد .. مستند این APT هم توی سطح اینترنت موجود که میتونید مشاهده کنید اسم مستندشم Zeroday یا روز صفره که اگر سرچ کنید مستند “روز صفر” گوگل براتون میاره.
• گروه APT34، یک گروه APT پیشرفته مرتبط با کشور ایران می باشد و طبق تحقیقات کارشناسان امنیتی حداقل از سال ۲۰۱۴ این گروه فعال است. این گروه با حمله به کشورهای موجود در خاورمیانه، زیرساخت های مالی، دولتی، انرژی، شیمیایی و شرکت های مخابراتی، مورد حمله قرار داده است .. و در سال ۲۰۱۷ توسط محققان FireEye شناسایی شد.
• و…

خب حالا اگه دوست دارین اطلاعات بیشتری راجت همین بحث APT بدست بیارید و نمونه های بیشتری از این حملات رو ببینید میتونید به وب سایت MITRE Att&ck مراجعه کنید و یا منابع زیر رو دنبال کنید : 

Reference 1

Reference 2

Reference 3

Reference 4

Reference 5

,…

نحوه تشخیص و جلوگیری از حملات APT

برای پیشگیری، شناسایی و پاسخ به یک APT، باید ویژگی‌های آن را بشناسیم که قبلا ویژگی های یک حمله ی APT رو خدمتتون گفتم که اکثر APTها چرخه‌ی عمر یا life cycle یکسانی دارند که شامل نفوذ به یک شبکه، گسترش دسترسی و رسیدن به هدف حمله است؛ این هدف معمولاً دزدیدن داده از طریق استخراج آن از شبکه است.

که بنظر من بهتره که حتما یک Red Team , Blue Teamer برای سرکت یا اون سازمانتون استخدام کنید تا بصورت کامل بیان این حملات APT رو شبیه سازی کنند و باگ ها و آسیب پذیری هایی که وجود داره رو پچ کنند تا یجورای تا ی حدی خوبی از این نوع حملات در امان بمانید.

همچنین شرکت هایی مثل eset , kaspersky , fireeye و… کلا شرکت هایی هستند که محصولات امنیتی ارائه میدن و بخشی از محصولاتی که ارائه میدن مربوط میشه به تشخیص حملات APT که یکسری محصولات خاص دارن و بر اساس APTs Attack ـهایی که قبلا رخ داده و شناسایی شدن میان و رفتار هاشون رو تو خودشون ذخیره میکنن و با هوش مصنوعی و… شمارو در برابر اینجور حملات محافظت میکند .. این محصولاتی که توسط این شرکت ها برای محافظت در برابر حملات ATA ارائه میشه هم بر اساس اون گزارشاتی که سالانه وب سایت MITRE Att&ck ارائه میده میسازن و همچنین خود شرکت های تولید ابزار های امنیتی هم سالانه ی گزارش کلی از حملات APT انجام شده توسط کشور های مختلف که شناسایی شدن رو ارائه میده ولی منبع اصلی MITRE Att&ck می باشد که قبلا راجبش صحبت کردم و گفتم که ی فریمورکیه که میاد حملات و تکنیک های مربوط به حملات APT مختلف رو داخل این فریمورک گنجانده شده و سالانه هم آپدیت میشه و حملات مختلف APT رو تحیلیل میکنه!  .. الیته الیته اینم بگم که این تجهیزات امنیتی ممکنه توسط اون گروه هکری bypass بشه ، پس بهترین راهکار برای جلوگیری و تشخیص اینجور حملات اینه که بیاین برای سازمانتون یک blue teamer و red teamer و purple team استخدام کنید ینی در کل منظورم اینه که بهترین راهکار برای محافظت سازمان در برابر اینجور حملات اینه که از بکس امنیت کار استفاده کنید مثلا تیم SOC .. Threat Hunter و… کلا متخصصینی که کارشون برقرار کردن امنیته.

خلاصه دوستان تشخیص حملات APT بسیار سخته و باید ی تیم SOC و کلا Blue Team گانگ و متخصص توی اون سازمان باشه تا تمامی ترافیک هارو رصد کنن و در صورت مشاهده ترافیک و حرکات مشکوک در سیستم و شبکه دیگه بدونید که مورد عنایت APT قرار گرفتین ، و این نشانه های مشکوک که میگم میتونه یکی از موارد زیر باشد : 

• فعالیت مشکوک  در حساب های کاربر
• استفاده از بدافزار و backdoor 
• فعالیت های مشکوک در دیتابیس
• تشخیص ترافیک های غیرعادی در شبکه
• و…

برخی از روش های امن سازی در برابر حملات APT هم به شرح زیر می باشد هر چند قبلا خیلی راجبش صحبت کردم ولی اشکال نداره بازم میگم تا ی جمع بندی کلی هم بشهو جا بیوفته : 

• ساخت و اجرای یک چارچوب برای امنیت سازمان، بر اساس لایه‌های مختلف دفاع (راهکارهای امنیتی، رویه‌ها، آگاهی‌بخشی به کارمندان) که در سازمان ایجاد شده است.
• آزمودن امنیت سازمان بوسیله‌ی حملات شبیه‌سازی شده (استخدام red team , blue team , purple team)، که آسیب‌پذیری‌ها را تحلیل می‌کنند و راهکارهایی برای بهبود امنیت سازمان پیشنهاد می‌دهند.
• سرمایه‌گذاری بر راه‌حل‌ها و روش‌های خودکار، که امکان ارزیابی در حال اجرا را، در زمان‌های از پیش تعیین شده بوجود می‌آورند.
• توسعه‌ی هوش حمله‌ی تاکتیکی و استراتژیک، که مخصوص سازمان طراحی شده تا آسیب‌پذیری‌ها و ریسک‌ها را تشخیص دهد.
• همکاری با یک تیم امنیت سایبری
• مشاوره امنیتی به کارمندان سازمان برای جلوگیری از حملات مبتنی بر مهندسی اجتماعی
• و…

با توجه به تنوع و گسترش شکل‌ها و روش‌های حملات APT، نیازه تا رویکردی جدید به راه‌های کشف و تشخیص این حملات داشته باشیم. از جمله رویکردهای جدید و موثری که می‌توان به کمک آنها به تشخیص و کشف این تهدیدات مستمر پیشرفته :\ (APT) پرداخت که روش و فرآیند های بروز دنیا در کشف حملات APT هم به شرح زیره ، البته تقریبا همه ی راهکار ها شبیه به هم هستن ولی خو من باز میگم : 

• روش‌های مبتنی بر بیگ دیتا یا همون داده های بزرگ
• ایجاد یک داده آزمون استاندارد
• پیش‌بینی حملات با استفاده از روش‌های یادگیری ماشین (بکارگیری هوش مصنوعی)
• تمرکز بر پیشگیری از حملات به جای کشف آنها (در برخی حوزه‌ها مانند صنعت)
• نظارت دوره‌ای سیستم‌ها و سامانه‌های نرم‌افزاری و ممیزی آنها
• و…

و تمام!

امیدوارم که از این مقاله هم لذت کافی رو برده باشید 🌹