درگاه پرداخت سایت فعلا دردسترس نیست اگر قصد تهیه دوره ای رو دارید تلگرام پیام بدید
|
سلام و درود خدمت تمامی شما دوستان عزیز و گرامی ، امیدوارم که حالتون خوب باشه.
تو این مقاله میخوایم راجب حملات APT صحبت کنیم، همونطور که میدونید سازمان ها برای جلوگیری از حملات APT میان red team رو استخدام میکنن و یکی از وظایف red team اینه که بیاد حملات APT رو روی یک سازمان پیاده سازی و شبیه سازی کنه 🙂 حالا بریم ببنیم این APT که میگن چیه و واقعا کارش چیه چیکار میکنه 😐 پس بریم تا داشته باشیم.
اگر بخوام بطور خلاصه ی توضیح مختصری راجب APT بدم اینه که APT یا Advanced Persistent Threats که فارسیشم میشه تهدیدات مستمر پیشرفته :\ به یک حمله سایبری خاص میگن که توسط افراد بسیار حرفه ای برای سرقت اطلاعات داده های سازمان ها ، شرکت ها و… انجام میشه و این هکر های بسیار حرفه ای هم معمولا توسط دولت ها و ادمای بزرگو پولدار استخدام و ساپورت میشن.
جالب شد ن ؟! :\ خب برای جزئیات بیشترش تا آخر این مقاله با من همراه باشید.
خب دوستان ببنید ، همونطور که گفتم APT مخفف Advanced Persistent Threat هست و این حملات بصورت خیلی حرفه ای در سطح سازمان های خیلی بزرگ انجام میشه و این گروه ها با اسم های مستعار خودشون که دارن فعالیت میکنن که اسم گروه هاشون هم معمولا بر اساس یک شماره بعد از APT مشخص میشه مثلا APT 40 یا APT 49 و… و این گروه ها توسط سازمان های ناشناخته و بزرگ / دولت ها حمایت میشن و هدفشون بیشتر سرقت اطلاعات و جاسوسی هست .. ینی در این نوع حمله یک گروه قدرتمند تو زمینه هک و امنیت به یک سازمانی نفوذ میکنند و بصورت خیلی طولانی توی یک شبکه ای باقی میمونن و هدفشون شنود و سرقت داده است.
حالا اینارو که میدونید موردی نیست ، بدترین چیز تو این نوع حملات اینه که هکر برای یک مدت طولانی توی اون شبکه / سیستم میمونه و کسی نمیتونه بفهمه که نفوذگر ها برای چه مدت توی اون شبکه یا سیستم بودند :\ چرا ؟! چون کسایی که اینجور حملات رو انجام میدن به اصطلاح نوب نیستن و سطحشون خیلی بالاست .. مثلا میبینی اون گروه APT تا یک سال تو شبکه میمونه و اصلا قابل شناسایی نیست و مثلا میبنی بعد یکسال تااازه میفهمن که بعله اینا تو شبکه بودن و داشتن سرقت اطلاعات یا غیره انجام میدادن ، که برای شناسایی و جلوگیری از اینجور حملات هم الان سازمان های خیلی مهم و پیشرفته میان و red team , blue team , purple team استخدام میکنند که همونطور که میدونید یکی از وظایف red teaming اینه که بیاد حملات apt رو روی یک سازمان شبیه سازی کنه و نقاط ضعف و… اون سازمان رو باید از طریق purple team به blue team گزارش بده تا اون سازمان نقاط ضعفش رو پچ کنهو blue team هم در برابر اینجور حملات آمادگی کافی داشته باشه.
ناگفته نماند که گروه های APT کلا توسط سازمان های بزرگ و خصوصی یا دولت ها و همچنین یکسری افراد کلابردار/مافیایی از لحاظ مالی به شدت ساپورت میشن ینی پولی خوبی بهشون میدن و این گروه ها هم براشون کم نمیزارن و زمانی زیادی رو روی اون target خاصی که بهشون میدن میزارن و از بروز ترین متد های هک برای نفوذ استفاده می کنند مثل آسیب پذیری های zero day (آسیب پذیری های پچ نشده) یا one day (آسیب پذیری هایی که توسط یک نفر کشف شده و اثبات داده ولی exploit ـی بصورت پابلیک براش وجود نداره و اون آسیب پذیری پج نشده ، حالا ی شخص دیگه میاد بر اساس اون PoC (اثبات) از اون آسیب پذیری میاد و exploit ـش رو مینویسه این میشه one day ینی آسیب پذیری هایی که بر اساس zero day کشف و exploit میشن) و خلاصه اون گروه هکری منابع و زمان زیادی رو برای تحقیق و کشف آسیب پذیری های امنیتی روی اون تارگتی که بهش دادن صرف میکنه و… 😉 این دیگه از اوناست که تو فیلما میبیند مثلا فیلم whomai یا hacker 2019,2015 یا حالا جرکتای که تو فیلم mr robot زدن و…!…
حالا فهمیدیم که حملات APT چیه حالا وقشته بریم سراغ بخش های مختلف APT و بررسیشون کنیم!
خب دوستان حملات APT یا همین خود اصطلاح APT که مخفف Advanced Persistent Threat هست از سه بخش زیر تشکیل شده است :
خب دوستان حالا فهمیدیم APT چیه و چیکار میکنه و همونطور که گفتم کلا برای این گروه ها و اینجور حملات هزینه های زیادی میکنن و الکی نیست نیست که اینهمه خرج میکنن!! چرا ؟ چون این گروه ها معمولا برای یک هدفی بزرگ توسط اشخاص/سازمان های مختلف استخدام میشن و از همه لحاظ اونارو ساپورت میکنن بهشون پول میدن تا کارشونو به درستی و به خوبی انجام بدن .. برخی از این اهداف حملات APT به شرح زیر می باشد :
آمارها نشان میدهند که حملات APT بطور متوسط از ۱ تا ۵ سال طول میکشند، بنابراین اهداف آنها باید، اهدافی خاص و کلان باشد تا بتواند هزینهی حمله را توجیه کند.
دوستان این رو همیشه یادتون باشه که به حملات APT ، حملات هدفمند پیشرفته (Advanced Targeted Attacks) یا ATA هم میگن!…
پس اگر جایی بجای واژه APT از ATA استفاده کردن دیگه شما بدونید چیه و نگید نگفتید :\
یا مثلا یجا بجای اینکه بگن APT میگن APTs که APTs میشه جمع APT ، در کل مفهوم یکیه ایناهم گفتم در جریانش باشید.
خب برای انجام یک حمله ی APT تمیزو بی نقص اون گروه APT نیاز داره که یکسری مراحل طی کنه و به این مراحلی که APT برای انجام حملات پیشرفتش طی میکنه میگن life cycle یا چرخه ی عمر اون حمله که برنامه ریزی و اعمال این حملات طی 4 مرحله انجام می شود :
1. برنامه ریزی (Planning) : هر پروژه ی APT به یک برنامه ریزی یا نقشه ی تمیز نیاز داره تا اون گروه بتونه با استفاده از مراحل و روش های مختلف و از قبل برنامه ریزی شده بیاد و مکانیزم های امنیتی اون target/سازمان/هدف مورد نظرش رو شناسایی و bypass کنه و یا به عبارتی دیگر در مرحله ی اول برای انجام حملات APT اون گروه apt نیاز به یک نقشه داره تا طبق اون نقشه پیش برنو به اون سازمان مورد نظرشون نفوذ کنند و در آخر به اون هدف مورد نظرشون برسن ، هکر ها باید مراحل زیر رو برای Planning انجام بدن :
زمانی که اون گروه هکری تمام اطلاعات را جمع آوری کردند، نسخه کوچکی از نرم افزار رو ایجاد می کنند. این برنامه شناسایی به تست آلارم ها و شناسایی نقاط ضعف سیستم کمک می کند.
2. نفوذ (Infiltration) : توی مرحله ی دوم ینی مرحله ی Infiltration یا نفوذ همونطور که از اسمش مشخصه مهاجمین موفق میشن به اون شبکه یا سیستم های اون سازمان مورد نظرشون نفوذ کنند ، و معمولا از یکی از راه های زیر اون گروه هکری موفق میشن به به اون سازمان نفوذ کنند :
برای دستیابی به دسترسی اولیه، هکرهای APT از روش های مختلف حمله استفاده می کنند، از جمله :
هنگامی که مهاجمان به دسترسی اولیه دست یافتند، به سرعت یک بدافزار در پشتی (backdoor) را نصب می کنند که دسترسی به شبکه را می دهد و امکان عملیات از راه دور را فراهم می کند.
3. گسترش (Expansion) : حب حالا بعد از اینکه گروه APT به شبکه و سیستم های اون سازمان نفوذ کردند حضور خودشون رو توی سطح شبکه ی سازمان گسترش میدن ، پس مرحله ی سوم از APT Attack میشه گسترش حضور مهاجمین در شبکه ی اون سازمان .. سپس دسترسی هایی که دارن رو میبرن بالا یا اصطلاحا Privilege Escalation انجام میدن و این بالا رفتن سطح دسترسی مهاجمین باعث میشه که اطلاعات حساس اون سازمان به خطر بیوفته، چرا ؟! چون دسترسیشون بالاست و میتونن به اطلاعات دسترسی داشته باشندو اونارو بخونن یا سرقت کنندو غیره. که معمولا در این مرحله از حملات Brute Force هم زیاد استفاده میشه مثلا برای دسترسی به حساب کاربران و… .
بدافزار برای APT حیاتی است زیرا به هکرها اجازه می دهد بدون شناسایی دسترسی داشته باشند. به دلایل زیر کلا بدافزار ها توی حملات APT مهمه کلا :
خلاصه در این مرحله، مهاجم دسترسی قابل اعتماد و طولانی مدت به شبکه دارد. کنترل های امنیتی از خطر بی اطلاع هستند و مهاجم می تواند شروع به تکمیل هدف حمله کند. اگر هدف سرقت داده باشد، مهاجمان اطلاعات را در بستههایی ذخیره میکنند و در بخشی از شبکه با ترافیک کم یا بدون ترافیک پنهان میکنند.
4. اجرا (Execution) : خب این مرحله مرحله ی نهایه و اون گروه هکری توی این مرحله اطلاعات کافی رو جمع آوری کردن و کرم هایی که میخواستن بریزنو دیگه توی مراحل قبل ریختن و در این مرحله میان و Data exfiltration یا اسخراج داده هارو انجام میدن ، یعنی هکرا توی این مرحله میان و اطلاعاتی که بدست آوردن رو مورد عنایت/سرقت قرار میدنو اون اطلاعاتو استخراج می کنند. یک تاکتیک معمول استخراج، استفاده از نویز سفید برای پرت کردن هواس تیم امنیتی است. انتقال داده زمانی اتفاق میافتد که پرسنل شبکه و سیستم دفاعی درگیر هستند. تیمهای APT معمولاً سعی میکنند استخراج را بدون حضور خود تکمیل کنند. ینی مهاجمان اغلب پس از خروج از سیستم با هدف دسترسی مجدد به سیستم در آینده میان و یک backdoor توی سیستم ها و شبکه های اون سازمان مورد نظر جاسازی میکنند و سپس اونجارو ترک می کنند. اگر هدف حمله APT خرابکاری یک سیستم باشد، مرحله اجرا متفاوت عمل می کند. هکرها به طور نامحسوس کنترل عملکردهای حیاتی را به دست می آورند و آنها را برای ایجاد آسیب دستکاری می کنند. برای مثال، مهاجمان میتوانند کل پایگاههای داده را نابود کنند و سپس ارتباطات را برای جلوگیری از خدمات بازیابی فاجعه مختل کنند. باز هم، هدف این است که بدون اینکه تیم امنیتی متوجه مهاحمان شود، کرم خودشان را بریزند . این رویکرد مخفیانه امکان حملات مکرر را فراهم می کند.
ناگغته نماند که در وب سایت ها و مقالاتو جاهای مختلف مراحل یک حمله ی APT و life cycle APT رو به بخش های مختلف مثلا 5 مرحله یا 6 مرحله یا بیشتر یا کمتر و غیره ، ممکنه تقسیم بندی کرده باشند ، میخوام اینو بهتون که مفاهیم یکیه و من این چهار مرحله رو بصورت کلی و جمع بندی شده گفتم و در کل مهم اون مفهوم نهایه که همشون یکیه 🙂
خب MITRE Attack یا همون MITRE Att&ck فرقی نمیکنه جفتش درسته ولی معمولا اینجوریه که MITRE Att&ck مینویسن و MITRE Attack میخونن.
عرضم به حضورتون که MITRE Att&ck یک فریمورک یا چارچوبی است برای Red Teamer ـها ، Threat Hunter ـها و خیلی از اشخاص دیگه که توی این حوزه فعالیت می کنند.
در واقع MITRE Att&ck برای Red Teamer ـها یک فریمورک خیلی حیاتی می باشد .. توی MITRE Att&ck در واقع تکنیک ها و تاکیتیک های مربوط به حملات APT که همونطور که گفتیم red team کارش اینه که اینجور حملات رو شبیه سازی کنه و خلاصه تکنیک ها تاکتیک های حملات APT داخل فریمورک MITRE Att&ck گنجاده شده و یک رد تیمر میتونه با خوندن اینا تکنیک ها و تاکتیک هایی که قبلا در حملات APT استفاده شده رو یاد بگیره و ازشون استفاده کنه.
این هم سایت مربوط به MITRE می باشد و میتونید بهش مراجعه کنید :
و این هم داکیومنتشه و پیشنهاد میکنم حتما مطالعه و مراجعه کنید و همچنین شما میتونید به این سایت مراجعه کنید و تحلیل حملات APT ـهای مختلفی رو ببنید و هرکدوم هم خودش بصورت کامل توضیح داده :
https://attack.mitre.org/tactics/enterprise/
که این بود کل مفهوم MITRE Att&ck Framework .. که تمامی اتفاقاتی که قبلا رخ داده رو توسط کارشناس امنیت و forensic کارا تشخیص داده شده و اینجا جمع آوری شده تا از اتفاقات گذشته درس بگیرن و یاد بگیرن.
خب دوستان همونطور که در اول مقاله هم گفتم ساختار نامگذاری گروه های APT به این شکله که اول خود واژه ی APT میاد و بعد از apt هم ی عددی قرار میگیره و کلا هر کدوم از این گروه های APT اینجوری نامگذاری میشن و هر کشوری هم APT خاص خودش و با اسم منحصر به فرد خودش داره مثلا APT 19 که یکی از APT ـهای کشور چینه یا مثلا APT 39 , APT35 , APT34 , APT33 که مربوط میشه به همین کشور خودمون ینی ایران ، که این شماره هایی که میبنید برای هر کشور و هر گروه در نظر گرفته شده هم توسط MITRE نامگذاری میشه و این اسم ها و شماره ها برای هر گروه منحصربفرده.
ناگفته هم نماند که هر کدوم از این گروه ها علاوه بر اسم ی دونه ID هم دارن که با G شروع می شود و بعدش ی عددی میاد مثل :
G0064 => APT33 (یکی از گروه های هکریه ایران که تحت حمایت دولت فعالیت می کند)
,…
لیست کاملترشو وب سایت MITRE ATT&CK طبقه بندی کرده و میتونید با مراجعه این آدرس اونارو ببنید.
در حال حاضر بیش از 150 مهاجم در دنیا شناسایی شدهاند و شامل مهاجمین دولتی، مجرمان الکترونیک و هکتیویستها هستند. سیستم نامگذاری مهاجمین نشاندهندهی عامل مسئولی است که از حمایت دولت بهره میبرد — «BEAR» به روسیه، «CHOLLIMA» به کرهی شمالی، «PANDA» به چین اشاره دارد. «SPIDER» برای جرایم الکترونیکی مورد استفاده قرار میگیرد که از حمایت دولت بهرهمند نیست.
در ادامه قراره نمونه هایی از حملات APT ـهای مختلف رو مثال بزنم ، پس با من همراه باشید :
خب حالا اگه دوست دارین اطلاعات بیشتری راجت همین بحث APT بدست بیارید و نمونه های بیشتری از این حملات رو ببینید میتونید به وب سایت MITRE Att&ck مراجعه کنید و یا منابع زیر رو دنبال کنید :
برای پیشگیری، شناسایی و پاسخ به یک APT، باید ویژگیهای آن را بشناسیم که قبلا ویژگی های یک حمله ی APT رو خدمتتون گفتم که اکثر APTها چرخهی عمر یا life cycle یکسانی دارند که شامل نفوذ به یک شبکه، گسترش دسترسی و رسیدن به هدف حمله است؛ این هدف معمولاً دزدیدن داده از طریق استخراج آن از شبکه است.
که بنظر من بهتره که حتما یک Red Team , Blue Teamer برای سرکت یا اون سازمانتون استخدام کنید تا بصورت کامل بیان این حملات APT رو شبیه سازی کنند و باگ ها و آسیب پذیری هایی که وجود داره رو پچ کنند تا یجورای تا ی حدی خوبی از این نوع حملات در امان بمانید.
همچنین شرکت هایی مثل eset , kaspersky , fireeye و… کلا شرکت هایی هستند که محصولات امنیتی ارائه میدن و بخشی از محصولاتی که ارائه میدن مربوط میشه به تشخیص حملات APT که یکسری محصولات خاص دارن و بر اساس APTs Attack ـهایی که قبلا رخ داده و شناسایی شدن میان و رفتار هاشون رو تو خودشون ذخیره میکنن و با هوش مصنوعی و… شمارو در برابر اینجور حملات محافظت میکند .. این محصولاتی که توسط این شرکت ها برای محافظت در برابر حملات ATA ارائه میشه هم بر اساس اون گزارشاتی که سالانه وب سایت MITRE Att&ck ارائه میده میسازن و همچنین خود شرکت های تولید ابزار های امنیتی هم سالانه ی گزارش کلی از حملات APT انجام شده توسط کشور های مختلف که شناسایی شدن رو ارائه میده ولی منبع اصلی MITRE Att&ck می باشد که قبلا راجبش صحبت کردم و گفتم که ی فریمورکیه که میاد حملات و تکنیک های مربوط به حملات APT مختلف رو داخل این فریمورک گنجانده شده و سالانه هم آپدیت میشه و حملات مختلف APT رو تحیلیل میکنه! .. الیته الیته اینم بگم که این تجهیزات امنیتی ممکنه توسط اون گروه هکری bypass بشه ، پس بهترین راهکار برای جلوگیری و تشخیص اینجور حملات اینه که بیاین برای سازمانتون یک blue teamer و red teamer و purple team استخدام کنید ینی در کل منظورم اینه که بهترین راهکار برای محافظت سازمان در برابر اینجور حملات اینه که از بکس امنیت کار استفاده کنید مثلا تیم SOC .. Threat Hunter و… کلا متخصصینی که کارشون برقرار کردن امنیته.
خلاصه دوستان تشخیص حملات APT بسیار سخته و باید ی تیم SOC و کلا Blue Team گانگ و متخصص توی اون سازمان باشه تا تمامی ترافیک هارو رصد کنن و در صورت مشاهده ترافیک و حرکات مشکوک در سیستم و شبکه دیگه بدونید که مورد عنایت APT قرار گرفتین ، و این نشانه های مشکوک که میگم میتونه یکی از موارد زیر باشد :
برخی از روش های امن سازی در برابر حملات APT هم به شرح زیر می باشد هر چند قبلا خیلی راجبش صحبت کردم ولی اشکال نداره بازم میگم تا ی جمع بندی کلی هم بشهو جا بیوفته :
با توجه به تنوع و گسترش شکلها و روشهای حملات APT، نیازه تا رویکردی جدید به راههای کشف و تشخیص این حملات داشته باشیم. از جمله رویکردهای جدید و موثری که میتوان به کمک آنها به تشخیص و کشف این تهدیدات مستمر پیشرفته :\ (APT) پرداخت که روش و فرآیند های بروز دنیا در کشف حملات APT هم به شرح زیره ، البته تقریبا همه ی راهکار ها شبیه به هم هستن ولی خو من باز میگم :
و تمام!
امیدوارم که از این مقاله هم لذت کافی رو برده باشید 🌹