APT یا Advanced Persistent Threat چیست ؟ APT به حملات تحت شبکه اطلاق می شود که یک شخص احراز هویت نشده می تواند برای مدت زمان زیادی به صورت ناشناس به شبکه دسترسی پیدا کند. هدف یک حمله APT سرقت اطلاعات است، نه صرفا ضربه زدن به سازمان و یا انجام اعمال خراب کارانه. به همین منظور اغلب هدف این گونه حملات معمولا سازمانی های است که اطلاعات مفیدی در اختیار دارند مانند سازمان دفاع، صنایع تولیدی و مالی.در یک حمله معمولی، حمله کننده تلاش می کند تا به سرعت وارد شده، اطلاعات را سرقت نماید و از شبکه خارج شود تا سیستم های تشخیص نفوذ شانس کمتری برای یافتن این گونه حملات داشته باشند. هرچند در این حملات هدف ورود و خروج سریع نیست و معمولا این گونه حملات، مانا (Persistent) هستند. بدین منظور حمله کننده باید دائما کد های فایل مخرب را بازنویسی نماید و تکنیک های پنهان سازی پیچیده ای (به همین دلیل به آنها Advanced گفته میشود) استفاده نماید.
حملات APT معمولا از طریق حمله Spear Fishing، که نوعی حمله به سبک مهندسی اجتماعی است، به شبکه نفوذ میکنند. و وقتی نفوذ انجام شد فایل مخرب یک در پشتی بر روی شبکه ایجاد مینماید.قدم بعدی یافتن نام و پسورد کاربری معتبر (مانند ادمین شبکه) می باشد تا بتواند خود را بر روی دیگر سیستم های درون شبکه منتقل نماید و در پشتی را بر روی آن ها نیز نصب نماید. در پشتی به حمله کننده این امکان را میدهد تا هر زمان که خواست ابزار مخرب را بر روی سیستم ها نصب کند و اصطلاحا یک “زیرساخت روح” یا Ghost Infrastructure برای توزیع بدافزار ایجاد نماید.هرچند یافتن حملات APT کار به نظر دشواری است، ولی سرقت اطلاعات کاملا مخفی باقی نمی ماند. می توان با تشخیص انومالی در ترافیک خروجی سازمان، که شاید بهترین راه ممکن هم باشد، این حملات را شناسایی نمود.
نحوه عملکرد تهدیدات پیشرفته توسط هکر
The Kill Chain یا زنجیره کشتار :
The Kill Chain یک چارچوب کاری منحصر به فردی می باشد و عملیات هکری را که قصد نفود به شرکت را دارد سازماندهی میکند. هکر برای نفوذ نیاز به انجام برخی امور به صورت سلسله مراتبی می باشد که در صورت از کار انداختن یکی از این زنجیره کشتار متصل به هم منجر به خنثی سازی حمله هکر می شود که بسته به هر مرحله اطلاعات و اقدامات مختلفی وجود دارد که در صورت داشتن اطلاعات لازم میتوان این زنجیره را از عمل باز نگهداشت.
مراحل Kill Chain :
زنجیره کشتار یک پردازشی متغیر می باشد که این تنوع بسته به انگیزه، هدف و ماموریت هکر متفاوت می باشد. اغلب هکر های غیر حرفه ای که از روش تهدیدات پیشرفته استفاده می کنند تمام مراحل بالا را انجام نمی دهند و فقط عاملان فوق حرفه ای هرگام را سنجیده و مرحله به مرحله طی می کنند که این میزان دقت در عملکرد توسط عاملان حملات Advanced Persistent Threat (APT) صورت می گیرد و با انجام اقداماتی سنجیده و دقیق به هدف خود نزدیک شده و پس از نفوذ به شبکه یک شرکت را به کنترل خود در می آورند. در شکل زیر مراحل دقیقی که هکرهای با دانش فنی بالا و حرفه ای طی میکنند آورده شده است و این هکرها براساس این قاعده و چارچوب حمله خود را پیش میبرند :
عاملان حملات APT از ابزارهایی که توسط سایر هکر ها مورد استفاده واقع می شوند استفاده کرده و در شبکه قربانی نفوذ می کنند اما اقداماتی که بعد از نفوذ به شبکه قربانی انجام می دهند هکران APT را از سایر عوامل مخرب متمایز می کند. این عاملان مخرب پیشرفته در هنگام حمله سه عامل Tactics, Techniques and Procedures (TTP) را طوری طراحی می کنند که حمله به گونه ای پیش برود که در صورت مواجه با برخی درخواست ها و یا بررسی های امنیتی در شرکت قربانی – که این بررسی ها معمولا توسط Device های امنیتی صورت می پذیرد – به گونه ای عمل کنند که شک برانگیز نباشد و این بازرسی ها را به گونه ای پیشرفته Bypass کند به عبارت بهتر این عاملان اقدامات خود را در شبکه قربانی به گونه ای پیش می برند که مطابق استاندارد های امنیتی شبکه قربانی جلوه دهد
در حملات غیر پیشرفته که توسط هکرهای معمولی صورت می گیرد بعد از رسیدن به هدف و خواسته خود به مرحله Covering Attack دقت نمی کنند و اهمیت چندانی برای آن قائل نمی شوند در حالی که در حملات APT به این مرحله ارزش دو چندانی قائل می شوند و رسیدن به اهداف خود را پایان حمله تداعی نمی کنند و از سیستم قربانی خارج نمی شوند و اقدام به ایجاد درهای پشتی (Backdoor) می کنند تا این قربانی همیشه در دسترس و تحت کنترل این دست از هکران قرار بگیرد و نیز بتوانند در اقدامات آتی مجددا از این سیستم های هک شده برای شرکت در حمله علیه یک قربانی استفاده کنند .