APT یا Advanced Persistent Threat چیست ؟

APT یا Advanced Persistent Threat چیست ؟ APT به حملات تحت شبکه اطلاق می شود که یک شخص احراز هویت نشده می تواند برای مدت زمان زیادی به صورت ناشناس به شبکه دسترسی پیدا کند. هدف یک حمله APT سرقت اطلاعات است، نه صرفا ضربه زدن به سازمان و یا انجام اعمال خراب کارانه. به همین منظور اغلب هدف این گونه حملات معمولا سازمانی های است که اطلاعات مفیدی در اختیار دارند مانند سازمان دفاع، صنایع تولیدی و مالی.در یک حمله معمولی، حمله کننده تلاش می کند تا به سرعت وارد شده، اطلاعات را سرقت نماید و از شبکه خارج شود تا سیستم های تشخیص نفوذ شانس کمتری برای یافتن این گونه حملات داشته باشند. هرچند در این حملات هدف ورود و خروج سریع نیست و معمولا این گونه حملات، مانا (Persistent) هستند. بدین منظور حمله کننده باید دائما کد های فایل مخرب را بازنویسی نماید و تکنیک های پنهان سازی پیچیده ای (به همین دلیل به آنها Advanced گفته میشود) استفاده نماید.

حملات APT معمولا از طریق حمله Spear Fishing، که نوعی حمله به سبک مهندسی اجتماعی است، به شبکه نفوذ میکنند. و وقتی نفوذ انجام شد فایل مخرب یک در پشتی بر روی شبکه ایجاد مینماید.قدم بعدی یافتن نام و پسورد کاربری معتبر (مانند ادمین شبکه) می باشد تا بتواند خود را بر روی دیگر سیستم های درون شبکه منتقل نماید و در پشتی را بر روی آن ها نیز نصب نماید. در پشتی به حمله کننده این امکان را میدهد تا هر زمان که خواست ابزار مخرب را بر روی سیستم ها نصب کند و اصطلاحا یک “زیرساخت روح” یا Ghost Infrastructure برای توزیع بدافزار ایجاد نماید.هرچند یافتن حملات APT کار به نظر دشواری است، ولی سرقت اطلاعات کاملا مخفی باقی نمی ماند. می توان با تشخیص انومالی در ترافیک خروجی سازمان، که شاید بهترین راه ممکن هم باشد، این حملات را شناسایی نمود. 

نحوه عملکرد تهدیدات پیشرفته توسط هکر

The Kill Chain یا زنجیره کشتار :

The Kill Chain یک چارچوب کاری منحصر به فردی می باشد و  عملیات هکری را که قصد نفود به شرکت را دارد سازماندهی میکند. هکر برای نفوذ نیاز به انجام برخی امور به صورت سلسله مراتبی می باشد که در صورت از کار انداختن یکی از این زنجیره کشتار متصل به هم منجر به خنثی سازی حمله هکر می شود که بسته به هر مرحله اطلاعات و اقدامات مختلفی وجود دارد که در صورت داشتن اطلاعات لازم میتوان  این زنجیره را از عمل باز نگهداشت.

مراحل Kill Chain :

• Reconnaissance: این مرحله تعیین میکند که هکر یا گروهی از هکر ها چگونه اطلاعاتی را در مورد هدف جمع آوری می کنند که این گرد آوری اطلاعات ممکن است از طریق جستجوی منابع باز، اسکن کردن، web ویا از طریق منابع انسانی اتفاق بیوفتد
• Development : این مرحله به گردآوری اطلاعات درمورد نرم افزارهای سیستم قربانی و ساختار شبکه ای قربانی می پردازد.
• Weaponization:  در این مرحله هکر به گونه ای یک exploit و یا یک تروجان را به سمت هدف ارسال می کند تا بتواند یک دسترسی از راه دور برای خود ایجاد کند .
• Delivery : این مرحله به توضیح اینکه هکر از چه طریقی ابزار مخرب را به قربانی ارسال می کند می پردازد که روش های معمولی که برای انجام این امر استفاده می شود از قبیل Scan & Exploit، Credential – Access، Web – Delivery، Spearphish و یا به صورت فیزیکی این کار انجام می شود.
• Exploitation : این مرحله روشی را که استفاده می شود تا کد های مخرب در سیستم قربانی اجرا شوند توضیح می دهد در این مرحله هکر چه از حمله ۰ – Day استفاده کند و یا حمله ای از قبل طراحی شده و یا از طریق مهندسی اجتماعی، نیاز به فریب دادن کاربر دارد تا این حمله توسط قربانی با اجرای کد مخرب، برنامه مخرب و دیگر روش های تخریب کننده ای صورت پذیرد.
• Installation : این مرحله ابزار هایی را که توسط هکر پس از نفوذ به قربانی نصب می شوند مشخص می کند. هکر در اولین اقدام خود پس از نفوذ به نصب کردن برنامه های مخرب خود می پردازد که هرکدام از ابزارها معنا و هدف خاصی را به دنبال دارند.
• Command and Control : این مرحله به تشریح این مسئله می پردازد که هکر چگونه پس از هک کردن سیستم قربانی و نصب ابزارهای مورد نیاز خود بر روی سیستم قربانی به کنترل کردن آنها می پردازد که این مرحله قابل گسترش می باشد و آنها را از طریق منتشر ساختن ابزارهای مخرب در درون شبکه قربانی و کنترل آنها توسط هکر به تسخیر خود در می آورد.
• Action on Target : پس از اینکه هکر دسترسی اولیه خود را بدست آورد اقدام به پایدار کردن دسترسی خود و نهایی کردن برخی از عملیات می پردازد تا به هدفی که این حمله را طراحی کرده است دست یابد به عنوان مثال هدف هکر گردآوری اطلاعات حساب بانکی قربانی می باشد.

زنجیره کشتار یک پردازشی متغیر می باشد که این تنوع بسته به انگیزه، هدف و ماموریت هکر متفاوت می باشد. اغلب هکر های غیر حرفه ای که از روش تهدیدات پیشرفته استفاده می کنند تمام مراحل بالا را انجام نمی دهند و فقط عاملان فوق حرفه ای هرگام را سنجیده و مرحله به مرحله طی می کنند که این میزان دقت در عملکرد توسط عاملان حملات Advanced Persistent Threat (APT) صورت می گیرد و با انجام اقداماتی سنجیده و دقیق به هدف خود نزدیک شده و پس از نفوذ به شبکه یک شرکت را به کنترل خود در می آورند. در شکل زیر مراحل دقیقی که هکرهای با دانش فنی بالا و حرفه ای طی میکنند آورده شده است و این هکرها براساس این قاعده و چارچوب حمله خود را پیش میبرند :

عاملان حملات APT از ابزارهایی که توسط سایر هکر ها مورد استفاده واقع می شوند استفاده کرده  و در شبکه قربانی نفوذ می کنند اما اقداماتی که بعد از نفوذ به شبکه قربانی انجام می دهند هکران APT را از سایر عوامل مخرب متمایز می کند. این عاملان مخرب پیشرفته در هنگام حمله سه عامل  Tactics, Techniques and Procedures (TTP) را طوری طراحی می کنند که حمله به گونه ای پیش برود که در صورت مواجه با برخی درخواست ها و یا بررسی های امنیتی در شرکت قربانی – که این بررسی ها معمولا توسط Device های امنیتی صورت می پذیرد –  به گونه ای عمل کنند که شک برانگیز نباشد و این بازرسی ها را به گونه ای پیشرفته Bypass کند به عبارت بهتر این عاملان اقدامات خود را در شبکه قربانی به گونه ای پیش می برند که مطابق استاندارد های امنیتی شبکه قربانی جلوه دهد

در حملات غیر پیشرفته که توسط هکرهای معمولی صورت می گیرد بعد از رسیدن به هدف و خواسته خود به مرحله Covering Attack دقت نمی کنند و اهمیت چندانی برای آن قائل نمی شوند در حالی که در حملات APT به این مرحله ارزش دو چندانی قائل می شوند و رسیدن به اهداف خود را پایان حمله تداعی نمی کنند و از سیستم قربانی خارج نمی شوند و اقدام به ایجاد درهای پشتی (Backdoor) می کنند تا این قربانی همیشه در دسترس و تحت کنترل این دست از هکران قرار بگیرد و نیز بتوانند در اقدامات آتی مجددا از این سیستم های هک شده برای شرکت در حمله علیه یک قربانی استفاده کنند .