معرفی حملات APT و راه های شناسایی و مقابله با آن

  • نویسنده: سعیده صادقی
  • تاریخ انتشار: دوشنبه ، ۲۷ بهمن ماه ۹۹
  • تعداد بازدید: 601
  • تعداد نظرها: 0
  • دسته بندی: ارزیابی امنیتی

مقدمه

سوء استفاده گران و هکرها همواره به دنبال راهی برای نفوذ به سیستم های کاربران به ویژه کاربرانی که سیستم های آنها حاوی اطلاعات مهم و با ارزشی می باشد، بوده اند. از طرفی، شرکت های امنیتی نیز همواره به دنبال کشف انواع ضد بدافزارها برای جلوگیری از حملات هکرها بوده اند و تا حد زیادی توانسته اند جلوی فعالیت­های مخرب آنها را بگیرند؛ به همین دلیل هکرها به دنبال ایجاد بد افزار هایی هستند که قابل ردیابی نباشند تا بتوانند به مدت طولانی در سیستم کاربران باقی بمانند و نهایت استفاده را از نفوذ خود ببرند و به همین دلیل این روزها به سمت حملات APT و بدافزارهای Fileless حرکت می کنند. در این مقاله قصد داریم به معرفی حملات APT و راه های شناسایی و مقابله با آن ها بپردازیم.

  APTattacks

 

حمله APT یا Advanced Persistent Threats چیست؟

تهدید مداوم پیشرفته (APT) نوعی حمله سایبری تحت شبکه  است که یک شخص احراز هویت نشده می تواند برای مدت زمان زیادی به صورت ناشناس به شبکه دسترسی پیدا کند. هدف حملات APT صرفاً ضربه زدن به سازمان و یا اعمال خراب کارانه نیست، بلکه هدف در این گونه حملات سازمانی هایی که اطلاعات مفیدی در اختیار دارند (مانند سازمان دفاع، صنایع تولیدی و مالی و ...) است. برخلاف حملات رایج که در آن، حمله کننده تلاش می کند تا به سرعت وارد شده، اطلاعات را گرفته و سیستم را ترک کند تا سیستم های تشخیص نفوذ شانس کمتری برای یافتن این گونه حملات داشته باشند؛ در این حملات هدف ورود و خروج سریع نبوده و معمولاً این گونه حملات، مانا یا Persistent  هستند. بدین منظور حمله کننده باید دائماً کدهای فایل مخرب را بازنویسی نماید و تکنیک های پنهان سازی پیچیده ای را استفاده نماید (به همین دلیل به آنها Advanced گفته می شود).
فناوری اینترنتی APT توسط حمله کنندگان در بسیاری از کشورها به عنوان وسیله ای برای جمع آوری اطلاعات از فرد، گروه و افراد مشخص استفاده می شود. گفته می شود که برخی از گروه های درگیر درAPT  توسط منابع متعدد دولتی به طور مستقیم یا غیرمستقیم حمایت می شوند.

در حملات APT نفوذگر معمولاً از طریق حمله Spear Fishing، که نوعی حمله به سبک مهندسی اجتماعی است به شبکه نفوذ می کنند و وقتی نفوذ انجام شد، فایل مخرب یک در پشتی (Back Door) بر روی شبکه ایجاد می کند. قدم بعدی یافتن نام و پسورد کاربری معتبر مانند ادمین شبکه می باشد تا بتواند خود را بر روی دیگر سیستم های درون شبکه منتقل نماید و در پشتی را بر روی آن ها نیز نصب نماید. در پشتی به حمله کننده این امکان را می دهد تا هر زمان که خواست ابزار مخرب را بر روی سیستم ها نصب کند و اصطلاحاً یک زیرساخت روح (یا Ghost Infrastructure) برای توزیع بدافزار ایجاد نماید.

تفاوت حملات APT با تهدیدهای برنامه های وب سنتی شامل موارد زیر می­شود:

  • اجرای یک حمله APT به منابع بیشتری نسبت به حمله استاندارد برنامه وب نیاز دارد. عاملان این امر معمولاً تیم هایی از مجرمان سایبری باتجربه هستند که از حمایت مالی قابل توجهی برخوردار هستند. برخی از حملات APT توسط دولت تأمین می شود و به عنوان سلاح های جنگ سایبری مورد استفاده قرار می گیرد.
  • آنها به طور قابل توجهی پیچیده تر هستند.
  • هنگامی که به یک شبکه نفوذ کردند، برای دستیابی به بیشترین اطلاعات ممکن، باقی می مانند و حمله را سریعا انجام نمی دهند.
  • هدف آنها ، اغلب نفوذ به یک شبکه کامل است و نه یک قسمت به طور خاص.

 

چرخه حملات APT:

حملات APT به گونه ای طراحی شده اند که اقدامات امنیتی موجود در هدف را دور بزنند و به سازمان هدف نفوذ کنند. اجرای یک حمله APT نیاز به ترکیبی از دانش های پیشرفته در مورد زیرساخت های سازمان، سیاست ها و رویه های امنیتی و استفاده از تاکتیک های پیچیده دارد. تقریباً تمام حملات APT از چرخه زیر پیروی می کنند:

Lifecycle

۱: نفوذ به هدف

در مرحه اول لازم است نفوذ به هدف صورت گیرد. شرکتها معمولاً از یکی از روشهای زیر مورد نفوذ قرار می گیرند: دارایی های تحت وب، منابع شبکه  و کاربران. این امر یا از طریق بارگذاری های مخرب (به عنوان مثال تزریق RFI ، SQL) یا حملات مهندسی اجتماعی (به عنوان مثال فیشینگ و پیوست های ایمیل) حاصل می شود که تهدیدهایی هستند که سازمان های بزرگ به طور منظم با آنها روبرو می شوند. علاوه بر این نفوذی ها ممکن است به طور همزمان حمله DDoS را علیه هدف خود اجرا کنند.

۲: درج بدافزار

پس از دستیابی به دسترسی اولیه، مهاجمان به سرعت در پشتی (Back Door) را نصب می کنند - بدافزاری که دسترسی به شبکه را امکان پذیر کرده و امکان انجام عملیات پنهانکاری از راه دور را فراهم می سازد، فضای بیشتری را برای فعالیت آن ها مهیا و به نحوی بستر را برای گسترش فعالیت ها افزایش دهد. در پشتی می تواند همچنین به صورت یک Trojan باشد و به عنوان یک نرم افزار مجاز و قانونی جلوه داده شود.

3: گسترش

در این مرحله زمان آن رسیده است که مهاجمان دسترسی خود را به سیستم هدف عمیق تر و راه های نفوذ را بیشتر کنند تا کنترل بیشتری بر روی هدف داشته باشند. همچنین آن ها در این مرحله بر روی ایجاد تونل هایی برای انتقال داده ها که بعدتر به آن نیازمندند کار خواهند کرد. بسته به هدف نهایی حمله، داده های جمع شده را می توان به یک شرکت رقیب فروخت، برای خرابکاری در خط تولید یک شرکت، داده­ها را تغییر داد یا برای سرنگونی کل سازمان از آن­ها استفاده کرد. اگر انگیزه کارشکنی باشد، از این مرحله برای کنترل دقیق عملکردهای حیاتی متعدد و دستکاری آنها در یک توالی خاص استفاده می شود تا بیشترین آسیب را ببیند. به عنوان مثال، مهاجمان می توانند پایگاه داده های کل شرکت را حذف کرده و سپس ارتباطات شبکه را مختل کنند تا روند بازیابی طولانی شود.

۴: اکتشاف و استخراج داده­ها

هنگامی که مهاجمان دسترسی عمیق تری به سیستم پیدا کردند، می توانند اطلاعات و داده های مورد نیاز را کشف کرده و به مکان دیگری در داخل شبکه انتقال داده، فشرده کرده و از طریق تونل هایی که ایجاد کرده اند انتقال دهند. به همین ترتیب به گسترش خود ادامه داده، کشف داده های بیشتری را انجام می دهند و انتقال می دهند. در این مرحله، هدف رسماً به خطر افتاده است. وقتی داده ها در یک مکان امن در شبکه ذخیره می شوند و اغلب توسط نفوذگر رمزگذاری می شوند. معمولاً از روشهای نویز سفید (White Noise) برای جلب توجه تیم های امنیتی استفاده می شود تا اطلاعات به بیرون منتقل شوند. 

 

عواقب ناشی از حملات APT

اهداف این حملات ، که بسیار دقیق انتخاب و مورد تحقیق قرار گرفته اند، معمولاً شرکت های بزرگ یا شبکه های دولتی است. عواقب چنین نفوذهایی گسترده و شامل موارد زیر است:

  • سرقت مالکیت معنوی (به عنوان مثال اسرار تجاری یا حق ثبت اختراع)
  • اطلاعات حساس (به عنوان مثال اطلاعات خصوصی کارمندان و کاربران، اطلاعات سازمان بهداشت و سازمان های حساس دیگر)
  • خرابکاری در زیرساخت های مهم سازمانی (به عنوان مثال حذف پایگاه داده)
  • تصاحب کل سایت

در این حملات ممکن است بد افزار خود را در پشت یک API در سطح کاربر و یا در سطح هسته مخفی کرده و توسط کاربر و حتی توسط ضد ویروس ها قابل شناسایی نباشد.

برخی از انواع جدید بدافزارهای Fileless در Registery ویندوز سیستم جایگزین می شوند. بدافزار در ابتدا به عنوان یک فایل به سیستم وارد می شود اما پس از آن با Reboot یا راه اندازی مجدد دیگر نیازی به اجرای فایل اولیه نخواهد بود. عموماً سیستم ها و ایمیل ها ابزاری برای نفوذ این نوع بدافزار می باشند و به محض اجرای فایل ضمیمه، بدافزار کد مخرب را به صورت رمزگذاری شده در Registery ثبت می کند و خود را از سیستم حذف می کند.

 

معروف ترین گروه­های APT

حملات APT معمولاً توسط تیم هایی که آن ها را طراحی کرده اند، نام گذاری می شوند. برخی از معروف ترین و فعال ترین این گروه ها عبارتند از:

  • GhostNet

	GhostNet

این گروه در چین مستقر بوده و حملات آنها توسط ایمیل های فیشینگ حاوی بدافزار انجام می شد. این گروه با تمرکز بر دستیابی به شبکه وزارتخانه های دولتی و سفارتخانه ها در بیش از 100 کشور رایانه ها را به خطر انداختند. مهاجمان توسط ماشینهای داخل این سازمانها، دوربینها و میکروفونهای آنها را روشن کرده و به دستگاههای نظارتی تبدیل کردند.

  • Stuxnet

Stuxnet

کرم مورد استفاده برای حمله به برنامه هسته ای ایران، که از طریق یک دستگاه USB آلوده انجام شد و به سانتریفیوژهای مورد استفاده برای غنی سازی اورانیوم آسیب رساند. Stuxnet بدافزاری است که سیستم های SCADA (کنترل و نظارت صنعتی) را هدف قرار می دهد و بدون اطلاع اپراتورها قادر بود فعالیت ماشین آلات را در برنامه هسته ای مختل کند.

  • FIN4

FireEye فاش کرد که بیش از 100 شرکت از طریق حساب های ایمیل خود از اواسط سال 2013 توسط هکرهای وال استریت مورد حمله قرار گرفته اند تا اطلاعات مربوط به فعالیتهای آنها در بازار سهام مورد سوؤ استفاده قرار گیرد. FireEye ضمن نام بردن از قربانیان گفت که اکثر آنها شرکت های دارویی و بهداشتی، بانکداران و وکلا هستند که "به طور منظم درباره اطلاعات محرمانه و متغیر بازار بحث می کنند.

  •  حمله سایبری بی سابقه اخیر در آمریکا

Solarwinds

آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) اظهار کرده است که گروه APT در پشت حملات اخیر با هدف قرار دادن آژانس های دولتی ایالات متحده، از بیش از یک بردار دسترسی اولیه استفاده کرده است.

حملات در ابتدا به یک شرکت ارائه دهنده خدمات نرم افزاری به نام «سولار ویندز (Solarwinds)» انجام شده است. هکرها با نصب یک در پشتی در یکی از نرم افزارهای محبوب این شرکت به نام «اوریون (Orion)»، توانستند به تمامی موسساتی که از این نرم افزار استفاده می‌کردند، نفوذ کنند.

نرم افزار «اوریون» بر روی سرورهای بسیاری از شرکت‌های خصوصی و دولتی نصب شده و لذا آلوده کردن آن به هکرها امکان داد تا به سیستم‌های رایانه‌ای آنها نیز نفوذ کنند. بررسی‌های موسسه CISA در آمریکا نشان می‌دهد هکرها از همین طریق به شبکه‌های رایانه‌ای ده ها شرکت خصوصی و سازمان دولتی نفوذ کرده اند.

بر اساس اطلاعات ارائه شده توسط CISA، گروه موسوم به APT29  (با نام مستعار خرس دنج یا The Dukes) با حمایت دولت روسیه، برای مدت زمان طولانی در شبکه های این سازمان ها حضور داشته است.

   

روش های تشخیص یک حمله APT

روش های تشخیص

هرچند یافتن حملات APT کار به نظر دشواری است، ولی سرقت اطلاعات کاملاً مخفی باقی نمی ماند. می توان با تشخیص انومالی یا رفتار غیرعادی در ترافیک خروجی سازمان -که شاید بهترین راه ممکن هم باشد- این حملات را شناسایی نمود. سازمان ها می­توانند توسط روش های مانیتورینگ و کنترل­های امنیتی مداوم متوجه علائم آن شوند، از جمله:

  • فعالیت غیرمعمول و مشکوک در حساب های کاربر (بخصوص حساب های با دسترسی بالا)
  • استفاده گسترده از بدافزارهای در پشتی (به منظور حفظ دسترسی)
  • فعالیت مشکوک و غیرمعمول در بانک های اطلاعاتی
  • تشخیص ناهنجاری در اطلاعاتی که از شبکه خارج می شوند

 

اقدامات امنیتی در مقابله با APT

شناسایی و محافظت صحیح از APT نیاز به رویکردی چند وجهی از سوی مدیران شبکه، ارائه دهندگان امنیت و کاربران دارد.

نظارت بر ترافیک

نظارت بر ترافیک ورودی و خروجی سازمان بهترین روش برای جلوگیری از نصب درهای پشتی و جلوگیری از استخراج داده های سرقت شده محسوب می شود. بازرسی ترافیک داخل محیط شبکه همچنین می تواند به کارشناسان امنیتی در مورد هرگونه رفتار غیرمعمول که ممکن است به فعالیت مخرب اشاره کند، هشدار دهد.

فایروال برنامه های تحت وب (WAF) که در لبه شبکه مستقر شده است، ترافیک به سمت سرورهای برنامه وب را فیلتر کرده و بدین ترتیب از یکی از آسیب پذیرترین سطوح برنامه در برابر حمله محافظت می کند. در WAF می تواند به از بین بردن حملات لایه های کاربردی (مانند حملات تزریق RFI و SQL) که معمولاً در مرحله نفوذ APT استفاده می شود، کمک کند.

سرویس های نظارت بر ترافیک داخلی (مانند فایروال های شبکه) طرف دیگر این معادله هستند.

در نهایت، سرویس های کنترل ترافیک ورودی می توانند برای شناسایی و از بین بردن درهای پشتی مفید باشند. با رهگیری درخواست های از راه دور از اپراتورها می توان این موارد را تشخیص داد.

لیست سفید برنامه و دامنه

لیست سفید روشی برای کنترل دامنه هایی است که از طریق شبکه می توان به آنها دسترسی داشت و همچنین برنامه هایی که توسط کاربران، قابل دسترسی است. این روش مفید دیگری برای کاهش میزان موفقیت حملات APT با به حداقل رساندن سطوح حمله موجود است.

با این حال پرونده های مخرب معمولاً تحت عنوان نرم افزار قانونی وارد می شوند. علاوه بر این ، نسخه های قدیمی محصولات نرم افزاری مستعد به خطر افتادن و بهره برداری غیر مجاز هستند.

برای داشتن لیست سفید موثر، باید سیاست های دقیق بروزرسانی اعمال شود تا اطمینان حاصل شود که کاربران همیشه آخرین نسخه از هر برنامه ای را که در لیست است، اجرا می کنند.

کنترل دسترسی

برای مجرمان، کاربران عادی به طور معمول بزرگترین و آسیب پذیرترین نقاط از دیدگاه امنیتی هستند.

 در اینجا، اهداف احتمالی در یکی از سه دسته زیر قرار می گیرند:

  • کاربران بی دقتی که خط مشی های امنیتی شبکه را نادیده می گیرند و ناآگاهانه اجازه دسترسی به تهدیدات احتمالی را می دهند.
  • خودی های مخربی که عمداً از اعتبار کاربری خود سوء استفاده می کنند تا به مجرم دسترسی دهند.
  • کاربران به خطر افتاده که دسترسی به شبکه آنها در معرض خطر قرار گرفته و توسط مهاجمان استفاده می شود.

کنترل سطح دسترسی: طبقه بندی داده ها بر اساس نیاز کمک می کند تا توانایی متجاوز در بدل کردن اعتبار ورود به سیستم از یک کارمند سطح پایینبه کاربر سطح بالا، مسدود شود.

نقاط اصلی دسترسی به شبکه باید با احراز هویت دو عاملی (2FA) ایمن شوند. بنابراین لازم است که کاربران هنگام دسترسی به مناطق حساس از تأیید دو عاملی (به  طور معمول کد عبور ارسال شده به دستگاه تلفن همراه کاربر) استفاده کنند. به این ترتیب، مهاجمان غیر مجاز که تلاش می کنند خود را به عنوان کاربران قانونی معرفی نمایند، نمی­توانند دسترسی به شبکه بگیرند.

اقدامات دیگر

علاوه بر موارد ذکر شده ، اینها بهترین اقداماتی است که باید هنگام ایمن سازی شبکه انجام شود:

 نصب وصله های امنیتی برای نرم افزارهای تحت شبکه و آسیب پذیری های سیستم عامل در اسرع وقت

  • رمزگذاری ارتباطات از راه دور برای جلوگیری از نفوذ متجاوز.
  • فیلتر کردن ایمیل های دریافتی برای جلوگیری از حمله هرزنامه و فیشینگ
  • استفاده از مراکز عملیات امنیت (SOC) جهت ثبت سریع رویدادهای امنیتی برای کمک به بهبود لیست های سفید و سایر سیاست های امنیتی
  • اسکن منظم جهت شناسایی درهای پشتی

 باتوجه به اینکه حملات سایبری و از جمله آن­ها حملات APT روز به روز در حال گسترش هستند. لازم است از  به روز بودن تمامی نرم افزارهای ضد ویروس و برنامه های مورد استفاده در سازمان اطمینان حاصل شود. و به منظور جلوگیری از مشاهده هر گونه رفتار غیر طبیعی مانند ترافیک غیر منتظره، لاگین های مشکوک، رخدادهای مخرب و سرقت اطلاعات  می­توان با انجام آزمون نفوذ پذیری به صورت دوره ای نسبت به این گونه نقاط ضعف واقف شده و اقدامات امنیتی مناسب جهت برطرف کردن هر چه زودتر آن­ها صورت پذیرد.

برای مطالعه مقالات بیشتر در حوزه امنیت سایبری، وبلاگ آشنا ایمن را دنبال کنید.

نویسنده: سعیده صادقی دسته بندی: ارزیابی امنیتی