حملات پیشرفته APT و مراحل نفوذ به سیستم قربانی

11 خرداد 1396
نویسنده :  

عامل مخربی که حمله پیشرفته APT را هدایت می کند، دارای یک جعبه ابزاری فوق حرفه ای برای انجام نفوذ خود به قربانی می باشد. این جعبه ابزار معمولا شامل برنامه های مخربی می باشد که برای نفوذ به سیستم های قربانیان این حمله و هک کردن سیستم آنها، مورد استفاده قرار می گیرند. CISO اذعان میکند که هکرهای حرفه ای سعی می کنند در انجام حملات خود از ابزار های استفاده کنند که توسط Device  های امنیتی موجود در سیستم  و یا شبکه قربانی تشخیص داده نشوند. بدافزار ها ، phishing، مهندسی اجتماعی و هر نقطه ضعف موجود در سیستم قربانی، تمام این عوامل به طور یکپارچه زمینه ای را افراهم می کنند که هکر بتواند به  به سیستم امنیتی آن رخنه کند و بعد از رخنه کردن، به انجام هر گونه کار مخربی در سیستم قربانی دست بزند.

 

چه شبکه هایی که به صورت Public در حال خدمات رسانی به عموم مردم هستند و چه شرکت های خاص، مدیران امنیت این بخش ها همیشه در حال جنگ و مقابله با این دست حملات خطرناک و افراد مخرب می باشند که این متخصصین با تکیه  بر یک سری ابزارهای امنیتی مانند IDS، IPS، Firewall سعی در مقابله با حملات سایبری مختلفی هستند

تهدیدات پیشرفته (Advanced Threats) :  

تهدیدات پیشرفته در واقع تداعی گر کد های مخرب و یا بد افزار های مخرب پیشرفته می باشد. هکر های پیشرفته براساس یک قواعد سنجیده و حساب شده ای امنیت یک سازمانی را مورد هدف قرار داده تا پس از دور زدن امنیت این سازمان ها دسترسی های لازم را کسب کنند. تهدیدات پیشرفته از هر روزی که شما طی می کنید انواع مختلفی از حملات طراحی و ایجاد می شوند که این تنوع و پیچیدگی حملات بسته به انگیزه و هدف هکر متنوع می باشد که این کار سازمان هایی که در زمینه امنیت فعالیت می کنند مجبور می کند که باید قدرت و توانایی در خود پرورش بدهند که علاوه بر تشخیص انگیزه هکرها و هویت آنها مانع از رسیدن به اهداف و دسترسی غیر مجاز به منابع شرکت شوند.

نحوه عملکرد تهدیدات پیشرفته توسط هکر

The Kill Chain یا زنجیره کشتار :

The Kill Chain یک چارچوب کاری منحصر به فردی می باشد و  عملیات هکری را که قصد نفود به شرکت را دارد سازماندهی میکند. هکر برای نفوذ نیاز به انجام برخی امور به صورت سلسله مراتبی می باشد که در صورت از کار انداختن یکی از این زنجیره کشتار متصل به هم منجر به خنثی سازی حمله هکر می شود که بسته به هر مرحله اطلاعات و اقدامات مختلفی وجود دارد که در صورت داشتن اطلاعات لازم میتوان  این زنجیره را از عمل باز نگهداشت.

مراحل Kill Chain :

  • Reconnaissance: این مرحله تعیین میکند که هکر یا گروهی از هکر ها چگونه اطلاعاتی را در مورد هدف جمع آوری می کنند که این گرد آوری اطلاعات ممکن است از طریق جستجوی منابع باز، اسکن کردن، web ویا از طریق منابع انسانی اتفاق بیوفتد
  • Development : این مرحله به گردآوری اطلاعات درمورد نرم افزارهای سیستم قربانی و ساختار شبکه ای قربانی می پردازد.
  • Weaponization:  در این مرحله هکر به گونه ای یک exploit و یا یک تروجان را به سمت هدف ارسال می کند تا بتواند یک دسترسی از راه دور برای خود ایجاد کند .
  • Delivery : این مرحله به توضیح اینکه هکر از چه طریقی ابزار مخرب را به قربانی ارسال می کند می پردازد که روش های معمولی که برای انجام این امر استفاده می شود از قبیل Scan & Exploit، Credential – Access، Web – Delivery، Spearphish و یا به صورت فیزیکی این کار انجام می شود.
  • Exploitation : این مرحله روشی را که استفاده می شود تا کد های مخرب در سیستم قربانی اجرا شوند توضیح می دهد در این مرحله هکر چه از حمله 0 – Day استفاده کند و یا حمله ای از قبل طراحی شده و یا از طریق مهندسی اجتماعی، نیاز به فریب دادن کاربر دارد تا این حمله توسط قربانی با اجرای کد مخرب، برنامه مخرب و دیگر روش های تخریب کننده ای صورت پذیرد.
  • Installation : این مرحله ابزار هایی را که توسط هکر پس از نفوذ به قربانی نصب می شوند مشخص می کند. هکر در اولین اقدام خود پس از نفوذ به نصب کردن برنامه های مخرب خود می پردازد که هرکدام از ابزارها معنا و هدف خاصی را به دنبال دارند.
  • Command and Control : این مرحله به تشریح این مسئله می پردازد که هکر چگونه پس از هک کردن سیستم قربانی و نصب ابزارهای مورد نیاز خود بر روی سیستم قربانی به کنترل کردن آنها می پردازد که این مرحله قابل گسترش می باشد و آنها را از طریق منتشر ساختن ابزارهای مخرب در درون شبکه قربانی و کنترل آنها توسط هکر به تسخیر خود در می آورد.
  • Action on Target : پس از اینکه هکر دسترسی اولیه خود را بدست آورد اقدام به پایدار کردن دسترسی خود و نهایی کردن برخی از عملیات می پردازد تا به هدفی که این حمله را طراحی کرده است دست یابد به عنوان مثال هدف هکر گردآوری اطلاعات حساب بانکی قربانی می باشد.

زنجیره کشتار یک پردازشی متغیر می باشد که این تنوع بسته به انگیزه، هدف و ماموریت هکر متفاوت می باشد. اغلب هکر های غیر حرفه ای که از روش تهدیدات پیشرفته استفاده می کنند تمام مراحل بالا را انجام نمی دهند و فقط عاملان فوق حرفه ای هرگام را سنجیده و مرحله به مرحله طی می کنند که این میزان دقت در عملکرد توسط عاملان حملات Advanced Persistent Threat (APT) صورت می گیرد و با انجام اقداماتی سنجیده و دقیق به هدف خود نزدیک شده و پس از نفوذ به شبکه یک شرکت را به کنترل خود در می آورند. در شکل زیر مراحل دقیقی که هکرهای با دانش فنی بالا و حرفه ای طی میکنند آورده شده است و این هکرها براساس این قاعده و چارچوب حمله خود را پیش میبرند :

مراحل حمله پیشرفته APT


عاملان حملات APT از ابزارهایی که توسط سایر هکر ها مورد استفاده واقع می شوند استفاده کرده  و در شبکه قربانی نفوذ می کنند اما اقداماتی که بعد از نفوذ به شبکه قربانی انجام می دهند هکران APT را از سایر عوامل مخرب متمایز می کند. این عاملان مخرب پیشرفته در هنگام حمله سه عامل  Tactics, Techniques and Procedures (TTP) را طوری طراحی می کنند که حمله به گونه ای پیش برود که در صورت مواجه با برخی درخواست ها و یا بررسی های امنیتی در شرکت قربانی - که این بررسی ها معمولا توسط Device های امنیتی صورت می پذیرد -  به گونه ای عمل کنند که شک برانگیز نباشد و این بازرسی ها را به گونه ای پیشرفته Bypass کند به عبارت بهتر این عاملان اقدامات خود را در شبکه قربانی به گونه ای پیش می برند که مطابق استاندارد های امنیتی شبکه قربانی جلوه دهد

در حملات غیر پیشرفته که توسط هکرهای معمولی صورت می گیرد بعد از رسیدن به هدف و خواسته خود به مرحله Covering Attack دقت نمی کنند و اهمیت چندانی برای آن قائل نمی شوند در حالی که در حملات APT به این مرحله ارزش دو چندانی قائل می شوند و رسیدن به اهداف خود را پایان حمله تداعی نمی کنند و از سیستم قربانی خارج نمی شوند و اقدام به ایجاد درهای پشتی (Backdoor) می کنند تا این قربانی همیشه در دسترس و تحت کنترل این دست از هکران قرار بگیرد و نیز بتوانند در اقدامات آتی مجددا از این سیستم های هک شده برای شرکت در حمله علیه یک قربانی استفاده کنند .

از کار انداختن Kill Chain :

در هرسازمانی متخصصین امنیت آن سازمان باید قابلیت هایی مانند defend، resist وto advanced  threat respond را داشته باشند در زیر نمودار مفهومی وجود دارد که نشان می دهد هر مرحله چه اطلاعاتی و چه اقداماتی را به مدیر امنیت سازمان انتقال می دهد.

آنالیز مراحل حمله پیشرفته APT

تشخیص سریع فعالیت های Kill Chain :

تیم امنیتی یک سازمان باید دید کاملی نسبت به امنیت سیستم ها، شبکه و منابع درون سازمانی خود داشته باشند و هرچند وقت یک بار تیم امنیتی موظف است که به ارزیابی امنیت و ساختار امنیت شبکه خود بپردازد. علاوه بر این سیاست های پیاده سازی شده در سازمان را بررسی و تست کند که با این کار علاوه بر اطمینان از صحت عملکرد سیاست های اعمال شده، یک دید امنیتی کلی در مورد امنیت منابع سازمان خود به دست می آورد. همانطور که چک و بررسی کردن فعالیت های بیرون از دیوار آتش سازمان اهمیت دارد به همان میزان بررسی فعالیت های درون که در پشت دیواره آتش قرار دارد بسیار حائز اهمیت می باشد.

ازکار انداختن Kill Chain و متوقف کردن حمله های APT :

تیم امنیت باید علاوه بر قابلیت های امنیتی موجود در سازمان باید از میزان آگاهی پرسنل خود، که چه مقدار دانش امنیتی دارند نیز اطلاعاتی داشته باشد تا با برگزاری جلسات آموزشی، پرسنل را نسبت به تهدیدات سایبری آگاه سازی کند. یک متخصص امنیت همیشه باید این سوال را از خود بپرسد که آیا سازمان فعلی خود امن می باشد؟ در صورت نا امن بودن چه اقداماتی لازم است انجام پذیرد تا این امر محقق شودکه تمام این موارد نیازمند یک تیم امنیتی متخصص است که بتواند به صورت Real Time شبکه را مانیتور و آنالیز کند.

تلاش برای مصون ماندن در مقابل حملات APT :

از انجایی که هیچ سیستم و شبکه سازمانی نمی تواند ادعا کند که به طور صد در صدی شبکه آنها در مقابل حملات APT در امان هستند اما می توان با بررسی دقیق و موثری از امنیت شبکه و پیکربندی درست Device ها و قابلیت های امنیتی موجود در سازمان مقابل این حملات ایستادگی کرد.

موارد مرتبط

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد