پنج مرحله از یک حمله پایدار پیشرفته
تمام هدف حمله APT دستیابی مداوم به سیستم است. حملات APT دارای مراحل متعددی هستند، از دسترسی اولیه توسط مهاجمان تا استخراج نهایی داده ها و حملات بعدی. هکرها در مراحل پنجگانه به این امر دست می یابند.
مرحله اول: دسترسی اولیه
گروه های APT کمپین خود را با دسترسی به یک شبکه از طریق یکی از سه سطح حمله آغاز می کنند: سیستم های مبتنی بر وب، شبکه ها یا کاربران انسانی. آنها معمولاً از طریق آپلودهای مخرب، جستجو و سوء استفاده از آسیب پذیری های برنامه، شکاف های موجود در ابزارهای امنیتی، فیشینگ نیزه ای که کارمندان دارای حساب های دارای امتیاز را هدف قرار می دهند، دسترسی پیدا می کنند. هدف آلوده کردن سیستم قربانی با نرم افزارهای مخرب است.
مرحله دوم: اولین نفوذ و استقرار بدافزار
پس از دسترسی، مهاجمان با نصب یک پوسته درب پشتی، یک تروجان پوشانده شده به عنوان نرم افزار قانونی یا بدافزار دیگری که به آنها امکان دسترسی به شبکه و کنترل از راه دور سیستم نفوذی را می دهد، سیستم نفوذ شده را به خطر می اندازند. یک نقطه عطف مهم ایجاد یک ارتباط خروجی با سیستم فرماندهی و کنترل آنهاست. APTها ممکن است از تکنیک های بدافزار پیشرفته مانند رمزگذاری، مبهم سازی یا بازنویسی کد برای پنهان کردن فعالیت خود استفاده کنند.
مرحله سوم: گسترش دسترسی و حرکت جانبی
مهاجمان از اولین نفوذ برای جمع آوری اطلاعات بیشتر در مورد شبکه هدف استفاده می کنند. آنها ممکن است از حملات Brute Force استفاده کنند یا از آسیب پذیری های دیگری که در داخل شبکه کشف می کنند برای دستیابی به دسترسی عمیق تر و کنترل سیستم های اضافی و حساس تر سوء استفاده کنند. مهاجمان درهای پشتی اضافی را نصب می کنند و تونل هایی ایجاد می کنند که به آن ها اجازه می دهد حرکت جانبی را در سراسر شبکه انجام دهند و داده ها را به دلخواه منتقل کنند.
مرحله چهارم: صحنه سازی حمله
هنگامی که آنها حضور خود را گسترش دادند، مهاجمان داده ها یا دارایی هایی را که به دنبال انها هستند شناسایی می کنند و آنها را به یک مکان امن در داخل شبکه منتقل می کنند که معمولاً رمزگذاری شده و فشرده می شود تا برای نفوذ آماده شوند. این مرحله می تواند زمان بر باشد، زیرا مهاجمان همچنان به سیستم های حساس تر آسیب می زنند و داده های خود را به ذخیره سازی امن منتقل می کنند.
مرحله پنجم: نفوذ یا ایجاد آسیب
در نهایت، مهاجمان برای انتقال داده ها به خارج از سیستم آماده می شوند. آنها اغلب یک “حمله نویز سفید” مانند حمله انکار سرویس توزیع شده(DDoS) انجام می دهند تا حواس تیم های امنیتی را در حین انتقال داده ها به خارج از محیط شبکه منحرف کنند. سپس آنها اقدامات لازم را برای حذف شواهد قانونی انتقال داده انجام خواهند داد.
بسته به هدف حمله، در این مرحله گروه APT ممکن است آسیب زیادی ایجاد کند، سازمان را تضعیف نموده یا دارایی های حیاتی مانند وب سایت ها یا مراکز داده را در اختیار بگیرد.
اگر حمله APT شامل استخراج بی صدای داده ها باشد که شناسایی نشده، مهاجمان در داخل شبکه باقی می مانند و منتظر فرصت های حمله مجدد می مانند. با گذشت زمان آنها ممکن است داده های حساس اضافی را جمع آوری کنند و این روند را تکرار کنند. آنها همچنین به دنبال ایجاد درهای پشتی هستند که تشخیص آنها دشوار است، بنابراین حتی اگر دستگیر شوند، می توانند در آینده دوباره به سیستم دسترسی پیدا کنند.
خطر اصلی حملات APT این است که حتی زمانی که آنها کشف می شوند و به نظر می رسد تهدید فوری از بین رفته است، هکرها ممکن است درهای پشتی متعددی را باز گذاشته باشند که به آنها اجازه می دهد در صورت تمایل باز گردند. علاوه بر این بسیاری از دفاع های سایبری سنتی مانند آنتی ویروس و فایروال ها همیشه نمی توانند در برابر این نوع حملات محافظت کنند.
ترکیبی از اقدامات متعدد، از راه حل های امنیتی پیچیده گرفته تا نیروی کار آموزش دیده و آگاه از تکنیک های مهندسی اجتماعی، باید به کار گرفته شود تا شانس یک دفاع پایدار موفق را به حداکثر برساند.