» » Advanced Persistent Threat (APT)
miércoles, 10 de noviembre de 2010

14:03

¿Qué es APT? 

APT (Advanced Persistent Threat) es el término está ganando cada vez mayor cobertura de prensa, y sin embargo, la definición de esta creciente amenaza sigue sin estar claro a la mayoría de la gente que he hablado con en TI y Seguridad de la Información. 

En Wikipedia lleva a la definición militar clásica, como APT tiene una historia centrada en la infiltración clandestina de nacionales de un enemigo, la infraestructura regional o local, la recopilación de inteligencia y espionaje. También intento de describir la perspectiva de Seguridad de la Información, sin embargo, la asunción de la participación de los estados nacionales sigue siendo fundamental para la descripción. Esto ya no es del todo correctos. 

APT agentes no son los masivamente distribuidos, ruidosos y torpes agentes de software malicioso que dominan Internet. La mayoría de malware se ha construido para subvertir los sistemas de la mayor cantidad en el menor lapso de tiempo posible con el fin de maximizar la adquisición de objetivos y los beneficios a corto plazo. 

El éxito de los ataques APT tomar el camino contrario, lo que requiere que el atacante sea paciente, discreto, y hacer un esfuerzo para volar debajo del radar de la organización de destino. Dado que los recursos empleados y el tiempo involucrado en la investigación, desarrollo y difusión de software malicioso a un público tan minutos son costosos y de alto valor, el atacante se esperan retornos de alto valor en algún momento en el ejercicio. Por lo tanto, lo que hace que el malware APT diferente que el malware botnet? Ambos datos agarrar, ambos tratan de obtener los datos fuera, y ambos operan en la información financiera y la contraseña al intentar que permanezcan instalados y / u ocultos. El diablo está en los detalles.

Desglose de los componentes individuales de la expresión de amenazas avanzadas persistentes:

Avanzado:
Los criminales detrás de la amenaza de hacer uso de toda la gama de tecnologías y técnicas de intrusión. Ellos combinan múltiples metodologías y herramientas de ataque con el fin de llegar a su objetivo y en la violación previsto, incluyendo la ingeniería social de hardware, y la distribución de software, así como capacidades de mezcla de software malicioso para crear un "código de diseño".

Persistentes:
Los delincuentes a menudo se dará prioridad a las tareas y objetivos específicos, en lugar de buscar beneficios económicos inmediatos. El verdadero peligro del ataque es que se lleva a cabo mediante el seguimiento a largo plazo y la interacción con el fin de alcanzar los objetivos definidos.

Amenaza:
El ataque es a menudo bien planificados, cuidadosamente dirigida, orquestada y profesional en lugar de ejecutarse como una secuencia de comandos de propagación automática. Los delincuentes que participan tienen un objetivo específico, son experimentados, capacitados, motivados, organizados y bien financiados.

Algunos APT Características Malware agente:
  • Pequeño tamaño del ejecutable inicial.
  • Medios para ocultar su código y su presencia activa.
  • Código para despertar y activar la activación.
  • Mecanismo de alerta atacante de la implementación exitosa / penetración.
  • Mecanismo para comunicar información recopilada.
  • Mecanismo de actualización para recibir los cambios de código y add-ons.
  • Algunos pueden ofrecer acceso de puerta trasera, escaneo de vulnerabilidades y capacidades de propagación.
  • Las actividades y la comunicación tiende a ser bajo y lento, tratando de hacer el menor ruido posible, y que figuran como las comunicaciones de red normal o de fondo.
Cualquier atacante puede adoptar la metodología de APT, siempre y cuando la unidad está presente para alcanzar los objetivos del atacante, y los recursos para realizar el ataque están presentes. Hay por lo general debe ser suficiente valor involucrado en algún momento de la operación para atar algunos recursos muy valiosos durante el ciclo de vida prolongado del ataque.

Estos recursos incluyen:
  • Una explotación que no haya sido previamente publicados, o no tiene ningún parche disponible.
  • Prestaciones definidas.
  • Propiedad Intelectual.
  • Contraseñas y nombres de cuenta.
  • Business Intelligence Partner.
  • Impuestos, financieros o de personal.
  • Lanza-phishing por correo electrónico enlaces a sitios web de distribución.
  • Lanza-phishing por correo electrónico los archivos adjuntos.
  • Infectados medios extraíbles (tarjeta de memoria, CD, DVD, disquete, etc)
  • "Lost" o compartido llaves USB, PDAs, teléfonos móviles o incluso ordenadores portátiles.
  • En armas descargas de archivos programa de intercambio.
  • Software pirata y la clave de Generadores.
  • Absoluto de envenenamiento o mala dirección ruta.
  • Las descargas web.
  • Información privilegiada, contratista, o una infección ex información privilegiada, colusión, o la extorsión.
  • Física robo o financiado la colocación de personal.
  • Otros incidentes como cobertura. (Malware, la piratería, la penetración de pareja, WiFi, etc)
  • Un agente de malware especialmente diseñado que no tiene la firma de detección y no se ha desplegado público.
APT atacantes suelen ser centrado en la recopilación de inteligencia, y está interesado en permanecer instaladas y operativas en la empresa objetivo para el mayor tiempo posible, a menudo lo anterior los beneficios inmediatos que ofrece el objetivo inicial con el fin de seguir siendo una amenaza para las campañas en curso y mucho una fruta más grande. Desde conocedores de todos los matices pueden ser parte de un ataque de APT, y el ataque es la inteligencia pesados, espera que el atacante sabe algo sobre el medio ambiente, la protección y los controles en su lugar, y lo que es y no es "normal" de la actividad. Si la organización utiliza IDS para detectar las comunicaciones, el atacante sabe la marca, modelo, capacidad y potencial, las firmas desplegados en el IDS. De esta manera se puede maximizar el potencial de la ejecución sin ser detectados y saber la cantidad de tráfico que pueden generar sin causar preocupación.

La mayoría de las infecciones de APT se detectan infecciones como botnet ya que han permitido a control remoto desde el exterior. Este tipo de actividad tiende a ser algo ruidosos, y tienen características específicas que aparecen en los registros o IDS de red. agentes APT subrepticiamente instalado, la vigilancia pasiva y la recolección de inteligencia que es enviado por correo electrónico a cabo utilizando el servidor de correo de la empresa, o la mezcla de todos los días con el tráfico HTTP, seguiría siendo más difícil de detectar, y lo más probable permanecer allá por más tiempo. La desventaja es que también puedan obtenerse resultados más lentamente con el fin de llamar la menor atención.

Identificar y detener la comunicación con los servidores de comando y control o repositorios de datos son fundamentales para contener y erradicar la amenaza inmediata que plantea este tipo de software malicioso. Si no puede exfiltrate su inteligencia objetivo, la amenaza inmediata es reducida. Esto podría, por supuesto, las capacidades de disparo secundario dañino integrado o añadido, como la auto-destrucción, codificación de datos, o interrupción del medio ambiente total y destrucción.

Espero que esto aclara lo que es una avanzada persistentes amenazas es, cómo funcionan, y que este es el futuro más probable de malware como adquirir experiencia distribuidores de software malicioso, la astucia y habilidad. Personalmente, espero que esto conduce a los vendedores Anti-Virus para intensificar y desarrollar productos que dependen menos de las firmas, y más en la detección de la presencia de los datos importantes y los comportamientos exhibidos por estos programas maliciosos. 

Referencias Bibliográficas:
Publicado por en 14:03
Etiquetas:

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)