APT35-taktiikat, tekniikat ja menettelytavat: miten ne toimivat ja miten suojaat Windowsia

  • APT35 erottuu edukseen uskottavalla tiedonhaulla, tunnistetietojen varastamisella ja itsepintaisella hyökkäyksellä Windowsissa.
  • APT:t yhdistävät tunkeutumisen, sivuttaisliikkeen ja naamioidun soluttautumisen huomaamattomaan C2-operaatioon.
  • EDR/XDR, segmentointi, korjauspäivitykset ja verkon/päätepisteen telemetria ovat kriittisiä esteitä.
Pablo

11 minuuttia

APT35 Kyberturvallisuus Windowsissa

Nykymaailman uhkakuvissa harvat vastustajat ovat yhtä sinnikkäitä ja huomaamattomia kuin APT35. Tämä näyttelijä, joka tunnetaan myös nimellä Helix Kitten tai Charming Kitten[Yrityksen nimi] on rakentanut maineen hyvin tutkituista kohdennetuista tietojenkalastelukampanjoista, identiteettivarkauksista ja pitkäaikaisesta hyökkäysten jatkumisesta yritysympäristöissä. Jos työskentelet Windowsin kanssa organisaatiossa, sen taktiikoiden, tekniikoiden ja menettelytapojen (TTP) ymmärtäminen on avainasemassa [Operatiivisen turvallisuuden] kannalta. pienentää hyökkäyspinta-alaa ja reagoida ajoissa.

Vaikka edistyneitä jatkuvia uhkia pidetään usein "elokuvamaisina" hyökkäyksinä, ne eivät ole tieteisfiktiota. Ne ovat metodista, monitasoista ja potilastyötä vaativaa toimintaa.Nämä hyökkäykset on suunniteltu tunkeutumaan, pysymään havaitsematta ja varastamaan arvokasta tietoa oikealla hetkellä. APT35 sopii tähän profiiliin: uskottavat keihästietojenkalastelukampanjat, naamioitu komento- ja valvontainfrastruktuuri sekä vahva kyky mukauttaa menetelmiään uhrin vahvistaessa puolustustaan.

Mikä on APT ja miksi APT35 on erityisen tärkeä Windowsille?

Edistynyt jatkuva uhka on pitkäaikainen hyökkäys, jossa vastustaja saa luvattoman pääsyn ja pitää sen salassa varastaa tietoja, valvoa toimintaa tai aiheuttaa häiriöitä silloin, kun se heille sopii. Toisin kuin joukkohaittaohjelmat, APT:t eivät toimi joukkona; ne kohdistavat toimintansa tiettyihin tavoitteisiin ja oppivat ympäristöstään ennen liikkumistaan.

Windowsissa APT35 usein avaa oven sosiaalisen manipuloinnin avulla: Hienosti muotoillut keihäshuijaussähköpostitkloonatut tunnistetietosivutVäärennetyt kutsut konferensseihin tai akateemisiin tapahtumiin sekä huijaukset, jotka huijaavat uhrin suorittamaan koodia tai luovuttamaan tokeneita. Sisällä keskitytään pysyvyyteen: takaportteihin, valtakirjojen väärinkäyttöön ja salakavalaan sivuttaiseen liikkumiseen.

Kuka on APT:n takana ja miten APT35 sopii joukkoon?

APT-ryhmiä tukevat yleensä hyvin organisoidut toimijat. Voimme erottaa kolme päälohkoaValtion tukemat ryhmät, järjestäytynyt rikollisuus ja haktivistiset kollektiivit. APT35, jolla on useiden analyytikoiden mukaan yhteys Iranin intresseihin, kohdistaa iskujaan muun muassa ilmailu- ja avaruusalaan, televiestintään, rahoitusalaan, energiaan, kemikaaleihin ja hotelli- ja ravintola-alaan taloudellisin, sotilaallisin ja poliittisin tavoittein.

Valtion ylläpitämien ryhmien joukosta erottuu joitakin tunnettuja tapauksia: Lasarus (Pohjois-Korea), osallisena taloudellisiin varkauksiin ja operaatioihin, kuten Sony-tapaukseen; APT28/Fancy Bear ja APT29/Cozy Bear (Venäjä)kampanjoilla hallitusten, diplomaattien ja vaalien kohteita vastaan; ja APT40, joka liittyy yliopistoihin ja puolustuslaitokseen kohdistuvaan kybervakoiluun. Nämä operaatiot havainnollistavat APT-suunnittelun laajuutta.

Järjestäytyneessä rikollisuudessa taloudellinen hyöty on valttia. Carbanak/FIN7 on hyökännyt pankki- ja vähittäiskaupan yrityksiin; Pimeä puoli Hän nousi kuuluisuuteen Colonial Pipeline -tapauksen ansiosta. Hacktivistit taas toimivat ideologisista tai poliittisista motiiveista: anonyymi tai Syyrian elektroninen armeija Nämä ovat esimerkkejä protesteista ja propagandasta, joilla on todellista vaikutusta.

Nämä vastustajat, mukaan lukien valtioihin kytköksissä olevat, He tavoittelevat voittoa tai strategista etua immateriaalioikeuksien varkauksien, kiristyksen (kiristysohjelmien) tai kriittisiin järjestelmiin pääsyn kautta.

Toimintaperiaate: keskeiset taktiikat, tekniikat ja menettelytavat

Tyypillinen APT yhdistää useita kerroksia: tunkeutuminen, kiipeäminen ja sivuttaisliike sekä ulosfiltraatioTunkeutumisen aikana APT35 hyödyntää käyttäjän psykologiaa pakottaakseen ensimmäisen napsautuksen ja mahdollisuuksien mukaan tunkeutuakseen järjestelmiin hyökkäyshaitta-alueita tai päivittämätöntä ohjelmistoa. Windowsissa on yleistä nähdä haitallisia makroja dokumenteissa, linkkejä väärennetyille kirjautumissivuille ja järjestelmätyökalujen käyttöä havaitsematta jäämiseksi.

Sisällä hyökkääjä muodostaa yhteyden komento- ja ohjausinfrastruktuuriinsa (C2). Tämä viestintä voidaan naamioida lailliseksi liikenteeksi.Yksinkertaisista HTTP(S)-pyynnöistä julkisten palvelujen tukemiin luovempiin kanaviin (on ollut TTP-pyyntöjä, jotka väärinkäyttävät sosiaalisia verkostoja tai pilvidokumentteja). Vakaan viestinnän myötä resurssien löytäminen ja sivuttaisliike alkavat.

Puolustajien on pidettävä mielessä, että nykyaikainen APT hyödyntää julkisia hyväksikäytön jälkeisiä puitteita ja työkaluja (esimerkiksi tunnettuja kehyksiä) mutta myös räätälöityjä komponentteja. Joskus hyökkääjät lataavat koodia muistiin välttääkseen jälkien jättämisen levylle ja käyttävät tekniikoita, kuten DLL-sivulatausta.

Eksfiltraatiossa tiedot tulevat ulos tiputuksina tai erissä, verkon kohinan peittämä tai kapseloituja (pakattuja tiedostoja, yleisiä protokollia, peiteltyjä kanavia). Jos uhri havaitsee jotakin, APT voi luoda häiriötekijöitä, kuten palvelunestohyökkäyksen, peittääkseen todellisen vuodon.

APT-hyökkäyksen vaiheittaiset vaiheet

  1. tunnustusHe keräävät sähköpostiosoitteita, julkisia profiileja, käytettyjä teknologioita (jotka joskus paljastuvat työpaikkailmoituksissa) ja muita hyödyllisiä tietoja. Se on hiljainen vaihe puolestapuhujalle.
  2. TunkeutuminenKeihästietojen kalastelu haavoittuvuuden hyväksikäyttöHeikot salasanat tai dokumentteihin upotetut haittaohjelmat voivat olla merkittävä riski. Windowsissa pelkkä "väärän" liitteen avaaminen riittää usein koodin suorittamiseen.
  3. HenkilöllisyysvarkaudetHe etsivät voimassa olevia tunnistetietoja (evästeitä, tokeneita, salasanoja) ja käyttävät kymmeniä järjestelmiä laillisten käyttäjien henkilöllisyyden avulla. allekirjoituspohjaisten kontrollien kiertäminen.
  4. Apuohjelmien asentaminenNe sisältävät työkaluja peiteltyyn hallintaan, salasanavarkauksiin, valvontaan ja muuhun. Pieni implantti tai käsikirjoitus Se voi toimia ponnahduslautana suuremmille kuormille.
  5. Takaportit ja etuoikeudetHe luovat takaportteja, piilotettuja tilejä tai muokkaavat määrityksiä. Jos he hankkivat verkkotunnuksen järjestelmänvalvojan tunnukset, Heillä on valtakunnan avaimet liikkua sivusuunnassa.
  6. EksfiltraatioNe paketoivat sähköposteja, tiedostoja ja tietokantoja välipalvelimille tai pilvitallennustilaan HTTP/FTP- tai muiden kanavien avulla. Ne voivat myös väärinkäyttää DNS-tunneleita jos ympäristö sen sallii.
  7. SitkeysOsittaisen havaitsemisen jälkeenkin ne yrittävät pysyä. Tämä itsepäisyys on APT:n tunnusmerkki., kuukausien oleskelulla.

Käynnissä olevan APT:n indikaattorit ja merkit

Liikennepiikit tai epätavalliset virtaukset sisäisistä laitteista ulkopuolelle Nämä ovat varoitusmerkkejä. Samoin kirjautumiset aukioloaikojen ulkopuolella tai epätavallisista paikoista viittaavat vaarantuneisiin tunnistetietoihin.

Las toistuvat haittaohjelmatartunnat Se, että takaportit avautuvat uudelleen ja palaavat "siivousten" jälkeen, viittaa sitkeyteen. Lisäksi, jos suuria tai pakattuja tiedostoja löytyy yrityksen harvoin käyttämistä formaateista, on syytä tehdä tutkimus.

Johtajien tai arkaluonteisten henkilöiden vastaanottamat epätavalliset sähköpostit, tyypillisiä tietojenkalasteluyrityksille. Ne ovat yleensä APT-ketjun ensimmäinen askel.Toinen vihje: poikkeavaa toimintaa tietokannoissa, joissa on suuria operaatioita.

Jotkut palveluntarjoajat kirjaavat, missä sähköposti avataan tai mistä IP-osoitteesta se avataan; epätavallisen viestinnän käytön tai sieppauksen havaitseminen voi viitata [jotain]. tunkeilijat tarkistavat viestintääPäätepistetasolla hyökkääjä tutkii käytäntöjä ja vaatimustenmukaisuusaukkoja hyödyntääkseen heikkouksia.

APT-tyypit objektiivisten ja havainnollistavien esimerkkien avulla

  • Sabotaasi tai häiriöErittäin monimutkaiset toiminnot, jotka manipuloivat teollisia prosesseja hälyttämättä uhria. Paradigmaattinen tapaus: Stuxnet, joka vaikutti iranilaisiin sentrifugeihin.
  • kiristystaloudelliseen hyötyyn tähtäävät kampanjat, kuten kiristysohjelmat. Ryuk Se erottui joukosta kohdennetuilla hyökkäyksillä, jotka salaavat kriittisiä resursseja ja vaativat korkeita lunnaita.
  • Infiltraatio ja exfiltraatioTavoitteena on säilyttää ja jatkuvasti poimia tietoja. Kampanjat on liitetty APT32 y APT37 taloudellisen ja poliittisen vakoilun vuoksi.
  • ToimitusketjuToimittajat ovat sitoutuneet tavoittamaan asiakkaansa. Mediaesimerkki oli SolarWinds (foorumeilla APT29:n syyksi) ja NotPetya Se levisi vaarantuneen päivityksen mukana aiheuttaen maailmanlaajuista vahinkoa.

Tosielämän tapauksia, jotka opettavat oppitunteja

Hyökkäys Kohde RAM-kaapimella Hän käytti hyväkseen toimittajan heikkoutta päästäkseen käsiksi sen ekosysteemiin. Toimija soluttautui myyntipäätteisiin viikkojen ajan varastaen luottokorttitietoja ja valtavien määrien poistaminen kerralla.

Tutkijat havaitsivat kampanjoita alaryhmän toimesta Lazarus joka muokkasi tunnettua DTrack-haittaohjelmaa ja käytti Maui-kiristysohjelmaa. Muistin sisäiset lataukset suoritettiin WindowsissaDTrack keräsi järjestelmätietoja ja selaushistoriaa, ja viipymäaika oli kuukausia.

LuckyMouse otti käyttöön Mimi-viestipalvelun troijalaisen version takaporttien luomiseksi macOS:ää, Windowsia ja Linuxia vastaan, sitouttavat organisaatiot Taiwanissa ja FilippiineilläSe osoittaa APT:lle tyypillisen alustojen välisen yhteensopivuuden.

Ryhmä SEABORGIUM, joka oli kytköksissä Venäjän intresseihin, harjoitti vakoilua Euroopassa vuosien ajan, väärinkäyttäen tietojenkalastelua päästäkseen OneDriveen ja LinkedIniinLaillisten pilvipalveluiden hyväksikäyttö vaikeuttaa havaitsemista.

TTP:n viimeaikaiset trendit: mikä muuttuu ja mikä ei

Viime kesän neljänneksen aikana analyytikot havaitsivat selkeitä eroja pelaajien välillä: jotkut He kehittivät työkalupakkiaan kohti modulaarisia kehyksiä erittäin itsepintaisia, kun taas toiset saavuttivat tavoitteita pitkäaikaisilla tartuntaketjuilla osoittaen, että "yksinkertainen ja todistettu" toimii edelleen.

Yksi silmiinpistävimmistä löydöksistä oli infektio, joka tapahtui UEFI-käynnistyspaketti, osa vaiheittaista kehystä, joka tunnetaan nimellä Mosaic Regressor, mikä teki implantista erittäin kestävän ja vaikeasti hävitettävän. UEFI on kriittinenSen tartuttaminen antaa pysyvyyden käyttöjärjestelmän alapuolelle.

Heidät on myös nähty steganografiatekniikat sivulatauksella: Ke3changille osoitetussa kampanjassa käytettiin Okrum-takaoven versiota, joka hyödynsi allekirjoitettua Windows Defenderin binääritiedostoa piilottaakseen päähyötykuorman, voimassa olevan digitaalisen allekirjoituksen ylläpitäminen vähentämään havaitsemista.

Muita ryhmiä, kuten Mutainen vesiHeillä on iteroituja monivaiheisia viitekehyksiä, samalla kun DTrack Se sisälsi uusia ominaisuuksia useampien hyötykuormien suorittamiseen. Samanaikaisesti KuolemaStalker Se ylläpitää yksinkertaisia ​​mutta erittäin kohdennettuja ketjuja, jotka on suunniteltu välttämään havaitsemista, mikä osoittaa, että hienostuneisuus ei aina ole välttämätöntä menestyksen kannalta.

APT35 tarkastelussa: tyypilliset TTP:t ja kohteet

APT35 tunnetaan Erittäin uskottavat keihäshuijaussähköpostit ja väärennetyt asiakirjat joka matkii akateemisia kutsuja tai organisaatioiden viestintää. On yleistä nähdä kirjautumistietojen väärentämistä, lyhennettyjen linkkien väärinkäyttöä ja virheettömän näköisiä tunnistetietojen kaappaussivuja.

Windowsissa tämä ryhmä pyrkii luottaa natiiveihin skripteihin ja työkaluihin Pysyäksesi havaitsemattomana, luo C2 ja liiku sivusuunnassa. Sosiaalisen manipuloinnin yhdistelmä ja opportunistinen hyväksikäyttö korjaamattomassa ohjelmistossa. selittää sen korkean onnistumisprosentin ilman riittäviä käyttäytymis- ja segmentointikontrolleja.

Windowsin suojaaminen APT35:ltä ja muilta APT-hyökkäyksiltä

EDR ja XDR. Nykyaikaiset ratkaisut havaitsevat poikkeavaa käyttäytymistä reaaliajassaNe tarjoavat prosessien, verkon ja muistin telemetriaa ja mahdollistavat nopean reagoinnin (laitteiden eristäminen, prosessien lopettaminen, muutosten palauttaminen).

Paikkaus ja kovettuminen. Päivitä Windows, selaimet ja toimistopaketitSe soveltaa pinta-alan pienennyssääntöjä, rajoittaa PowerShelliä, poistaa makrot käytöstä oletuksena ja hallitsee allekirjoittamattomien binäärien suoritusta.

Sovellusten ja verkkotunnusten hallinta. Sallittujen lista vähentää riskiäMutta se vaatii tiukkoja päivityskäytäntöjä ja jatkuvaa tarkistusta: jopa "luotetut" verkkotunnukset voivat vaarantua.

WAF ja sovellusten tietoturva. Verkkosovelluspalomuuri Se auttaa eristämään hyökkäykset sovellustasolla ja pysäyttämään RFI- tai SQL-injektioyritykset; sisäisen liikenteen valvonta paljastaa epätavallisia kaavoja.

Käyttöoikeus ja tiedonhallinta. Segmentoi verkko ja käytä vähiten käyttöoikeuksiaSe vahvistaa monitieteistä autentikointia (MFA) ja valvoo arkaluonteisten resurssien käyttöä. Se hallitsee tiedostojen jakamista ja estää irrotettavat laitteet mahdollisuuksien mukaan.

Telemetria ja DNS. Tarkkaile DNS-tunneleihin viittaavia kaavoja tai muita salaisia ​​​​vuotoreittejä; luo hälytyksiä epätavallisista pakkaustavoista ja suurista tietomääristä.

Tietoisuus, mutta ilman sokeaa uskoa. Harjoittelu auttaa. vaikka jopa koulutettu henkilöstö voi pudotaSitä täydentävät tekniset tarkastukset, tarkkailulistat ja käyttäytymisen havaitseminen.

Miten reagoida: ensimmäisestä oireesta jatkuvaan parantamiseen

  • Tunnistaminen ja arviointi. Käytä edistyneitä valvonta- ja rikosteknisiä analyysityökaluja tapahtumista ja tiedostoista. Määrittää lokien ja artefaktien perusteella tapahtumien todellisen laajuuden, vektorit ja vaikutuspiirissä olevat tilit.
  • Suojarakennus. Eristä vaarantuneet järjestelmätPeruuta istunnot ja tokenit, vaihda tunnistetiedot ja segmentoi kiireellisesti. Estä hyökkääjää jatkamasta siirtymistä tai vuotamista.
  • Hävittäminen ja toipuminen. Poistaa hyökkäystyökalut, korjaa haavoittuvuuksia y Palauta tunnetuista varmuuskopioista ehjänä. Jatka tehostettua seurantaa jäännösaktiivisuuden havaitsemiseksi.
  • Analyysi ja parantaminen. Dokumentoi tapahtuma ja päivitä käytännötMuokkaa havaitsemissääntöjä ja viesti avoimesti sidosryhmien kanssa. Tämä vaihe vähentää tulevien tietomurtojen kustannuksia.

Työkalut ja älykkyys: mikä tekee eron

Tekoälypohjaiset lähestymistavat, jotka havaitsevat haittaohjelmat ja kiristyshaittaohjelmien binäärit ennen niiden suorittamista, ennakoivat uhkien metsästyspalvelut ja SOC:n päivittäinen vahvistaminen MDR:n kautta ovat keskeisiä vipuja pysyäkseen kehittyvien TTP-hankkeiden edellä.

Uhkatietoportaalit, joilla on pääsy lähes reaaliaikaista teknistä ja kontekstuaalista tietoa Niiden avulla voit ennakoida kampanjoita, päivittää havaintoja ja täyttää seurantalistoja. Ne täydentävät EDR/XDR:ää päätepisteissä ja verkkoantureissa kattavan kattavuuden saavuttamiseksi.

Yleisiä Windowsin tietomurron merkkejä, joita ei kannata jättää huomiotta

  • Paljon kirjautumisia aukioloaikojen ulkopuolella ja korkeiden käyttöoikeuksien omaavilla tileillä; korrelaatio datapiikkien ja etäkäytön välillä.
  • Toistuvat toimijat tai takaovien uudelleenilmestymisetTroijan kloonit, jotka palaavat oletetun "puhdistuksen" jälkeen.
  • Postin sieppaus tai outoja kirjautumisia sähköpostilaatikoihin; erityisesti johtajiin tai talousosastoihin kohdistuvia tietojenkalasteluhyökkäyksiä.
  • Muita poikkeavuuksiaepätavallinen palvelimen hitaus, muutokset rekistereissä, tuntemattomien tilien luominen tai oudot palvelut käynnistyksen yhteydessä.

Kustannukset ja motivaatiot: miksi APT ei tarvitse suurta budjettia

Vaikka se saattaakin yllättää sinut, Joidenkin APT-kampanjoiden käyttökustannukset voivat olla vaatimattomat.Kaupalliset penetraatiotestaustyökalut ja jotkin infrastruktuuripalvelut muodostavat suuren osan menoista, mutta hyökkääjän saama (taloudellinen tai strateginen) hyöty yleensä oikeuttaa investoinnin.

Usein kysytyt kysymykset

  • Mitä eroa on APT:llä ja "edistyneellä kohdennetulla hyökkäyksellä" (ATA)? Käytännössä ATA kuvaa vakiintuneiden ryhmien käyttämää metodologiaa; kun toiminta on jatkuvaa, jatkuvalla itsepintaisuudella ja mukautumisella, puhumme APT:stä. Ne erottuvat taktiikoiden, infrastruktuurin, koodin uudelleenkäytön ja tavoitteiden tyypin mukaan.
  • Mitkä ovat APT35:n tyypilliset kohteet ja toimintatavat? Ne kohdistuvat yleensä strategisiin sektoreihin ja akateemiseen maailmaan, ja erittäin uskottava keihäskalastelu, tunnistetietojen varastamista, pilvipalveluiden väärinkäyttöä ja Windowsissa pysymistä natiivien työkalujen ja naamioidun C2:n avulla.
  • Miten tunnistan APT:n, jos se ei jätä juurikaan jälkiä? Busca epänormaalia käytöstäkaavasta poikkeavat kirjautumiset, suuret pakatut tiedostot, outo lähtevä liikenne, epätavallisia yhteyksiä käynnistävät prosessit ja haittaohjelmien toistuminen puhdistuksen jälkeen.
  • Riittääkö virustorjunta ja koulutus? Ei. Tarvitset EDR/XDR:n, telemetrian ja segmentoinninSovellusten hallinta ja orkestroitu reagointi. Tietoisuus auttaa, mutta automaatio ja näkyvyys ovat olennaisia.

Windowsin vahvistaminen APT35:tä ja muita APT-uhkia vastaan ​​edellyttää valvonnan, teknologian ja prosessien yhdistämistä. Vankan käyttöoikeuksien hallinnan, EDR/XDR:n, uhkatiedon ja hyvin öljytyn reagoinnin avullaVoit merkittävästi lyhentää vastustajan mahdollisuuksia ja minimoida vaikutuksen jo ensimmäisen klikkauksen yhteydessä.

Aiheeseen liittyvä artikkeli:
Täydellinen opas inkrementaalisten varmuuskopioiden tekemiseen Windowsissa