O que é um APT – Advanced Persistent Threat?

O que é um APT – Advanced Persistent Threat? Uma ameaça persistente avançada (APT) é um ataque cibernético prolongado e direcionado no qual um invasor obtém acesso a uma rede e permanece sem ser detectado por um longo período de tempo. Ataques APT são iniciados para roubar dados em vez de causar danos à rede da organização alvo.

A batalha da cibersegurança avança constantemente. Conforme os hackers mudam para esforços mais complexos e focados, suas estratégias mudam e a ameaça aumenta. Uma dessas estratégias, ameaças persistentes avançadas (APT), é um ataque personalizado e focado que é difícil de detectar e quase impossível de prevenir. Então, como empresas de todos os tamanhos protegem suas redes e mantêm os dados de seus clientes seguros?

Em vez de usar uma abordagem ampla, os APTs são projetados com um alvo específico em mente. Por isso, eles são personalizados para o sistema, tendo investigado as medidas de segurança em vigor e foram projetados para capitalizar sobre essas fraquezas. Eles geralmente obtêm acesso à rede por meio de uma tentativa de phishing ou de uma exploração de dia zero.

O objetivo de uma ameaça persistente avançada é obter acesso contínuo a um sistema, em vez de uma entrada e saída rápida. Isso permite que eles monitorem continuamente a atividade e roubem dados, informações da empresa e muito mais.

Os ataques APT são normalmente direcionados a organizações em setores como defesa nacional, manufatura e indústria financeira, já que essas empresas lidam com informações de alto valor, incluindo propriedade intelectual, planos militares e outros dados de governos e organizações empresariais.

O objetivo da maioria dos ataques APT é alcançar e manter o acesso contínuo à rede visada, em vez de entrar e sair o mais rápido possível. Como uma grande quantidade de esforço e recursos geralmente são dedicados à realização de ataques APT, os hackers costumam ter como alvo alvos de alto valor, como estados-nações e grandes corporações, com o objetivo final de roubar informações por um longo tempo.

Para obter acesso, os grupos APT costumam usar métodos avançados de ataque, incluindo explorações avançadas de vulnerabilidades de dia zero, bem como spear phishing altamente direcionado e outras técnicas de engenharia social. Para manter o acesso à rede alvo sem serem descobertos, os agentes de ameaças usam métodos avançados, incluindo a reescrita contínua de códigos maliciosos para evitar a detecção e outras técnicas sofisticadas de evasão. Alguns APTs são tão complexos que exigem administradores em tempo integral para manter os sistemas e software comprometidos na rede de destino.

Os motivos dos atores de ameaças persistentes avançados são variados. Por exemplo, os invasores patrocinados por Estados-nação podem visar a propriedade intelectual para obter uma vantagem competitiva em determinados setores. Outros alvos podem incluir distribuição de energia e serviços de telecomunicações e outros sistemas de infraestrutura, mídia social, organizações de mídia e alvos eleitorais e outros alvos políticos. Os grupos do crime organizado podem patrocinar ameaças persistentes avançadas para obter informações que podem usar para realizar atos criminosos para ganho financeiro.

Embora os ataques APT possam ser difíceis de identificar, o roubo de dados nunca é completamente indetectável. No entanto, o ato de  exfiltrar dados  de uma organização pode ser a única pista que os defensores têm de que suas redes estão sob ataque. Os profissionais de segurança cibernética geralmente se concentram na detecção de anomalias nos dados de saída para ver se a rede foi alvo de um ataque APT.

 

Como funciona um ataque APT

Uma das principais maneiras pelas quais as ameaças persistentes avançadas obtêm acesso é por meio de credenciais de rede válidas. Um invasor usará o acesso de funcionário obtido por meio de tentativas de phishing ou outros meios. Isso os ajuda a não serem detectados enquanto se movem pelos sistemas da empresa e continuam com o ataque. Essas ameaças têm várias fases que aumentam sua complexidade e tornam ainda mais difícil para a tecnologia de segurança detectar sua presença no sistema.

As fases de uma ameaça persistente avançada (APT):

estágios de ameaça persistente avançada (APT)

fonte: infogressive
  1. Investigação e reconhecimento (Investigation and reconnaissance):  devido à natureza direcionada desses ataques, o processo começa usando fontes externas ou internas para aprender sobre a rede, suas defesas e possíveis falhas ou pontos de entrada.
  2. Entrada inicial (Initial entry): uma  vez que a ameaça persistente avançada encontra esses pontos fracos, eles os exploram e fazem sua tentativa inicial de acesso.
  3. Posição e movimento (Foothold and movement): uma  vez que o acesso é alcançado, o objetivo principal é permanecer sem ser detectado no sistema e ganhar uma posição mais forte.
  4. Ataque contínuo (Continual attack):  neste ponto, os dados são coletados e transmitidos pela rede do invasor. A ameaça permanecerá na rede até que seja detectada, o que pode levar meses ou até anos. A persistência da ameaça é vista claramente.

A natureza avançada e multifásica desses ataques significa que uma solução mais avançada é necessária para contra-atacar.

Segundo o site TechTarget os invasores que executam APTs geralmente seguem a seguinte abordagem sequencial para obter e manter o acesso contínuo a um alvo:

  • Obtenha acesso: os grupos APT obtêm acesso a um alvo através de sistemas de direcionamento por meio da Internet. Normalmente, por meio de e-mails de spear phishing ou por meio de uma vulnerabilidade de aplicativo com a intenção de alavancar qualquer acesso inserindo software malicioso no alvo.
  • Estabeleça um ponto de apoio: depois de obter acesso ao alvo, os atores da ameaça usam seu acesso para fazer mais reconhecimento. Eles começam a explorar o  malware  que instalaram para criar redes de backdoors e túneis que podem usar para se moverem despercebidos. APTs podem usar técnicas avançadas de malware, como reescrever código para cobrir seus rastros.
  • Obtenha acesso ainda maior: Uma vez dentro da rede-alvo, os agentes APT podem usar métodos como a quebra de senha para obter direitos administrativos. Isso, a fim de controlar mais o sistema e obter níveis de acesso ainda mais profundos.
  • Mova-se lateralmente: depois que os agentes da ameaça violarem seus sistemas de destino, incluindo a obtenção de direitos de administrador, eles podem mover-se pela rede corporativa à vontade. Além disso, eles podem tentar acessar outros servidores, bem como outras áreas seguras da rede.
  • Prepare o ataque: neste ponto, os hackers centralizam, criptografam e compactam os dados para que possam exfiltrá-los.
  • Pegue os dados: os invasores colhem os dados e os transferem para seu próprio sistema.
  • Permaneça até serem detectados: os cibercriminosos podem repetir esse processo por longos períodos até serem detectados ou podem criar um backdoor para que possam acessar o sistema novamente em algum momento.

Ao contrário dos ataques cibernéticos mais comuns, as ameaças persistentes avançadas tendem a ser realizadas por meio de métodos customizados para o alvo, em vez de com ferramentas mais gerais que podem ser mais adequadas para atingir um grande número de vítimas. As APTs também são geralmente realizadas durante um período de tempo muito mais longo – ao contrário dos ataques comuns, que podem ser mais óbvios e, portanto, mais fáceis para os defensores se defenderem.

 

Exemplos de uma ameaça persistente avançada

APTs geralmente recebem nomes por seus descobridores, embora muitos ataques de ameaças persistentes avançadas tenham sido descobertos por mais de um pesquisador, portanto, alguns são conhecidos por mais de um nome.

Seguem alguns exemplos de ameaças persistentes avançadas incluem segundio o TechTarget:

  • A família de malware Sykipot APT aproveita as falhas do Adobe Reader e do Acrobat. Ele foi detectado em 2006, e outros ataques usando o malware continuaram supostamente em 2013. Os agentes da ameaça usaram a família de malware Sykipot como parte de uma série de ataques cibernéticos de longa duração, principalmente visando organizações dos EUA e do Reino Unido. Isso, incluindo agências governamentais, empresas de defesa e empresas de telecomunicações. Os hackers usaram um ataque de spear phishing que incluiu links e anexos maliciosos contendo exploits de dia zero  em e-mails direcionados.
  • A operação de espionagem cibernética GhostNet foi descoberta em 2009. Executados na China, os ataques foram iniciados por meio de e-mails de spear phishing contendo anexos maliciosos. Os ataques comprometeram computadores em mais de 100 países. Os invasores se concentraram em obter acesso aos dispositivos de rede de ministérios e embaixadas do governo. Esses ataques permitiram que os hackers controlassem esses dispositivos comprometidos, transformando-os em dispositivos de escuta e gravação ao ligar remotamente suas câmeras e recursos de gravação de áudio.
  • O   worm Stuxnet usado para atacar o programa nuclear do Irã foi detectado por pesquisadores de segurança cibernética em 2010. Ele ainda é considerado uma das peças de malware mais sofisticadas já detectadas. O malware tinha como alvo os sistemas SCADA (supervisory control and data acquisition) e se espalhou com dispositivos USB infectados. Os Estados Unidos e Israel estão ambos ligados ao desenvolvimento do Stuxnet, e embora nenhuma das nações tenha oficialmente reconhecido seu papel no desenvolvimento, houve confirmações não oficiais de que eles foram responsáveis ​​pelo Stuxnet.
  • APT29, o grupo russo de ameaças persistentes avançadas também conhecido como Cozy Bear, foi associado a uma série de ataques, incluindo um ataque de spear phishing de 2015 no Pentágono, bem como os ataques de 2016 no Comitê Nacional Democrata.
  • APT28, o grupo russo de ameaças persistentes avançadas também conhecido como Fancy Bear, Pawn Storm, Sofacy Group e Sednit, foi identificado por pesquisadores da Trend Micro em 2014. APT28 foi relacionado a ataques contra alvos militares e governamentais na Europa Oriental, incluindo Ucrânia e Geórgia, bem como campanhas visando organizações da OTAN e empreiteiros de defesa dos EUA.
  • APT34, um grupo de ameaça persistente avançado ligado ao Irã, foi identificado em 2017 por pesquisadores da FireEye, mas está ativo desde pelo menos 2014. O grupo de ameaça tem como alvo empresas no Oriente Médio com ataques contra finanças, governo, energia, produtos químicos e empresas de telecomunicações.
  • APT37, também conhecido como Reaper, StarCruft e Group 123, é uma ameaça persistente avançada vinculada à Coreia do Norte que se acredita ter se originado por volta de 2012. APT37 foi conectado a ataques de spear phishing que exploram uma vulnerabilidade de dia zero do Adobe Flash.
  • O Titanium APT é um dos grupos de hackers tecnologicamente avançados, eles usam várias técnicas sofisticadas para atacar o alvo, e seu método de ataque dificulta a detecção de suas atividades em geral. Além disso, o sistema de arquivos de malware não pode ser detectado como malicioso devido ao uso de criptografia e tecnologias sem arquivos (fileless) para infectar as vítimas.O APT de titânio, direcionado principalmente à região da APAC, e o atual ataque acredita-se estar focado no sul e sudeste da Ásia.

Ameaças persistentes avançadas não são um fenômeno, e numerosos APTs foram detectados desde o início dos anos 2000, e eles datam de 2003, quando hackers baseados na China realizaram a campanha Titan Rain contra alvos do governo dos EUA em uma tentativa de roubar segredos de estado confidenciais. Os invasores direcionaram dados militares e lançaram ataques APT contra sistemas de ponta de agências governamentais, incluindo a NASA e o FBI. Analistas de segurança apontaram o Exército de Libertação do Povo Chinês como a fonte dos ataques.

 

Características de ameaças persistentes avançadas

Ameaças persistentes avançadas geralmente exibem certas características que refletem o alto grau e coordenação necessários para violar alvos de alto valor.

Por exemplo, a maioria dos APTs é realizada em várias fases, refletindo a mesma sequência básica de obter acesso, manter e expandir o acesso e tentar permanecer sem ser detectado na rede da vítima até que os objetivos do ataque sejam alcançados.

Ameaças persistentes avançadas também se distinguem por seu foco no estabelecimento de vários pontos de comprometimento. Os APTs geralmente tentam estabelecer vários pontos de entrada nas redes direcionadas, o que permite que eles retenham o acesso mesmo se a atividade maliciosa for descoberta e a resposta ao incidente for acionada, permitindo que os defensores da segurança cibernética fechem um compromisso.

 

Detectando ameaças persistentes avançadas

Ameaças persistentes avançadas têm certos sinais de alerta, apesar de serem geralmente muito difíceis de detectar. Uma organização pode notar certos sintomas após ter sido alvo de um APT, incluindo:

  • atividade incomum em contas de usuário;
  • uso extensivo de  malware cavalo de Tróia de backdoor  , um método que permite aos APTs manter o acesso;
  • atividade de banco de dados estranha ou atípica, como um aumento repentino nas operações de banco de dados envolvendo grandes quantidades de dados; e
  • presença de arquivos de dados incomuns, o que pode indicar dados que foram agrupados em arquivos para auxiliar no processo de exfiltração.

Detectar anomalias nos dados de saída talvez seja a melhor maneira para os profissionais de segurança cibernética determinarem se uma rede foi alvo de um ataque de APT.

 

Seu antivírus não é suficiente.

Como a ameaça de APTs continua a aumentar, sua empresa pode estar aberta a uma violação de dados sem segurança adicional implementada. A natureza altamente organizada e sofisticada dos APTs ameaça essa segurança porque o seu antivírus, mesmo um antivírus de última geração (NGAV), não está equipado para combater essas ameaças avançadas e frequentemente sem arquivo.

Como os APTs geralmente entram na rede por meio de fontes legítimas ou por meio de uma intensa busca por pontos fracos, eles são difíceis de prevenir e ainda mais difíceis de detectar. Em vez disso, você precisa de um sistema que possa detectar comportamento anormal de usuários confiáveis ​​no sistema.

As várias fases de uma ameaça persistente avançada funcionam lenta e cuidadosamente, procurando evitar a detecção e manter o controle da rede. Isso permite que eles se movam sem serem detectados pela rede e atinjam seus objetivos sem serem notados pelos métodos de segurança tradicionais.

Mas uma tecnologia,  Endpoint Detection & Response (EDR) , apóia sua equipe de segurança na luta contra esses ataques avançados.

 

Como o EDR luta contra ameaças persistentes avançadas?

O EDR equipa sua equipe para detectar e combater ameaças persistentes avançadas, pois analisa constantemente a atividade do terminal na rede, rastreia comportamentos e consolida os dados para investigações mais eficientes.

O EDR combate ameaças avançadas usando algoritmos e análise comportamental para rastrear a atividade do usuário em tempo real. Ele dispara alertas com base em atividades incomuns, como vários logins tarde da noite ou grandes movimentos de dados em sua rede, para que você possa detectar as ameaças rapidamente, em vez de permitir que permaneçam na rede por meses ou até anos.

Ele monitora constantemente sua atividade de rede para que você tenha a certeza de que qualquer coisa incomum será revelada, dando-lhe a oportunidade de lutar antes que danos adicionais sejam causados.

O EDR dá suporte à sua equipe de segurança consolidando os dados em relatórios que podem ser analisados ​​por especialistas em segurança – ele simplifica como os alertas e os dados de ataque são gerenciados. Ele também funciona com seu antivírus e outras ferramentas de segurança para lutar contra os ataques mais avançados.

 

A hora de proteger é agora.

As primeiras ameaças persistentes avançadas eram em grande escala e direcionadas, frequentemente usadas por grandes organizações, governos e sindicatos do crime. No entanto, esse não é mais o caso. Hackers em todos os níveis estão criando ataques mais sofisticados e focados. Não importa o tamanho da sua empresa, é importante estar ciente e implantar sistemas para proteger sua rede contra esses tipos de ataques.

 

Sophos Intercept X Endpoint

O primeiro EDR projetado para analistas de segurança e administradores de TI

O Intercept X Advanced com EDR permite que você faça qualquer pergunta sobre o que aconteceu no passado e o que está acontecendo agora em seus terminais. Caça ameaças para detectar adversários ativos ou aproveite as operações de TI para manter a higiene da segurança de TI. Quando um problema for encontrado, responda remotamente com precisão. Ao começar com a proteção mais forte, o Intercept X interrompe as violações antes que elas comecem. Ele reduz o número de itens a serem investigados e economiza seu tempo.

A investigação de atividades suspeitas pode ser complexa e demorada. Outras ferramentas de EDR exigem pessoal dedicado ou um centro de operações de segurança (SOC). A Sophos simplifica o uso de EDR sem sacrificar a sua habilidade de realizar análises detalhadas.

O EDR que é fundamentado na proteção mais robusta, pois as outras ferramentas de EDR oferecem baixa proteção. Essas ferramentas fazem com que os usuários desperdicem tempo em incidentes que deveriam ter sido bloqueados de imediato. A Sophos tem uma relação diferente com o EDR. Nós combinamos EDR com a melhor proteção do setor para endpoints e servidores. Juntos, eles bloqueiam a grande maioria de ameaças antes que exijam uma investigação manual. Isso leva a uma carga de trabalho mais leve e a menos ruído, de modo que você pode se concentrar na amplitude das ameaças potenciais.

 

Captura automatizada de ameaças

Captura automatizada de ameaças

 

 

  • Identifique atividades suspeitas automaticamente com o revolucionário sistema de Machine Learning do SophosLabs
  • A lista de indicadores de ameaças por prioridade aponta para onde você deve focar
  • Procure rapidamente por ameaças potenciais em todos os seus endpoints e servidores

 

 

Resposta guiada a incidentes

Resposta guiada a incidentes

 

  • Tome decisões mais esclarecidas em menos tempo
  • Veja os próximos passos recomendados e isole o dispositivo enquanto o investiga
  • Elimine e bloqueie ameaças com um único clique

 

 

Inteligência controlada contra ameaças

Inteligência controlada contra ameaças

 

 

 

  • Especialização automatizada para replicar o trabalho técnico de nossos extraordinários analistas em segurança
  • Threat Intelligence por demanda controlada pelo SophosLabs
  • Engenharia reversa aplicada a arquivos com análise de malware baseada em Machine Learning

 

 

Investigação detalhada das ameaças

O Sophos Intercept X Advanced with EDR proporciona as ferramentas de que você precisa para sair no encalço de ameaças evasivas e responder às perguntas mais difíceis sobre o incidente.

  • Entenda o escopo e o impacto
  • Detecte ataques que possam ter passado despercebidos
  • Busque indicadores de comprometimento em toda a rede
  • Priorize eventos para investigação avançada
  • Analise arquivos para determinar se são uma ameaça ou potencialmente indesejados
  • Comunique com rapidez e confiança sobre a postura de segurança em um dado momento

Veja no vídeo a seguir a Demo do Sophos Intercept X com o EDR  

Para saber mais sobre o Sophos Intercept X Endpoint fale com a MindSec pelo forms abaixo:

 

Fonte: TechTarget & Infogressive & Sophos 

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. O que é um APT – Advanced Persistent Threat? – Neotel Segurança Digital
  2. A LGPD e o mito do advogado que entende de dados

Deixe sua opinião!