O que são ameaças persistentes avançadas (APT)?
A ameaça persistente avançada (APT, pela sigla em inglês) é um ataque que ganha um ponto de apoio não autorizado com a finalidade de executar um ataque prolongado e contínuo. Embora sejam poucas em comparação a outros tipos de ataques mal-intencionados, as APTs devem ser consideradas uma ameaça grave e cara. Na verdade, de acordo com o 13º relatório anual sobre segurança da infraestrutura global de redes da NETSCOUT Arbor, apenas 16% das organizações corporativas, governamentais ou educacionais enfrentaram essas ameaças em 2017, mas 57% delas as classificaram como uma das principais preocupações em 2018.
A maioria dos malwares executa um ataque rápido e prejudicial, mas as APTs adotam um enfoque diferente, mais estratégico e furtivo. Os invasores entram por meio de malwares tradicionais, como cavalos de Troia ou phishing, mas encobrem seus rastros enquanto se movem secretamente e implantam seu software de ataque em toda a rede. À medida que ganham um ponto de apoio, eles podem atingir seu objetivo, que é quase sempre extrair dados de forma contínua e persistente, por meses ou até anos.

Proteja seu data center distribuído com um firewall interno projetado para fins específicos

Busca de ameaças avançadas e resposta a incidentes com o Enterprise EDR
As ameaças persistentes avançadas sempre têm uma sequência de ataques
Os invasores que executam APTs têm um enfoque de ataque sequencial e, de certo modo, padrão para atingir seus objetivos. Veja a seguir um breve resumo das etapas que eles geralmente executam:
- Desenvolver uma estratégia de nuvem. Os invasores de APTs sempre têm um objetivo específico quando atacam; normalmente, o roubo de dados.
- Conseguir acesso. Os ataques geralmente são iniciados por meio de técnicas de engenharia social que identificam alvos vulneráveis. E-mails de spear phishing ou malware de sites comumente usados são utilizados para obter acesso às credenciais e à rede. Os invasores normalmente tentam estabelecer o comando e o controle quando chegam à rede.
- Estabelecer um ponto de apoio e investigar. Depois que estabelecem presença na rede, os invasores se movem lateral e livremente por todo o ambiente, buscando e planejando a melhor estratégia de ataque para obter os dados desejados.
- Organizar o ataque. A próxima etapa é preparar os dados desejados para exfiltração, centralizando-os, criptografando-os e compactando-os.
- Assumir o controle dos dados. Neste ponto, os dados podem ser facilmente exfiltrados e movidos pelo mundo inteiro furtivamente, normalmente sem aviso prévio.
- Persistir até ser detectado. Esse processo é repetido por longos períodos na fortaleza oculta dos invasores até ser finalmente detectado.
Pistas para a detecção de uma APT em um ambiente corporativo
Como as APTs quase sempre têm o objetivo de exfiltrar dados, os invasores deixam evidências de suas atividades mal-intencionadas. Aqui estão algumas das indicações mais significativas, segundo os CSOs:
- Aumento dos logins em horários estranhos; por exemplo, tarde da noite
- Detecção de programas de Troia backdoor
- Grandes fluxos de dados inexplicados
- Pacotes inesperados de dados agregados
- Detecção de ferramentas de hacking para ataque "pass-the-hash"
- Campanhas de spear-phishing focadas que usam arquivos PDF do Adobe Acrobat
Especialistas em segurança ofereceram mais informações em uma série recente de webinars sobre busca de ameaças, em que eles abordaram quais condições relacionadas a atividades mal-intencionadas devem ser procuradas e podem alertar as empresas sobre ataques de APTs.
Esses especialistas sugerem que você procure shells de comando (WMI, CMD e PowerShell) que estabeleçam conexões de rede ou ferramentas de administração de rede ou servidor remoto em sistemas sem administradores. Eles também sugeriram procurar documentos do Microsoft Office, Flash ou incidentes Java que chamam novos processos ou geram shells de comando.
Outra pista é qualquer desvio no comportamento normal das contas de administrador. A criação de novas contas localmente ou o domínio de uma empresa ou processos do Windows (como lsass, svchost ou csrss) com pais estranhos também podem ser evidência de uma APT no ambiente.
"57% das organizações corporativas, governamentais e educacionais consideram as APIs a principal preocupação relacionada à segurança."
Industry Pulse: informações de especialistas sobre um ataque de APT
Como exemplo de uma APT bem executada, apresentamos aqui uma rápida visão geral do APT10, uma campanha que talvez tenha começado em 2009. Como uma das ameaças de segurança cibernética mais duradouras da história, o APT10 atacou recentemente empresas por meio de provedores de serviços gerenciados em diversos setores de vários países, bem como de algumas empresas japonesas, causando inúmeros danos por meio do roubo de grandes volumes de dados.
Esses ataques, que estavam ativos desde o final de 2016, foram descobertos pela PwC UK e pela BAE Systems. Na Operação Cloud Hopper, um relatório conjunto sobre essa campanha, essas organizações admitem que a extensão total dos danos causados pelo APT10 possivelmente nunca será conhecida.
Veja a seguir alguns destaques importantes sobre o que essas organizações concluíram sobre o APT10 no relatório:
- A campanha provavelmente está sendo orquestrada por uma fonte de ameaças localizada na China.
- Ela começou em 2009 ou antes e usa vários tipos de malware para obter acesso sem precedentes ao longo do tempo.
- Os invasores APT10 aprimoram continuamente seus métodos de ataque, usando ferramentas avançadas recém-desenvolvidas que ajudam a aumentar a escala e os recursos dos ataques.
- Como a maioria dos ataques de APT, o APT10 atinge a propriedade intelectual e os dados confidenciais.
- A PwC UK e a BAE acreditam que a fonte de ameaças tem uma equipe e um conjunto de recursos em forte expansão, talvez com várias equipes de invasores altamente qualificados trabalhando continuamente.
* Cinco indícios de que você foi atingido por uma ameaça persistente avançada (APT)
Como detectar uma APT: busca por rastros de ameaças
À medida que mais APTs são descobertas, as organizações de segurança estão se tornando mais hábeis na detecção dessas ameaças furtivas. Uma das abordagens em evolução é a busca de ameaças, que combina tecnologia inovadora e inteligência humana em um enfoque proativo e iterativo, que identifica ataques que passam despercebidos apenas pela segurança de endpoints padrão.
A violação leva, em média, 150 dias para ser descoberta. No entanto, com a busca de ameaças, as organizações podem descobrir ataques como APTs precocemente na sequência de ataques, observando dados históricos e não filtrados de endpoints para identificar comportamentos e relacionamentos incomuns entre atividades que são anomalias.
Um caçador de ameaças começa a busca com um conjunto de ferramentas tecnológicas inovadoras, inteligência de detecção de ameaças e informações humanas. Em seguida, ele refina o processo de busca por meio de pesquisas iterativas que levam à descoberta das causas principais. Depois, ele responde às ameaças desativando-as e usando as informações e a inteligência obtidas para proteger o ambiente no futuro.
- Para começar, um caçador de ameaças pode usar as características conhecidas de uma ameaça específica, juntamente com informações humanas sobre possíveis sequências de ataque. O caçador pode iniciar uma série de pesquisas iterativas com ferramentas que pesquisam ambientes enquanto monitoram, registram e armazenam todas as atividades de endpoints.
- Por exemplo, a PwC UK e a BAE Systems descobriram que os invasores usaram arquivos maliciosos do Excel fornecidos por meio de campanhas de e-mail de phishing via Outlook. Os pesquisadores também descobriram que a abertura desses arquivos fazia com que novos arquivos fossem colocados em uma pasta temporária e que esses arquivos agiam como listeners C2, saindo pela porta 8080.
- Uma pesquisa inicial pode retornar um grande volume de dados, portanto, um caçador de ameaças normalmente precisa restringir uma pesquisa. No caso de uma ameaça APT10, um dos critérios de pesquisa pode ser as máquinas de RH, pois elas contêm dados confidenciais essenciais. Em seguida, usando a inteligência conhecida, o caçador de ameaças pode restringir ainda mais a pesquisa procurando arquivos do Excel que vieram como anexos de e-mail do Outlook. O próximo critério de pesquisa lógico seria uma conexão de comando e controle, que poderia ser detectada por meio da procura de conexões de rede com mais de uma conexão.
- Isso produzirá um conjunto de dados menor, que poderá ser visualizado como uma árvore de análise de processos, que exporá o arquivo temporário malicioso. Depois que essa condição é identificada, ela pode ser monitorada para verificar se o arquivo tentou criar uma conexão de rede pela porta 8080.
- Essa sequência de atividades confirma que houve um ataque APT10 ativo no ambiente em questão. Com a busca de ameaças e as avançadas ferramentas antivírus de próxima geração, o ataque pode ser isolado no computador host para bani-lo da rede. Outra opção é proibir o valor de hash, a fim de impossibilitar sua execução.
- A atividade final do caçador de ameaças é proteger o ambiente contra ataques futuros. Isso é feito por meio da generalização e da ampliação da sequência de consultas descrita acima para criar uma lista de observação. A ferramenta de segurança identifica essas atividades e envia alertas automáticos por e-mail para que medidas corretivas possam ser tomadas imediatamente.
Soluções e produtos relacionados
NSX Sandbox
Análise completa de malware
NSX Network Detection and Response
Detecção e resposta de rede (NDR) com tecnologia de inteligência artificial
NSX Distributed Firewall
Proteja seu data center distribuído com um firewall de pilha completa