Che cos'è una minaccia persistente avanzata (APT)?
Una minaccia persistente avanzata (APT) è un attacco che ottiene un punto d'appoggio non autorizzato per eseguire un attacco esteso e continuo per un lungo periodo di tempo. Anche se in numero ridotto rispetto ad altri tipi di attacchi malevoli, le APT devono essere considerate una minaccia seria e costosa. Infatti, secondo il 13th Annual Worldwide Infrastructure Security Report di NETSCOUT Arbor, solo il 16% delle organizzazioni aziendali, della pubblica amministrazione o dell'istruzione ha subito queste minacce nel 2017, mentre il 57% dei queste organizzazioni le ha considerate come una delle principali preoccupazioni nel 2018.
La maggior parte del malware esegue un attacco rapido e dannoso, ma le APT adottano un approccio diverso, più strategico e furtivo. Gli hacker arrivano attraverso malware tradizionale come i trojan o il phishing, ma poi coprono le loro tracce mentre si spostano di nascosto e installano il loro software di attacco in tutta la rete. Man mano che si affermano, possono raggiungere il loro obiettivo, che è quasi sempre quello di estrarre continuamente e in modo persistente i dati, per un periodo di mesi o addirittura anni.
Proteggi il tuo data center con un firewall interno progettato appositamente
Ricerca delle minacce e risposta agli incidenti avanzate con Enterprise EDR
Le minacce persistenti avanzate hanno sempre una sequenza di attacco
Gli hacker che eseguono le APT hanno un approccio di attacco sequenziale piuttosto standard per raggiungere i loro obiettivi. Ecco un breve riepilogo dei passaggi tipici seguiti:
- Sviluppare una strategia specifica. Quando attaccano, gli hacker hanno sempre in mente un obiettivo specifico, in genere il furto di dati.
- Ottenere accesso. Gli attacchi vengono spesso avviati attraverso tecniche di social engineering che identificano gli obiettivi vulnerabili. Le e-mail di spear phishing o il malware proveniente da siti web di uso comune vengono quindi utilizzati per ottenere accesso alle credenziali e alla rete. Gli hacker in genere tentano di stabilire il comando e il controllo una volta entrati nella rete.
- Stabilire un punto di appoggio e sondare. Una volta stabilita una presenza nella rete, gli hacker si spostano lateralmente e liberamente in tutto l'ambiente, esplorando e pianificando la migliore strategia di attacco per i dati desiderati.
- Organizzare l'attacco. Il passaggio successivo consiste nel preparare i dati di destinazione per l'esfiltrazione centralizzandoli, crittografandoli e comprimendoli.
- Appropriarsi dei dati. A questo punto, i dati possono essere facilmente esfiltrati e spostati in modo furtivo in tutto il mondo, in genere senza preavviso.
- Persistere fino al rilevamento. Questo processo viene ripetuto per lunghi periodi di tempo attraverso la roccaforte nascosta degli hacker fino a quando non viene rilevato.
Indizi su un'APT in un ambiente enterprise
Poiché le APT hanno quasi sempre l'obiettivo di esfiltrare i dati, gli hacker lasciano prove della loro attività malevola. Ecco alcune delle indicazioni più eloquenti, secondo CSO:
- Un aumento dei login in orari insoliti, come a tarda notte
- La scoperta dei programmi Trojan backdoor
- Grandi flussi di dati inspiegabili
- Bundle inattesi di dati aggregati
- Il rilevamento di strumenti di hacking pass-the-hash
- Campagne mirate di spear phishing con file PDF Adobe Acrobat
In una recente serie di webinar sulla ricerca delle minacce, esperti di sicurezza hanno offerto ulteriori informazioni su cosa cercare in caso di attività malevole che potrebbero fornire alle aziende un avviso sugli attacchi APT.
Questi esperti suggeriscono di cercare shell di comando (WMI, CMD e PowerShell) che stabiliscono connessioni di rete o strumenti di amministrazione di rete o server remoti su sistemi non amministratori. Hanno inoltre suggerito di cercare documenti Microsoft Office, incidenti Flash o Java che richiamano nuovi processi o generano shell di comandi.
Un altro indizio è qualsiasi deviazione nei normali comportamenti degli account amministratore. Anche la creazione di nuovi account a livello locale, di un dominio aziendale o di processi Windows (come lsass, svchost o csrss) con parent insoliti può essere una prova di un'APT nell'ambiente.
"Il 57% delle organizzazioni aziendali, della pubblica amministrazione e dell'istruzione considera le API uno dei principali problemi di sicurezza."
Il polso del settore: informazioni approfondite da parte di esperti su un attacco APT
Come esempio di APT ben eseguito, ecco una rapida panoramica di APT10, una campagna che forse è iniziata già nel 2009. Essendo una delle minacce alla sicurezza informatica più durature della storia, APT10 ha recentemente attaccato aziende tramite managed service provider in diversi settori in molti paesi, nonché alcune aziende giapponesi, causando una quantità sconosciuta di danni a causa del furto di grandi volumi di dati.
Questi attacchi, attivi dalla fine del 2016, sono stati scoperti da PwC UK e BAE Systems. In Operation Cloud Hopper, un report congiunto su questa campagna, queste organizzazioni ammettono prontamente che l'entità del danno causato da APT10 potrebbe non essere mai nota.
Ecco alcuni punti salienti di ciò che queste organizzazioni hanno appreso su APT10 dal report:
- La campagna è molto probabilmente orchestrata da un autore di minacce con sede in Cina.
- È stato avviata nel 2009 o prima e utilizza vari tipi di malware per ottenere un accesso senza precedenti nel tempo.
- Gli hacker PT10 evolvono continuamente i loro metodi di attacco, utilizzando strumenti avanzati di recente sviluppo che aiutano ad aumentare la scala e le funzionalità degli attacchi.
- Come la maggior parte degli attacchi APT, APT10 mira alla proprietà intellettuale e ai dati sensibili.
- PwC UK e BAE ritengono che l'autore della minaccia abbia un personale e un insieme di risorse in notevole crescita, forse con più team di hacker altamente qualificati continuamente all'opera.
* 5 segnali che indicano che sei stato colpito da una minaccia persistente avanzata (APT)
Come si rileva un APT: ricerca delle minacce per trovare gli indizi lasciati
Man mano che vengono scoperte sempre più APT, le organizzazioni di sicurezza stanno diventando più abili nello scoprire queste minacce nascoste. Uno degli approcci in evoluzione è la ricerca delle minacce, che unisce tecnologia innovativa e intelligence umana in un approccio proattivo e iterativo che identifica gli attacchi che non vengono rilevati solo dalla sicurezza degli endpoint standard.
L'individuazione di una violazione media richiede 150 giorni. Tuttavia, con la ricerca delle minacce, le organizzazioni possono individuare attacchi come le APT nelle prime fasi della sequenza di attacco osservando i dati cronologici e non filtrati degli endpoint per trovare comportamenti insoliti e relazioni tra attività che rappresentano anomalie.
Un ricercatore di minacce inizia la ricerca con una serie di strumenti tecnologici innovativi, intelligence sulle minacce e informazioni umane. Il ricercatore perfeziona quindi il processo attraverso ricerche iterative che portano all'individuazione delle cause primarie. Il ricercatore risponde quindi alle minacce disattivandole e utilizzando le informazioni approfondite e l'intelligence acquisite per proteggere l'ambiente in futuro.
- Per iniziare, un ricercatore di minacce può utilizzare le caratteristiche note di una minaccia specifica, insieme a informazioni approfondite sulle potenziali sequenze di attacco. Il ricercatore può avviare una serie di ricerche iterative con strumenti che cercano negli ambienti durante il monitoraggio, la registrazione e la memorizzazione di tutte le attività degli endpoint.
- Ad esempio, PwC UK e BAE Systems hanno scoperto che gli hacker utilizzavano file Excel malevoli distribuiti tramite campagne di phishing via e-mail tramite Outlook. I ricercatori hanno anche scoperto che l'apertura di questi file causava il rilascio di nuovi file in una cartella temporanea e che tali file fungevano da listener C2, uscendo sulla porta 8080.
- Una ricerca iniziale può restituire un grande volume di dati, quindi un ricercatore di minacce in genere deve restringere la ricerca. Nel caso di una minaccia APT10, un criterio di ricerca potrebbe essere rappresentato dalle macchine HR, poiché contengono dati critici e sensibili. Quindi, utilizzando l'intelligence nota, il ricercatore di minacce può restringere ulteriormente il campo cercando i file Excel inviati come allegati e-mail di Outlook. Il successivo criterio di ricerca logica è una connessione di comando e controllo, che può essere individuata cercando le connessioni di rete con più di una connessione.
- Questo produrrà un set di dati più piccolo, che potrà quindi essere visualizzato come una struttura ad albero di analisi dei processi che esporrà il file temporaneo malevolo. Una volta identificato il file, è possibile monitorarlo ulteriormente per vedere che ha tentato di creare una connessione di rete sulla porta 8080.
- Questa sequenza di attività conferma l'esistenza di un attacco APT10 attivo in questo ambiente. Utilizzando la ricerca delle minacce e strumenti antivirus avanzati di nuova generazione, l'attacco può essere isolato sul computer host per portarlo fuori dalla rete. Un'altra opzione è vietare il valore hash in modo che non possa essere eseguito.
- L'ultima attività di ricerca delle minacce è quella di proteggere l'ambiente da attacchi futuri. Ciò avviene generalizzando e ampliando la sequenza di query sopra descritta per creare un elenco di controllo. Lo strumento di sicurezza identifica tali attività e invia avvisi e-mail automatici in modo da poter intraprendere immediatamente un'azione correttiva.
Soluzioni e prodotti correlati
NSX Sandbox
Analisi completa del malware
NSX Network Detection & Response
Network Detection and Response (NDR) basato sull'intelligenza artificiale
NSX Distributed Firewall
Proteggi il data center con un firewall completo