APT (gelişmiş kalıcı tehdit) saldırılarının bir zamanlar büyük şirketler için bir sorun olduğu düşünülüyordu, ancak küçük ve orta ölçekli işletmelere yönelik bu (genellikle devlet destekli) saldırıların sayısı önemli ölçüde arttı.
Herkes adildir ve saldırı vektörlerinin sürekli gelişen doğası, kuruluşların proaktif olmasını ve savunmalarını sürekli olarak güncellemesini gerektirir; bu, özellikle saldırılarda kullanılan çeşitli taktikler, teknikler ve prosedürler (TTP’ler) göz önüne alındığında, kaynaklar üzerinde sürekli bir yük oluşturur. .
Yaygın olmayan TTP’ler
Cozy Bear (apt29), OceanLotus (apt32) ve Grim spider (apt-c-37) gibi APT’ler zaman, para ve diğer kaynakları yanlarına alarak teknik olarak karmaşık, son teknoloji saldırılar gerçekleştirirler. organizasyon. Bir kurban, daha büyük bir hedefe yönelik bir saldırı için tali hasar da olabilir.
Spear kimlik avı, kimlik bilgisi hırsızlığı, karadan yaşama (LOL) ve veri hırsızlığı gibi bazı TTP’leri iyi bilinir ve geniş çapta belgelenirken, APT’lerin kullanabileceği daha az yaygın TTP’ler de aynı derecede büyük hasara yol açabilir. Bunlar şunları içerir:
Su kuyusu saldırıları: Bu saldırılar, hedef kuruluşun çalışanlarının veya bireylerinin sık sık ziyaret ettiği web sitelerinin ele geçirilmesini içerir. Saldırganlar bu meşru web sitelerine kötü amaçlı kod enjekte ederek ziyaretçilerin bilmeden kötü amaçlı yazılım indirmesine neden olur. APT’lerin, doğrudan onlara saldırmadan, kullanıcıların sistemleri aracılığıyla hedef kuruluşa erişmesini sağlayan bir taktiktir. İyi bilinen bir saldırı, 2013 yılında ABD Çalışma Bakanlığı’nın web sitesini içeriyordu; burada, ziyaretçilerin sistemlerine bulaşmak ve hükümet çalışanları ile yüklenicileri hedef almak için kötü amaçlı kod enjekte edildi.
Ada atlamalı: Bu saldırılarda, APT’ler yalnızca birincil kurban organizasyonu değil aynı zamanda tedarik zincirlerindeki diğer organizasyonları, ortaklarını veya bağlı kuruluşlarını da hedef alır. Önce daha az güvenli üçüncü taraf şirketlerden ödün vererek, bunları nihai hedefe ulaşmak ve doğrudan tespit edilmekten kaçınmak için basamak taşları olarak kullanabilirler. Cozy Bear, 2016’da Demokratik Ulusal Komite’yi hedef aldı ve daha sonra diğer ABD hükümet kurumlarını ihlal etmek için adadan atlama tekniklerini kullandı.
Dosyasız kötü amaçlı yazılım: Dosyasız kötü amaçlı yazılım, sistemin belleğinde bulunur ve sabit sürücüde çok az iz bırakır veya hiç iz bırakmaz. Kötü niyetli faaliyetleri yürütmek için meşru süreçlerden ve araçlardan yararlanarak geleneksel güvenlik çözümlerinin algılamasını zorlaştırır. Dosyasız kötü amaçlı yazılım, kötü amaçlı betikler (makrolar ve PowerShell komutları gibi), kötü amaçlı kayıt defteri girdileri, LOLBin’ler, LOLScript’ler, WMI/WSH ve yansıtıcı DDL enjeksiyonu (en yaygın olanları vurgulamak için) yoluyla teslim edilebilir. APT32 (OceanLotus), Güneydoğu Asya’da devlet kurumları ve özel şirketler dahil olmak üzere çok sayıda kuruluşun güvenliğini ihlal etmek için dosyasız kötü amaçlı yazılım kullandı ve tespit ve ilişkilendirmeden kaçtı.
Donanım tabanlı saldırılar: APT’ler, kalıcılık kazanmak ve geleneksel güvenlik önlemlerinden kaçınmak için bellenimi tehlikeye atmak, donanım yerleştirmeleri veya çevresel aygıtları manipüle etmek gibi donanım tabanlı saldırıları kullanabilir. Özel araçlar ve uzmanlık olmadan bu saldırıların tespit edilmesi ve ortadan kaldırılması zor olabilir. Dikkate değer bir örnek, Equation Group’un sabit sürücülerin donanım yazılımını yeniden programlamak için kullandığı kötü amaçlı yazılımdır.
Sıfır gün istismarları: APT’ler, yazılım veya donanımdaki önceden bilinmeyen güvenlik açıklarını hedeflemek için sıfırıncı gün istismarları uygulayabilir. Bu saldırılar, bunlara karşı hiçbir yama veya savunma bulunmadığından oldukça etkili olabilir. Stuxnet saldırısını kim unutabilir ki? Stuxnet, endüstriyel kontrol sistemlerindeki birden fazla sıfır gün güvenlik açığından yararlanan, onu son derece etkili ve tespit edilmesini zorlaştıran karmaşık ve hedefli bir solucandı.
Bellek tabanlı saldırılar: Bellek tabanlı saldırılar, bilgisayarın RAM’inde depolanan hassas verilere erişmek için yazılımdaki güvenlik açıklarından yararlanır. Bu saldırılar, dosya tabanlı tehditlere odaklanan geleneksel güvenlik önlemlerini atlayabilir. Vietnam merkezli olduğuna inanılan APT32, bilgisayarın belleğinde gizlice çalışmak ve geleneksel güvenlik önlemlerinden kaçmak için dosyasız kötü amaçlı yazılımlar ve “karada yaşayan” teknikler kullanmasıyla tanınır.
DNS tünelleme: APT’ler, kurbanın ağından veri sızdırmak için DNS tünellemesini kullanabilir. Bu teknik, DNS isteklerinde veya yanıtlarında verilerin kodlanmasını içerir ve saldırganların, DNS trafiğini tam olarak incelemeyebilecek çevre güvenlik önlemlerini atlamasına olanak tanır. Cozy Bear, komuta ve kontrol sunucularıyla iletişim kurmak ve gizli bir şekilde hedeflenen kuruluşlardan hassas bilgileri çalmak için DNS tünellemesini kullandı.
Gelişmiş adli tıp teknikleri: APT’ler izlerini örtmek ve varlıklarına dair kanıtları silmek için önemli çabalar harcarlar. Günlükleri silmek, zaman damgalarını manipüle etmek veya soruşturma ve yanıt çabalarını engellemek için verileri şifrelemek için gelişmiş adli tıp teknikleri kullanabilirler. Equation Group’un iyi bilinen bir gelişmiş anti-adli teknik saldırısı, virüslü sistemlerde varlıklarını gizlemek ve ısrarla sürdürmek için “DoubleFantasy” adlı bir rootkit kullanarak, analistlerin faaliyetlerini tespit etmesini ve analiz etmesini son derece zorlaştırdı.
Çoklu platform veya özel kötü amaçlı yazılım: APT’ler, erişimini en üst düzeye çıkarmak için hem Windows hem de macOS sistemlerini hedef alabilen kötü amaçlı yazılım kullanır. İstihbarat toplamak için Scanbox keşif çerçevesi gibi uyarlanmış kötü amaçlı yazılımları da dağıtabilirler. Bir örnek, dünya çapındaki çeşitli kuruluşlara, özellikle Amerika Birleşik Devletleri’ne sızmak ve hassas verileri çalmak için özel kötü amaçlı yazılım kullanan APT1’dir (Yorum Ekibi veya Birim 61398 olarak da bilinir).
Şifre püskürtme: Parola püskürtme saldırıları, birkaç ortak parolayı birden çok hesaba karşı kullanmaya çalışarak ilk erişimi elde etmek için kullanılır. APT33 (Elfin), e-posta hesaplarını tehlikeye atmak ve daha fazla siber casusluk faaliyetleri için bir dayanak elde etmek için parola püskürtmeyi kullanarak Orta Doğu’daki ve dünya çapındaki kuruluşları hedef aldı.
APT’ler burada kalacak
Organizasyonlar APT gruplarının hayatını zorlaştırabilir. İşte nasıl:
- Derinlemesine savunma stratejisi: APT’lerle mücadelede kapsamlı bir derinlemesine savunma stratejisi çok önemlidir. Bu, güçlü çevre savunmaları, ağ segmentasyonu, uç nokta koruması, saldırı tespit sistemleri, veri şifreleme, erişim kontrolleri ve anormallikler için sürekli izleme gibi çok katmanlı güvenlik kontrollerinin uygulanmasını içerir.
- Tehdit istihbaratı ve paylaşımı: İdeal olarak kuruluşlar, tehdit istihbaratı paylaşım topluluklarına aktif olarak katılmalı ve sektördeki meslektaşları, devlet kurumları ve güvenlik tedarikçileriyle işbirliği yapmalıdır. APT’ler ve teknikleri hakkında bilgi paylaşmak, saldırıları daha etkili bir şekilde tespit etmeye ve hafifletmeye yardımcı olabilir.
- Çalışan eğitimi ve farkındalığı: Düzenli güvenlik farkındalığı programları, kimlik avı simülasyonları ve eğitim oturumları, çalışanları en son tehditler, sosyal mühendislik teknikleri ve güvenli bilgi işlem uygulamaları hakkında eğitebilir.
- Olay müdahalesi ve kurtarma: Önleyici tedbirlere rağmen, kuruluşların iyi tanımlanmış bir olay müdahale planı olmalıdır. Bu, APT saldırılarının etkisini en aza indirmek ve normal operasyonları eski haline getirmek için olay tespiti, sınırlama, yok etme ve kurtarma prosedürlerini içerir.
Bu TTP’ler, farklı tehdit gruplarının sergilediği çeşitli ve gelişmiş teknik becerilerin altını çiziyor. Kuruluşlar taktiklerini, tekniklerini ve prosedürlerini inceleyerek savunmalarını güçlendirebilir ve APT saldırılarına karşı koruma sağlayabilir.
Sürekli tetikte olma, tehdit istihbaratı ve olay müdahalesine hazır olma durumu, bu inatçı ve son derece yetenekli düşmanlara karşı hazırlanmak ve bazen bunları engellemek için çok önemli unsurlardır. Gerçek dünyadaki APT saldırılarının teknik karmaşıklıklarını ve TTP’leri anlamak, kuruluşların savunma stratejilerini geliştirmeleri ve bu kalıcı tehditlere karşı koruma sağlamaları için hayati önem taşır.