APT

Zaawansowany, długotrwały atak prowadzony przez dobrze zorganizowaną grupę, często powiązaną z państwem. Celem jest niezauważona, wielomiesięczna obecność w sieci ofiary.

APT (Advanced Persistent Threat) to nie pojedynczy wirus ani jednorazowy włam, tylko cała kampania prowadzona przez zorganizowaną, dobrze finansowaną grupę, która wchodzi do sieci ofiary po cichu i zostaje tam miesiącami albo latami. Trzy słowa w nazwie mówią wszystko: advanced (zaawansowane techniki, czasem własne exploity 0-day), persistent (nie znikają po jednym strzale, utrzymują dostęp), threat (za klawiaturą siedzi człowiek z konkretnym celem, nie skrypt siejący spam).

Za APT zwykle stoją grupy sponsorowane przez państwa albo wyspecjalizowane gangi. Ich celem rzadko jest szybki zysk z ransomware. Chodzi o szpiegostwo, kradzież własności intelektualnej, dane wywiadowcze albo dostęp do infrastruktury krytycznej. Dlatego robią wszystko, żeby Cię nie spłoszyć.

Jak to działa

Typowy łańcuch wygląda tak: rozpoznanie celu, wejście (najczęściej spear phishing albo podatność w usłudze wystawionej do internetu), potem persistence (backdoor, zaplanowane zadanie, własny serwis), lateral movement w głąb sieci, eskalacja uprawnień i wreszcie eksfiltracja danych. Cały czas grupa stara się wtopić w normalny ruch, używając legalnych narzędzi systemowych (tzw. living off the land), żeby antywirus nie miał się czego złapać.

Przykład z praktyki

Atakujący po wejściu na stację z Windows odpala mimikatz, żeby wyciągnąć hashe i hasła z pamięci procesu LSASS, a potem przez pass-the-hash przeskakuje na kolejne maszyny. Do sterowania i ruchu bocznego często używają Cobalt Strike. Jako obrońca mapujesz takie zachowania na framework MITRE ATT&CK i polujesz na nie w logach EDR-a, np. szukając podejrzanego dostępu do LSASS przez Sysmon Event ID 10.

Częste mity

Mit pierwszy: „mam antywirusa, jestem bezpieczny”. APT projektowane są tak, żeby omijać sygnatury, więc liczy się detekcja behawioralna i analiza logów, nie sam AV. Mit drugi: „to dotyczy tylko korporacji i rządów”. Twoja mała firma bywa trampoliną do większego celu w łańcuchu dostaw. Mit trzeci: skoro nic nie wybucha, to znaczy, że jest czysto. Cisza to w APT cecha, nie dowód niewinności.

Pojęcia powiązane: MITRE ATT&CK, threat intelligence, IOC (Indicators of Compromise), lateral movement, spear phishing, zero-day, EDR, Cobalt Strike, ransomware.