APT35 taktika, metodes un procedūras: kā tās darbojas un kā aizsargāt Windows

  • APT35 izceļas ar ticamu šķēpa pikšķerēšanu, akreditācijas datu zādzību un noturību operētājsistēmā Windows.
  • APT apvieno ielaušanos, sānu kustību un maskētu eksfiltrāciju ar slepenu C2.
  • EDR/XDR, segmentācija, ielāpu ieviešana un tīkla/galapunktu telemetrija ir kritiski šķēršļi.
Pablo

11 Minutos

APT35 kiberdrošība operētājsistēmā Windows

Mūsdienu apdraudējumu ainavā tikai daži pretinieki ir tik neatlaidīgi un slepeni kā APT35. Šis aktieris, pazīstams arī kā Helix Kitten vai Burvīgais kaķēns[Uzņēmuma nosaukums] ir izveidojis reputāciju, pateicoties labi izpētītām mērķtiecīgām pikšķerēšanas kampaņām, identitātes zādzībām un ilgtermiņa noturībai korporatīvajā vidē. Ja strādājat ar Windows organizācijā, tās taktikas, metožu un procedūru (TTP) izpratne ir [Darbības drošības] atslēga. samazināt uzbrukuma virsmu un reaģēt laikā.

Lai gan bieži tiek uztverti kā “filmām līdzīgi” uzbrukumi, progresīvi pastāvīgi draudi nav zinātniskā fantastika. Tās ir metodiskas, daudzlīmeņu un pacientu operācijasŠie uzbrukumi ir izstrādāti, lai iefiltrētos, paliktu neatklāti un īstajā brīdī izvilinātu vērtīgus datus. APT35 atbilst šim profilam: ticamas mērķtiecīgas pikšķerēšanas kampaņas, maskēta vadības un kontroles infrastruktūra un spēcīga spēja pielāgot savas metodes, upurim stiprinot savu aizsardzību.

Kas ir APT un kāpēc APT35 rada īpašas bažas operētājsistēmai Windows?

Pastāvīgs drauds ir ilgstošs uzbrukums, kurā pretinieks iegūst neatļautu piekļuvi un tur to noslēpumā lai zagtu informāciju, uzraudzītu darbības vai radītu traucējumus, kad tas tiem ir ērti. Atšķirībā no "masveida" ļaunprogrammatūras, APT nedarbojas masveidā; tie ir vērsti uz konkrētiem mērķiem un pirms pārvietošanās apgūst vidi.

Operētājsistēmā Windows APT35 bieži vien izmanto sociālo inženieriju: Smalki izstrādāti šķēpa pikšķerēšanas e-pastiklonētas akreditācijas lapasViltus ielūgumi uz konferencēm vai akadēmiskiem pasākumiem, kā arī krāpnieciskas shēmas, kas pierunā upuri palaist kodu vai nodot žetonus. Kad upuris ir nonācis iekšā, uzmanība tiek pievērsta noturībai: aizmugurējās durvis, akreditācijas datu ļaunprātīga izmantošana un slepena sānu pārvietošanās.

Kas stāv aiz APT un kā APT35 iederas šajā procesā?

APT parasti atbalsta labi organizēti dalībnieki. Mēs varam atšķirt trīs galvenos blokusValsts sponsorētas grupas, organizētā noziedzība un haktīvistu kolektīvi. APT35, kas, pēc vairāku analītiķu domām, ir saistīts ar Irānas interesēm, ir vērsts pret tādām nozarēm kā aviācija un kosmosa rūpniecība, telekomunikācijas, finanses, enerģētika, ķīmija un viesmīlība, ar ekonomiskiem, militāriem un politiskiem mērķiem.

Starp valsts pārvaldītajām grupām izceļas daži labi zināmi gadījumi: Lācars (Ziemeļkoreja), iesaistīts finanšu zādzībās un operācijās, piemēram, Sony incidentā; APT28/Fancy Bear un APT29/Cozy Bear (Krievija)ar kampaņām, kas vērstas pret valdības, diplomātiskajiem un vēlēšanu mērķiem; un APT40, kas saistīta ar kiberspiegošanu, kuras mērķi ir universitātes un aizsardzības nozare. Šīs operācijas ilustrē APT plānošanas apmēru.

Organizētajā noziedzībā galvenais ir finansiāls ieguvums. Carbanaks/FIN7 ir uzbrukusi banku un mazumtirdzniecības nozarei; Tumšā puse Viņš kļuva slavens, pateicoties incidentam ar Colonial Pipeline. Savukārt haktīvisti darbojas ideoloģisku vai politisku motīvu vadīti: Anonīmi o la Sīrijas elektroniskā armija Šie ir protesta akciju un propagandas piemēri ar reālu ietekmi.

Šie pretinieki, tostarp tie, kas saistīti ar valstīm, Viņi meklē peļņu vai stratēģiskas priekšrocības ar intelektuālā īpašuma zādzību, izspiešanu (izspiedējvīrusu) vai piekļuvi kritiski svarīgām sistēmām.

Kā tie darbojas: galvenā taktika, metodes un procedūras

Tipisks APT apvieno vairākus slāņus: ielaušanās, kāpšana un sānu kustība, kā arī eksfiltrācijaIelaušanās laikā APT35 izmanto lietotāja psiholoģiju, lai piespiestu pirmo klikšķi un, ja iespējams, iefiltrētos sistēmās ar ievainojamībām vai neielāpītu programmatūru. Operētājsistēmā Windows ir bieži redzami ļaunprātīgi makro dokumentos, saites uz viltotām pieteikšanās lapām un sistēmas rīku izmantošana, lai paliktu neatklāti.

Nonākot iekšā, uzbrucējs nodibina sakarus ar savu vadības un kontroles (C2) infrastruktūru. Šo saziņu var maskēt kā likumīgu datplūsmu.No vienkāršiem HTTP(S) pieprasījumiem līdz radošākiem kanāliem, ko atbalsta publiskie pakalpojumi (ir bijuši TTP, kas ļaunprātīgi izmanto sociālos tīklus vai mākoņdokumentus). Stabilas komunikācijas rezultātā sākas resursu atklāšana un horizontāla pārvietošanās.

Aizstāvjiem jāpatur prātā, ka mūsdienīgs APT izmantot publiskās pēcekspluatācijas sistēmas un rīkus (piemēram, labi zināmi ietvari), bet arī pielāgoti komponenti. Dažreiz uzbrucēji ielādē kodu atmiņā, lai neatstātu pēdas diskā, un paļaujas uz tādām metodēm kā DLL sānu ielāde.

Eksfiltrācijas laikā dati tiek izvadīti pilienveidā vai partijās, maskēts tīkla trokšņa dēļ vai iekapsulēti (saspiesti faili, izplatīti protokoli, slepeni kanāli). Ja upuris kaut ko atklāj, APT var ģenerēt uzmanības novēršanas līdzekļus, piemēram, DDoS uzbrukumu, lai maskētu īsto noplūdi.

APT uzbrukuma pakāpeniskas fāzes

  1. AtzīšanaViņi apkopo e-pasta adreses, publiskos profilus, izmantotās tehnoloģijas (dažreiz atklātas darba sludinājumos) un jebkādu citu noderīgu informāciju. Aizstāvim tā ir klusēšanas stadija.
  2. IelaušanāsŠķēpa pikšķerēšana ievainojamību izmantošanaVājas paroles vai dokumentos iegulta ļaunprogrammatūra var radīt nopietnu risku. Operētājsistēmā Windows bieži vien pietiek vienkārši atvērt "nepareizo" pielikumu, lai izpildītu kodu.
  3. Identitātes zādzībaViņi meklē derīgus akreditācijas datus (sīkfailus, žetonus, paroles) un piekļūst desmitiem sistēmu, izmantojot likumīgu lietotāju identitāti. apiet uz parakstu balstītas kontroles.
  4. Utilītu instalēšanaTie ietver rīkus slepenai administrēšanai, paroļu zādzībām, uzraudzībai un citiem mērķiem. Neliels implants vai skripts Tas var kalpot kā atspēriena punkts lielākām kravām.
  5. Aizmugurējās durvis un privilēģijasViņi izveido aizmugures durvis, slēptus kontus vai modificē konfigurācijas. Ja viņi iegūst domēna administratora akreditācijas datus, Viņiem pieder valstības atslēgas pārvietoties sāniski.
  6. EksfiltrācijaTie, izmantojot HTTP/FTP vai citus kanālus, iesaiņo e-pastus, failus un datubāzes starpniekserveros vai mākoņkrātuvē. Viņi var arī ļaunprātīgi izmantot DNS tuneļus ja vide to atļauj.
  7. NeatlaidībaPat pēc daļējas atklāšanas viņi cenšas palikt. Šī spītība ir APT raksturīgākā iezīme., ar mēnešu ilgu uzturēšanos.

APT procesa indikatori un pazīmes

Satiksmes maksimums vai neparastas plūsmas no iekšējām iekārtām uz ārpusi Tie ir brīdinājuma signāli. Līdzīgi pieteikšanās ārpus darba laika vai no neparastām atrašanās vietām norāda uz kompromitētām akreditācijas datiem.

the atkārtotas ļaunprogrammatūras infekcijas Tas, ka aizmugurējās durvis pēc "tīrīšanas" atkal atveras un atkal parādās, norāda uz noturību. Turklāt, ja parādās lieli vai saspiesti faili formātos, ko uzņēmums reti izmanto, ir nepieciešama izmeklēšana.

Neparasti e-pasti, ko saņem vadītāji vai sensitīva personāla darbinieki, kas ir tipiski mērķtiecīgas pikšķerēšanas gadījumiem. Tie parasti ir pirmais solis APT ķēdē.Vēl viena norāde: anomāla aktivitāte datubāzēs ar liela apjoma operācijām.

Daži pakalpojumu sniedzēji reģistrē, kur e-pasts tiek atvērts vai no kuras IP adreses; neparastas piekļuves vai sarakstes pārtveršanas novērošana var norādīt uz [kaut ko]. iebrucēji pārskata saziņuGalapunkta līmenī uzbrucējs izpēta politikas un atbilstības nepilnības, lai izmantotu vājās vietas.

APT veidi pēc objektīviem un ilustratīviem piemēriem

  • Sabotāža vai traucējumiĻoti sarežģītas darbības, kas manipulē ar rūpnieciskajiem procesiem, nebrīdinot upuri. Paradigmatisks gadījums: Stuxnet, kas ietekmēja Irānas centrifūgas.
  • Izspiešanakampaņas, kuru mērķis ir finansiāls ieguvums, piemēram, izspiedējvīrusi. Ryuk Tas izcēlās ar mērķtiecīgiem uzbrukumiem, kas šifrē kritiski svarīgus aktīvus un pieprasa augstas izpirkuma maksas.
  • Infiltrācija un eksfiltrācijaMērķis ir saglabāt un nepārtraukti iegūt datus. Kampaņas ir attiecinātas uz APT32 y APT37 par ekonomisko un politisko spiegošanu.
  • Piegādes ķēdePiegādātāji ir apņēmušies sasniegt savus klientus. Mediju piemērs bija SolarWinds (forumos piedēvēts APT29) un NotPetya Tas izplatījās ar kompromitēta atjauninājuma palīdzību, nodarot globālus postījumus.

Reālās dzīves gadījumi, kas māca mācības

Uzbrukums Mērķis ar RAM skrāpi Viņš izmantoja piegādātāja vājumu, lai iegūtu piekļuvi tā ekosistēmai. Aktieris nedēļām ilgi iefiltrējās pārdošanas punktu termināļos, zogot kredītkaršu datus un izfiltrējot milzīgus apjomus vienlaikus.

Pētnieki atklāja kampaņas, ko veica apakšgrupa Lazarus kurš modificēja labi zināmo DTrack ļaunprogrammatūru un izmantoja Maui izspiedējvīrusu. Atmiņas ielādes tika veiktas operētājsistēmā WindowsDTrack apkopoja sistēmas datus un pārlūkošanas vēsturi, un aizkavēšanās laiks bija mēneši.

LuckyMouse ieviesa ziņojumapmaiņas pakalpojuma Mimi Trojas variantu, lai izveidotu aizmugures durvis pret macOS, Windows un Linux, iesaistošas ​​organizācijas Taivānā un FilipīnāsTas demonstrē APT raksturīgo starpplatformu saderību.

Grupa SEABORĢIJA, saistīta ar Krievijas interesēm, gadiem ilgi veica spiegošanu Eiropā, ļaunprātīgi izmantojot šķēpa pikšķerēšanu, lai iegūtu piekļuvi OneDrive un LinkedInLikumīgu mākoņpakalpojumu izmantošana sarežģī atklāšanu.

Jaunākās TTP tendences: kas mainās un kas ne

Nesenajā vasaras ceturksnī analītiķi novēroja skaidras atšķirības starp spēlētājiem: daži Viņi attīstīja savu rīku komplektu modulāru ietvaru virzienā ļoti noturīgi, savukārt citi sasniedza mērķus ar ilgstošām infekcijas ķēdēm, pierādot, ka "vienkārši un pārbaudīti" joprojām darbojas.

Viens no pārsteidzošākajiem atklājumiem bija infekcija caur UEFI sāknēšanas komplekts, kas ir daļa no fāzētas sistēmas, kas pazīstama kā Mosaic Regresor, kas padarīja implantu ārkārtīgi izturīgu un grūti iznīcināmu. UEFI ir kritiski svarīgsInficēšana nodrošina noturību zem operētājsistēmas.

Viņi arī ir redzēti steganogrāfijas metodes ar sānielādēm: kampaņā, kas piedēvēta Ke3chang, tika izmantota Okrum aizmugurējās durvis versija, kas izmantoja parakstītu Windows Defender bināro failu, lai paslēptu galveno vērtumu, derīga digitālā paraksta uzturēšana lai samazinātu atklāšanu.

Citas grupas, piemēram, MuddyWaterViņi ir atkārtojuši daudzfāžu ietvarus, savukārt DTrack Tajā bija iekļautas jaunas iespējas izpildīt vairāku veidu lietderīgās slodzes. Paralēli tam DeathStalker Tajā ir vienkāršas, bet ļoti fokusētas ķēdes, kas paredzētas atklāšanas novēršanai, pierādot, ka panākumiem ne vienmēr ir nepieciešama izsmalcinātība.

APT35 uzmanības centrā: raksturīgie TTP un mērķi

APT35 ir pazīstams ar Ļoti ticami mērķtiecīgas pikšķerēšanas e-pasti un viltota dokumentācija kas atdarina akadēmiskus ielūgumus vai organizāciju saziņu. Bieži sastopama pieteikšanās datu viltošana, saīsinātu saišu ļaunprātīga izmantošana un akreditācijas datu iegūšanas lapas ar nevainojamu izskatu.

Sistēmā Windows šī grupa parasti paļaujas uz vietējiem skriptiem un rīkiem Lai paliktu neatklāti, izveidojiet C2 un virzieties laterāli. Sociālās inženierijas apvienojums ar nelāpītas programmatūras oportūnistisku izmantošanu. izskaidro tā augsto panākumu līmeni bez atbilstošām uzvedības un segmentācijas kontroles iespējām.

Kā aizsargāt Windows pret APT35 un citiem APT

EDR un XDR. Mūsdienīgi risinājumi reāllaikā atklāj anomālu uzvedībuTie nodrošina procesu, tīkla un atmiņas telemetriju un ļauj ātri reaģēt (izolēt iekārtas, apturēt procesus, atsaukt izmaiņas).

Lāpīšana un sacietēšana. Atjauniniet Windows, pārlūkprogrammas un biroja pakotnesTas piemēro virsmas laukuma samazināšanas noteikumus, ierobežo PowerShell, pēc noklusējuma atspējo makro un kontrolē neparakstītu bināro failu izpildi.

Lietojumprogrammu un domēnu kontrole. Atļauju saraksts samazina riskuTaču tam ir nepieciešama stingra atjaunināšanas politika un pastāvīga pārskatīšana: pat "uzticami" domēni var tikt apdraudēti.

WAF un lietojumprogrammu drošība. Tīmekļa lietojumprogrammu ugunsmūris Tas palīdz izolēt uzbrukumus lietojumprogrammu līmenī un apturēt RFI vai SQL injekcijas mēģinājumus; iekšējās datplūsmas uzraudzība atklāj neparastas tendences.

Piekļuve un datu pārvaldība. Segmentēt tīklu, piemērot vismazākās privilēģijasTas stiprina daudzfaktoru autentifikāciju (MFA) un uzrauga piekļuvi sensitīviem resursiem. Tas kontrolē failu koplietošanu un, ja iespējams, bloķē noņemamas ierīces.

Telemetrija un DNS. Meklējiet modeļus, kas norāda uz DNS tuneļiem vai citus slepenus eksfiltrācijas maršrutus; ģenerē brīdinājumus par neparastu saspiešanu un lieliem datu kustības apjomiem.

Apzinātība, bet bez aklas ticības. Apmācība palīdz. lai gan pat apmācīts personāls var nokristTo papildina tehniskās kontroles, novērošanas saraksti un uzvedības noteikšana.

Kā reaģēt: no pirmās norādes līdz nepārtrauktai uzlabošanai

  • Identifikācija un novērtēšana. Izmantojiet uzlabotus uzraudzības un kriminālistikas analīzes rīkus notikumu un failu. Nosaka faktisko darbības jomu, vektorus un skartos kontus, pārskatot žurnālus un artefaktus.
  • Ierobežošana. Izolējiet apdraudētās sistēmasSteidzami atceliet sesijas un žetonus, nomainiet akreditācijas datus un segmentējiet. Neļaujiet uzbrucējam turpināt pārvietošanos vai datu noplūdi.
  • Iznīcināšana un atveseļošanās. Noņem uzbrukuma rīkus, novērš ievainojamības y Atjaunot no zināmām dublējumkopijām kā neskarts. Saglabājiet pastiprinātu uzraudzību, lai atklātu atlikušo aktivitāti.
  • Analīze un uzlabošana. Dokumentējiet incidentu, atjauniniet politikasPielāgojiet atklāšanas noteikumus un pārredzami sazinieties ar ieinteresētajām personām. Šis posms samazina turpmāko pārkāpumu izmaksas.

Rīki un intelekts: kas rada atšķirību

Uz mākslīgo intelektu balstītas pieejas, kas atklāj ļaunprogrammatūras un izspiedējvīrusu bināros failus pirms to izpildes, proaktīvi draudu meklēšanas pakalpojumi un SOC ikdienas pastiprināšana, izmantojot MDR, ir galvenie sviras, lai saglabātu soli priekšā topošajiem TTP.

Draudu izlūkošanas portāli ar piekļuvi gandrīz reāllaika tehniskā un kontekstuālā informācija Tie ļauj paredzēt kampaņas, atjaunināt atklājumus un aizpildīt vērošanas sarakstus. Tie papildina EDR/XDR galapunktos un tīkla sensoros, nodrošinot pilnīgu pārklājumu.

Biežas Windows kompromitēšanas pazīmes, kuras nevajadzētu ignorēt

  • Augsts pieteikšanās skaits ārpus darba laika un kontos ar augstām privilēģijām; korelācija starp datu apjoma pieaugumu un attālo piekļuvi.
  • Atkārtoti aktieri vai aizmugurējo durvju atkārtota parādīšanāsTrojas zirgu kloni, kas atgriežas pēc it kā "tīrīšanas".
  • Pasta pārtveršana vai dīvainas pieteikšanās pastkastītēs; mērķtiecīga pikšķerēšana, kas īpaši vērsta pret vadītājiem vai finanšu nodaļām.
  • Citas anomālijasneparasts servera lēnums, izmaiņas reģistros, nezināmu kontu izveide vai dīvaini pakalpojumi startēšanas laikā.

Izmaksas un motivācija: kāpēc APT nav nepieciešams liels budžets

Lai gan tas varētu jūs pārsteigt, Dažu APT kampaņu darbības izmaksas var būt nelielas.Lielu daļu no izdevumiem veido komerciāli penetrācijas testēšanas rīki un daži infrastruktūras pakalpojumi, taču uzbrucēja ieguvums (ekonomiskais vai stratēģiskais) parasti attaisno ieguldījumus.

Bieži uzdotie jautājumi

  • Kāda ir atšķirība starp APT un “uzlabotu mērķuzbrukumu” (ATA)? Praksē ATA apraksta metodoloģiju, ko izmanto labi izveidotas grupas; ja šī darbība tiek uzturēta, nepārtraukti saglabājot savu formu un pielāgojoties tai, mēs runājam par APT. Tās izceļas ar taktiku, infrastruktūru, koda atkārtotu izmantošanu un mērķu veidu.
  • Kādi ir APT35 tipiskie mērķi un darbības veids? Tie parasti ir vērsti uz stratēģiskām nozarēm un akadēmisko vidi. ļoti ticama mērķtiecīga pikšķerēšana, akreditācijas datu zādzība, mākoņpakalpojumu ļaunprātīga izmantošana un noturība operētājsistēmā Windows, izmantojot vietējos rīkus un maskētu C2.
  • Kā es varu atklāt APT, ja tas neatstāj gandrīz nekādas pēdas? Meklēt patoloģiska uzvedība: neatbilstošas ​​pieteikšanās, lieli saspiesti faili, dīvaina izejošā datplūsma, procesi, kas sāk neparastus savienojumus, un ļaunprogrammatūras atkārtošanās pēc tīrīšanas.
  • Vai pietiek ar antivīrusu un apmācību? Nē. Jums nepieciešams EDR/XDR, telemetrija, segmentācijaLietojumprogrammu kontrole un saskaņota reaģēšana. Informētība palīdz, taču automatizācija un pārskatāmība ir būtiska.

Lai stiprinātu Windows pret APT35 un citiem APT, ir jāapvieno uzraudzība, tehnoloģijas un procesi. Ar stabilu piekļuves kontroli, EDR/XDR, apdraudējumu izlūkošanu un labi ieeļļotu reaģēšanuJūs varat ievērojami samazināt pretinieka iespēju logu un līdz minimumam samazināt ietekmi pat tad, kad viņš saņem pirmo klikšķi.

saistīto rakstu:
Pilnīgs ceļvedis pakāpenisku dublējumu izveidei operētājsistēmā Windows