حملات هدفمند اولین بار در سال 2009 به موضوع بحث های فعال در جامعه جهانی تبدیل شد. سپس در مورد حمله استاکس نت شناخته شد. شاید بتوان گفت که از او شروع شد تاریخ اخیرحملات سایبری هدفمند این نوع جرایم سایبری چیست و چگونه چنین حملاتی می تواند رخ دهد، با جزئیات بیشتر در مطالب ما.
حملات هدفمند چیست؟
حملات هدفمند (یا هدفمند) اقدامات از پیش برنامه ریزی شده علیه یک ساختار یا سازمان دولتی یا غیر دولتی خاص است. به عنوان یک قاعده، مجرمان سایبری که در حملات هدفمند شرکت می کنند، حرفه ای هستند، آنها را می توان با مهاجمان سنتی که به سفارش اتومبیل ها را سرقت می کنند مقایسه کرد: آنها یک هدف خاص دارند، آنها ابزارهای محافظت از اتومبیل را مطالعه می کنند تا بعداً با موفقیت آنها را دور بزنند.
امروزه فعالیت هکرها در حال کسب ویژگی های بیشتر و بیشتری از یک تجارت سنتی است. نوعی "بازار سیاه" در بازار وجود دارد - طرح های سایه و مکان هایی برای پیاده سازی ابزارهای نرم افزاری لازم برای حمله به زیرساخت فناوری اطلاعات یک شرکت. نرخ های ثابتی وجود دارد که به راحتی می توان آنها را در اینترنت پیدا کرد.
شما حتی می توانید خطوط تولید از قبل تشکیل شده را پیدا کنید: "شرکت های" مجرم سایبری در حال گسترش قیف فروش هستند، اصلاحات فردی راه حل ها را با در نظر گرفتن بخش های مختلف هدف آماده می کنند. قیمت هایی برای بات نت ها وجود دارد، نسخه های جدید تروجان ها به طور فعال اعلام می شوند. حتی می توانید حمله هدفمند را به عنوان یک سرویس خریداری کنید. مهاجمان سایبری برنامه های توسعه خود را ایجاد می کنند که به طور فعال اعلام می شود.
آندری عارفیف، مدیر توسعه محصول در InfoWatch می گوید: معمولاً اعلامیه ها در منابع بسته ارائه می شود. - اما، با این وجود، می توان گفت که صنعت بات نت مدرن تمام ویژگی های محصولات تجاری تمام عیار را دارد. طبق تحقیقات مستقل، تعداد ابزارهای استفاده شده برای ساخت بات نت در سال های اخیر ده برابر شده است.
علاوه بر این، ماهیت حملات در سال های اخیر به طور قابل توجهی تغییر کرده است: آنها بسیار پیچیده شده اند. حملات امروز شدیدتر شده اند: طرف مهاجم در تلاش است تا خود را با زیرساخت های شرکت تطبیق دهد و حمله را تا حد امکان نامرئی کند. حمله یا باید تا حد امکان دیر شناسایی شود یا اصلاً شناسایی نشود. بنابراین، چنین حملاتی، به عنوان یک قاعده، در زمان گسترش می یابند و تنها زمانی قابل توجه می شوند که زمان آن فرا می رسد که به طور فعال خود را نشان دهند.
حملات هدفمند به زیرساخت های فناوری اطلاعات دارای ویژگی های زیر است:
- سیستم حفاظتی که شرکت دارد را مطالعه می کنند و آن را دور می زنند.
- ماهیت حملات چند مرحله ای تر شده است: آنها می توانند در رایانه منشی شروع شوند و هدف نهایی رایانه حسابدار خواهد بود - برای مثال، وظیفه مهاجمان ممکن است نصب بدافزار در آنجا باشد.
به عنوان یک نتیجه میانی، می توان اشاره کرد که اگر علائم قابل مشاهده حمله به زیرساخت IT شرکت را مشاهده نکنید، این به این معنی نیست که مورد حمله قرار نمی گیرد، آندری عارفیف را خلاصه می کند.
نمونه هایی از حملات هدفمند
با توجه به تعدادی از منابع باز، برای معرفی یک برنامه ویروس تروجان، "نقطه ورود" اغلب فعالیت های خودی کارکنان بی وفای شرکت است. نمونه مشابهی را می توان در سال های نه چندان دور در ایران مشاهده کرد.
هدف اصلی این حمله مهار برنامه هسته ای ایران بود. تا آنجا که مشخص است، یک دولت مستقل سانتریفیوژهای غنیسازی هستهای را کنترل میکرد و تعدادی از تأسیسات بهصورت مستقل در اختیار داشت. سانتریفیوژها به سرعت خراب شدند، تعمیر آنها به زمان و هزینه نیاز داشت، بنابراین غنی سازی اورانیوم به تعویق افتاد. همانطور که مشخص شد، این حمله از قبل برنامه ریزی شده بود، انجام شد و برای مدت طولانی انجام شد.
هدف از این حمله نه سرقت تجهیزات، بلکه کنترل تاسیسات صنعتی بود. تصور اینکه اگر کسی شروع به کنترل یک نیروگاه هستهای کند چه اتفاقی میافتد وحشتناک است: انتقال آن به حالت آزاد حداقل یک چرنوبیل دوم را تهدید میکند...
با این حال، هدف مهاجمان تنها از نظر استراتژیک نیست اشیاء مهمو سازمان های دولتی بزرگ اخیراً، یکی از صاحبان یک سازمان تجاری این فرصت را داشت که خودش این موضوع را ببیند. آنها سعی کردند سرور شرکت را با استفاده از آسیب پذیری های تماس آلوده کنند - صاحب شرکت فقط خوش شانس بود که فقط رایانه حسابدار مورد حمله قرار گرفت.
نرم افزار مخرب برنامه ای است که به شما امکان می دهد دسترسی غیرمجازبه اطلاعات محرمانهاز طریق آسیب پذیری ها چنین برنامه هایی معمولاً برای دستیابی به دسترسی اولیه به شبکه سازمانی استفاده می شوند. به طور معمول، سیستم تزریق به دسترسی به داده ها هنگام راه اندازی مجدد سیستم اشاره دارد. "ثبت نام" ماژول اجرایی در این مورد هر بار راه اندازی مجدد آن است.
نرم افزارهای مخرب نه تنها به دلیل نیت مخرب کارمند شرکت، بلکه به دلیل روش های استفاده شده توسط هکرها می توانند وارد رایانه کارمند شرکت شوند. مهندسی اجتماعی(به عنوان مثال، یک مجرم سایبری ممکن است از قربانی بخواهد که پیوند خاصی را دنبال کند یا از یک منبع شخص ثالث بازدید کند).
در نتیجه، قربانی برای حمله در دسترس می شود و مهاجمان به سیستم عامل رایانه کاری کارمند دسترسی پیدا می کنند. اکنون می توانید فایل های مخرب را راه اندازی کنید تا متعاقباً کنترل رایانه های سازمان را در دست بگیرید. اقدامات ذکر شده در بالا "حملات روز صفر" نامیده می شوند.
چه داده هایی بیشتر دزدیده می شوند؟
این تا حد زیادی به مشخصات شرکت بستگی دارد. هدف هکرها می تواند اسرار صنعتی و توسعه استراتژیک یک برنامه بسته، پرداخت و داده های شخصی باشد. عجیب است که طبق تحقیقات، 63 درصد از پاسخ دهندگان می دانند که حمله هدفمند به شرکت آنها فقط یک موضوع زمان است.
روش های تشخیص حملات هدفمند:
تجزیه و تحلیل امضا
تجزیه و تحلیل امضا نشان می دهد که تحلیلگران فایلی دارند که تحت تأثیر ویروس قرار گرفته است. مطالعه چنین برنامه مخربی به شما امکان می دهد امضای آن (اثر انگشت دیجیتال) را حذف کنید. پس از وارد شدن امضا به پایگاه داده، می توانید به سادگی با مقایسه امضاها، فایل را از نظر آلودگی به این ویروس بررسی کنید. مزیت تجزیه و تحلیل امضا این است که به شما امکان می دهد یک حمله را به طور دقیق تشخیص دهید. اگر فایلی با امضای منطبق وجود داشته باشد، می توانیم با خیال راحت بگوییم که رایانه تحت تأثیر قرار گرفته است.
تجزیه و تحلیل امضا چندین مزیت دارد:
- نه تنها برای اسکن ویروس، بلکه برای فیلتر کردن ترافیک سیستم نیز قابل استفاده است.
- می توانید روی دروازه "بنشینید" و حضور برخی از امضاهای تایید نشده را کنترل کنید.
- این به شما امکان می دهد مجتمع های تشخیصی را برای مقابله با حملات با دقت بسیار بالا انجام دهید.
یک نقطه ضعف قابل توجه تجزیه و تحلیل امضا، نیاز به به روز رسانی پایگاه داده امضا است. اکثر شرکت ها مجبورند هر 15 دقیقه پایگاه داده امضا را به روز کنند. در همان زمان، هر نیم ساعت در جهان ظاهر می شود ویروس جدید. سپس مراحل ثبت و مطالعه آن طولانی می شود و تنها پس از آن امضا وارد پایگاه داده می شود. در تمام مدت تا این لحظه، این شرکت در برابر ویروس جدید بی دفاع است.
روش دیگر مطالعه بدافزارهای شناسایی شده قبلی این است که تحلیل اکتشافی.
عملکرد تجزیه و تحلیل اکتشافی بررسی کد اجرایی برای وجود فعالیت مشکوک است که برای فعالیت ویروس ها معمول است. این تکنیک خوب است زیرا به ارتباط هیچ پایگاه داده ای بستگی ندارد. با این حال، تحلیل اکتشافی نیز دارای اشکالاتی است.
با توجه به اینکه همه آنتی ویروس های اصلی شناخته شده و قابل استفاده برای همه هستند، هکرها می توانند نرم افزار نوشته شده را آزمایش کرده و آن را تغییر دهند تا زمانی که همه ابزارهای شناخته شده را دور بزند. محافظت از آنتی ویروس. بنابراین، اثربخشی الگوریتم های ابتکاری اصلی به هیچ کاهش می یابد.
یکی دیگر از روشهای تشخیص حملات هدفمند، استفاده از فایروالهای به اصطلاح نسل بعدی است که علاوه بر قابلیتهای سنتی، امکان فیلتر کردن ترافیک را نیز به شما میدهد. عیب اصلی فایروال ها "مشکوک بودن" بیش از حد آنها است، آنها تعداد زیادی مثبت کاذب تولید می کنند. علاوه بر این، فایروال ها از فناوری هایی استفاده می کنند که می توان آنها را فریب داد (سند باکس، تجزیه و تحلیل اکتشافی و تجزیه و تحلیل امضا).
روش امنیتی دیگری نیز برای اجرای برنامه ها استفاده می شود. ایده آن بسیار ساده است: ایستگاه فقط میتواند برنامههای جداگانه را اجرا کند (به آن WhiteListening میگویند). نکته منفی این است که چنین "لیست سفید" باید شامل تمام برنامه هایی باشد که کاربر ممکن است نیاز داشته باشد، بدون استثنا. در عمل، این روش، البته، کاملا قابل اعتماد است، اما بسیار ناخوشایند است، زیرا گردش کار را کند می کند.
به گفته آندری آرفیف، در نهایت، یک فناوری جدید توسعه یافته برای تشخیص حمله پویا وجود دارد که در محصول InfoWatch Targeted Attack Detector استفاده می شود. - این تکنولوژیمبتنی بر این واقعیت است که اقدامات متجاوزان به ناچار منجر به اصلاح سیستم های فناوری اطلاعات سازمانی می شود. بنابراین، راه حل InfoWatch به صورت دوره ای سیستم فناوری اطلاعات سازمان را اسکن می کند و اطلاعاتی در مورد وضعیت اشیاء حیاتی جمع آوری می کند. دادههای بهدستآمده با نتایج اسکنهای گذشته مقایسه میشوند، سپس تجزیه و تحلیل فکری تغییرات رخ داده برای وجود ناهنجاریها انجام میشود. هنگامی که بدافزار ناشناخته شناسایی می شود، یک تحلیلگر شرکت در تجزیه و تحلیل اقدامات آن و آسیب احتمالی به زیرساخت سازمانی شرکت می کند.
- در چه مرحله ای می توان یک حمله را به عنوان هدفمند طبقه بندی کرد؟
در واقع، تشخیص ناهنجاری نشانه اصلی این است که سیستم شما دچار مشکل شده است، این نشانه غیرمستقیم است که شرکت مورد حمله قرار گرفته است. در عین حال، این حمله نباید شامل ویروسی در سطح اکتبر قرمز باشد. همانطور که تمرین نشان می دهد، به اندازه کافی، یک تروجان کوچک، به طور دوره ای بیشتر ارسال می شود. در اصل، این برای آوردن پول به مهاجمان سایبری خاص کافی است.
به طور کلی، مایلم به این نکته اشاره کنم که حملات هدفمند ابزار قدرتمندی برای تأثیرگذاری هستند سیاست شرکتسازمان های بزرگ دولتی و تجاری به همین دلیل لازم است با این نوع جرایم سایبری به صورت سیستماتیک و با دقت مقابله شود.
النا خرلاموا
برای کسانی که نمی دانند حمله "هدفمند" چیست، من یک پادکست می خواهم :)
حمله هدفمند - این یک فرآیند مداوم از فعالیت های غیرمجاز در زیرساخت سیستم مورد حمله است که به صورت دستی از راه دور در زمان واقعی کنترل می شود.
بر اساس این تعریف توجه شما را به نکات زیر جلب می کنم:
1) اولاً، این دقیقاً روند است - فعالیتدر زمان، برخی عمل،و نه فقط یک اقدام فنی یکباره.
2) ثانیاً، فرآیند برای کار در یک زیرساخت خاص طراحی شده است، برای غلبه بر مکانیسم های امنیتی خاص، محصولات خاص و مشارکت کارکنان خاص در تعامل طراحی شده است.
تفاوت قابل توجهی در رویکرد وجود دارد ارسال های انبوهبدافزار استاندارد، زمانی که مهاجمان اهداف کاملا متفاوتی را دنبال می کنند، در واقع کنترل یک نقطه پایانی جداگانه را به دست می آورند. در مورد حمله هدفمند، زیر قربانی ساخته می شود.
شکل زیر چهار مرحله یک حمله هدفمند را نشان می دهد که آن را نشان می دهد چرخه زندگی. اجازه دهید هدف اصلی هر یک از آنها را به اختصار بیان کنیم:
- آموزش. وظیفه اصلی مرحله اول یافتن یک هدف، جمع آوری اطلاعات خصوصی دقیق کافی در مورد آن است که بر اساس آن نقاط ضعف در زیرساخت شناسایی شود. یک استراتژی حمله بسازید، ابزارهای ایجاد شده قبلی را که در بازار سیاه موجود است انتخاب کنید، یا خودتان ابزارهای لازم را توسعه دهید. به طور معمول، مراحل نفوذ برنامه ریزی شده به طور کامل آزمایش می شود، از جمله عدم شناسایی توسط ابزارهای استاندارد امنیت اطلاعات.
- نفوذ -مرحله فعال یک حمله هدفمند با استفاده از تکنیکهای مختلف مهندسی اجتماعی و آسیبپذیریهای روز صفر برای آلوده کردن اولیه هدف و انجام شناسایی داخلی. در پایان شناسایی و پس از مشخص شدن مالکیت میزبان آلوده (سرور/ایستگاه کاری)، به دستور یک مهاجم، یک مورد اضافی کد مخرب.
- در حال گسترش- مرحله تثبیت در داخل زیرساخت، عمدتاً بر روی ماشین های کلیدی قربانی. گسترش کنترل خود تا حد امکان، تصحیح نسخه های کد مخرب از طریق مراکز کنترل در صورت لزوم.
- دستیابی به هدف- مرحله کلیدی حمله هدفمند.
این پایه (چند ضلعی) شامل:
1. مدل های بخش باز شبکه اطلاعات و مخابرات.
2. مدل های بخش بسته شبکه اطلاعات و مخابرات.
شبکه شبیه سازی شده از اجزای زیادی تشکیل شده است.
در بخش باز، هاست ها (PC1–PC7) با استفاده از روترهای Cisco 3745 (c3745) به یک شبکه متصل می شوند. در بخشهای فرعی، میزبانها برای انتقال دادهها با استفاده از سوئیچ (SW1) به شبکه متصل میشوند. در این طرح، سوئیچ (سوئیچ) فقط داده ها را از یک پورت به پورت دیگر بر اساس اطلاعات موجود در بسته که از طریق روتر وارد شده است، منتقل می کند.
در یک بخش شبکه بسته، روترهای رمزنگاری برای رمزگذاری بسته های داده ای استفاده می شود که از یک بخش شبکه بسته به یک بخش باز می روند. اگر مهاجم موفق به رهگیری بسته های داده های ارسالی این شبکه شود، در این صورت قادر به استخراج اطلاعات مفید از این داده ها نخواهد بود.
ویندوز XP که بخشی از بخش شبکه اطلاعات و مخابرات است، به عنوان شی مورد حمله انتخاب شد. این سیستم به ابر «خروج شبکه واقعی» با آدرس IP: 192.168.8.101 متصل می شود.
خوب، بیایید شروع به تحقیق کنیم. شبکه محلیبه منظور تعیین عناصر یک شبکه کامپیوتری برای بهره برداری بعدی. بیایید از Netdiscovery استفاده کنیم.
برای یافتن آسیبپذیریهای احتمالی شبکه مورد حمله، اجازه دهید این شبکه را با استفاده از ابزار تحقیق و امنیت شبکه Nmap ("NetworkMapper") اسکن کنیم.
در حین اسکن، متوجه شدیم که سیستم دارای پورت ها را باز کنید، که نشان دهنده آسیب پذیری های بالقوه است.
به عنوان مثال، 445/TCPMICROSOFT-DS - مورد استفاده در ویندوز مایکروسافت 2000 و نسخه های بعدیبرای دسترسی مستقیم TCP/IP بدون استفاده از NetBIOS (به عنوان مثال، در اکتیو دایرکتوری). ما از این پورت برای دسترسی به سیستم استفاده خواهیم کرد.
اکنون با استفاده از Metasploit یک حمله شبکه انجام می دهیم. این ابزار به شما این امکان را میدهد که یک حمله شبکه را شبیهسازی کنید و آسیبپذیریهای سیستم را شناسایی کنید، اثربخشی IDS/IPS را بررسی کنید یا اکسپلویتهای جدید را با یک گزارش دقیق توسعه دهید.
اکسپلویت کار می کند، اما باید مشخص کنید که بعد از کار اکسپلویت چه اتفاقی می افتد. برای انجام این کار، ما shellcode را باز می کنیم، از آن به عنوان یک بار بهره برداری استفاده می کنیم که دسترسی به پوسته فرمان در یک سیستم کامپیوتری را برای ما فراهم می کند.
در LHOST آدرس IP سیستمی که حمله از آن انجام خواهد شد را مشخص می کنیم.
هر سال، سازمان ها ابزارهای کسب و کار خود را بهبود می بخشند، راه حل های جدیدی را معرفی می کنند و در عین حال زیرساخت های فناوری اطلاعات را پیچیده می کنند. اکنون، در شرایطی که یک سرور ایمیل در یک شرکت معلق است، اطلاعات مهم از ایستگاههای کاری پایانی پاک میشود، یا عملکرد یک سیستم صورتحساب خودکار مختل میشود، فرآیندهای تجاری به سادگی متوقف میشوند.
بنیامین
لوتسوف
معاون رئیس، رئیس بخش شرکت، آزمایشگاه کسپرسکی
نیکلاس
دمیدوف
مشاور فنی برای امنیت اطلاعات در آزمایشگاه کسپرسکی
با درک وابستگی فزاینده به سیستمهای خودکار، کسبوکارها نیز آماده هستند تا مراقبتهای بیشتر و بیشتری در مورد تضمین امنیت اطلاعات داشته باشند. علاوه بر این، راه ایجاد یک سیستم امنیت اطلاعات به وضعیت این سازمان خاص بستگی دارد - به حوادث رخ داده، اعتقادات کارکنان خاص - و اغلب "از پایین" شکل می گیرد، از زیرسیستم های امنیت اطلاعات فردی گرفته تا کلیت آن. تصویر در نتیجه، یک سیستم چند مرحله ای منحصر به فرد ایجاد می شود که متشکل از محصولات و خدمات مختلف است که معمولاً برای هر شرکت منحصر به فرد است که متخصصان امنیت اطلاعات می توانند:
- اسکن فایل ها با استفاده از سیستم های امنیتی نقطه پایانی؛
- فیلتر ایمیل و ترافیک وب با استفاده از راه حل های دروازه.
- نظارت بر یکپارچگی و تغییرناپذیری فایل ها و تنظیمات سیستم;
- نظارت بر رفتار کاربر و پاسخ به انحراف از الگوی ترافیک عادی؛
- محیط و شبکه داخلی را برای آسیبپذیریها و پیکربندیهای ضعیف اسکن کنید.
- پیاده سازی سیستم های شناسایی و احراز هویت، رمزگذاری درایوها و اتصالات شبکه;
- سرمایه گذاری در SOC برای جمع آوری و مرتبط کردن گزارش ها و رویدادها از زیرسیستم های ذکر شده در بالا.
- سفارش تست های نفوذ و سایر خدمات برای ارزیابی سطح امنیت؛
- سیستم را مطابق با الزامات استانداردها و صدور گواهینامه انجام دهید.
- اصول بهداشت کامپیوتر را به کارکنان آموزش دهید و تعداد بی نهایتی از مشکلات مشابه را حل کنید.
اما با وجود همه اینها، تعداد موفق، یعنی. حملات به زیرساختهای فناوری اطلاعات که به هدف خود میرسند کاهش نمییابد، اما آسیبهای ناشی از آنها در حال افزایش است. مهاجمان چگونه می توانند بر سیستم های امنیتی پیچیده غلبه کنند که معمولاً از نظر ترکیب و ساختار منحصر به فرد هستند؟
مفهوم حمله هدفمند
وقت آن رسیده است که تعریفی ارائه کنیم که به طور دقیق مفهوم حمله هدفمند یا هدفمند را منعکس کند. حمله هدفمند یک فرآیند مداوم از فعالیت های غیرمجاز در زیرساخت سیستم مورد حمله است که به صورت دستی و در زمان واقعی از راه دور کنترل می شود.
اولاً، این دقیقاً یک فرآیند است - یک فعالیت در زمان، یک عملیات خاص و نه فقط یک اقدام فنی یکباره.
ثانیاً، هدف این فرآیند کار در یک زیرساخت خاص است که برای غلبه بر مکانیسمهای امنیتی خاص، محصولات خاص و مشارکت کارکنان خاص در تعامل طراحی شده است. لازم به ذکر است که تفاوت قابل توجهی در رویکرد ارسال انبوه بدافزار استاندارد وجود دارد، زمانی که مهاجمان اهداف کاملاً متفاوتی را دنبال می کنند - در واقع کنترل یک نقطه پایانی جداگانه. در مورد حمله هدفمند، برای قربانی ساخته شده است.
ثالثاً، این عملیات معمولاً توسط یک گروه سازمان یافته از متخصصان حرفه ای، گاه بین المللی، مسلح به ابزارهای فنی پیچیده، اساساً یک باند، مدیریت می شود. فعالیت آنها در واقع بسیار شبیه به عملیات نظامی چند گذره است. به عنوان مثال، مهاجمان لیستی از کارمندانی که به طور بالقوه می توانند به «دروازه های ورودی» شرکت تبدیل شوند، جمع آوری می کنند، در شبکه های اجتماعی با آنها تماس می گیرند و نمایه های آنها را مطالعه می کنند. پس از آن، وظیفه به دست آوردن کنترل بر روی رایانه کار قربانی حل می شود. در نتیجه، رایانه وی آلوده می شود و مهاجمان اقدام به در اختیار گرفتن کنترل شبکه و مشارکت مستقیم در فعالیت های مجرمانه می کنند.
در موقعیت حمله هدفمند، سیستم های کامپیوتریبا یکدیگر بجنگید و مردم - برخی حمله می کنند و برخی دیگر - با در نظر گرفتن یک حمله خوب آماده شده را دفع می کنند طرف های ضعیفو ویژگی های سیستم های اقدام متقابل
در حال حاضر اصطلاح APT - Advanced Persistent Threat رایج تر شده است. بیایید نگاهی به تعریف آن بیندازیم. APT ترکیبی از ابزارهای کاربردی، بدافزارها، سوء استفاده های روز صفر و سایر مؤلفه هایی است که به طور خاص برای اجرای این حمله طراحی شده اند. تمرین نشان می دهد که APT ها به طور مکرر و مکرر در آینده برای انجام حملات مکرر با بردار مشابه علیه سایر سازمان ها استفاده می شوند. حمله هدفمند یا هدفمند یک فرآیند، یک فعالیت است. APT یک ابزار فنی است که به شما امکان اجرای یک حمله را می دهد.
به جرات می توان گفت که گسترش فعال حملات هدفمند، از جمله، به دلیل کاهش شدید هزینه و هزینه های نیروی کار در اجرای خود حمله است. تعداد زیادی از ابزارهای توسعه یافته قبلی در دسترس گروه های هکر است، گاهی اوقات نیازی فوری به ایجاد بدافزار عجیب و غریب از ابتدا وجود ندارد. در بیشتر موارد، حملات هدفمند مدرن بر روی اکسپلویت ها و بدافزارهای ایجاد شده قبلی ساخته می شوند، تنها بخش کوچکی از تکنیک های کاملاً جدید استفاده می کند که عمدتاً به تهدیدات کلاس APT مربوط می شود. گاهی اوقات ابزارهای کاملاً قانونی ایجاد شده برای اهداف "صلح آمیز" نیز به عنوان بخشی از حمله مورد استفاده قرار می گیرند - در زیر به این موضوع باز خواهیم گشت.
مراحل یک حمله هدفمند
در این مطلب مراحل اصلی یک حمله هدفمند اعلام می شود، اسکلت مدل کلی و تفاوت در روش های نفوذ مورد استفاده نشان داده می شود. جامعه متخصص تصور می کند که یک حمله هدفمند، به طور معمول، از 4 مرحله در توسعه خود عبور می کند (شکل 1).
روی انجیر 1 4 مرحله از یک حمله هدفمند را نشان می دهد که چرخه زندگی آن را نشان می دهد. اجازه دهید هدف اصلی هر یک از آنها را به اختصار بیان کنیم:
1. آماده سازی - وظیفه اصلی مرحله اول یافتن هدف، جمع آوری اطلاعات خصوصی دقیق کافی در مورد آن است که بر اساس آن، نقاط ضعف در زیرساخت را شناسایی کنید. یک استراتژی حمله بسازید، ابزارهای ایجاد شده قبلی را که در بازار سیاه موجود است انتخاب کنید، یا خودتان ابزارهای لازم را توسعه دهید. به طور معمول، مراحل نفوذ برنامه ریزی شده به طور کامل آزمایش می شود، از جمله عدم شناسایی توسط ابزارهای استاندارد امنیت اطلاعات.
2. نفوذ - مرحله فعال یک حمله هدفمند، با استفاده از تکنیک های مختلف مهندسی اجتماعی و آسیب پذیری های روز صفر برای آلوده کردن اولیه هدف و انجام شناسایی داخلی. پس از تکمیل شناسایی و مشخص شدن مالکیت میزبان آلوده (سرور/ایستگاه کاری)، کد مخرب اضافی را می توان از طریق مرکز کنترل به دستور مهاجم دانلود کرد.
3. توزیع - مرحله تثبیت در زیرساخت، عمدتاً بر روی ماشینهای کلیدی قربانی. گسترش کنترل خود تا حد امکان، تصحیح نسخه های کد مخرب از طریق مراکز کنترل در صورت لزوم.
4. دستیابی به هدف مرحله کلیدی یک حمله هدفمند است، بسته به استراتژی انتخابی، می توان از آن استفاده کرد:
- سرقت اطلاعات طبقه بندی شده؛
- تغییر عمدی اطلاعات طبقه بندی شده؛
- دستکاری در فرآیندهای تجاری شرکت
در تمام مراحل، یک شرط اجباری برای پنهان کردن آثار فعالیت یک حمله هدفمند برآورده می شود. هنگامی که یک حمله به پایان می رسد، اغلب اتفاق می افتد که مجرمان سایبری یک "نقطه بازگشت" برای خود ایجاد می کنند و به آنها اجازه بازگشت در آینده را می دهند.
مرحله 1 حمله هدفمند - آماده سازی
شناسایی هدف
تعداد موفق، یعنی حملات به زیرساختهای فناوری اطلاعات که به هدف خود میرسند کاهش نمییابد، اما آسیبهای ناشی از آنها در حال افزایش است. مهاجمان چگونه می توانند بر سیستم های امنیتی پیچیده غلبه کنند که معمولاً از نظر ترکیب و ساختار منحصر به فرد هستند؟
پاسخ بسیار کوتاه است: با آماده سازی و انجام حملات پیچیده که ویژگی های سیستم هدف را در نظر می گیرند.
هر سازمانی می تواند به هدف حمله تبدیل شود. و همه چیز با یک دستور یا هوش عمومی یا به طور دقیق تر نظارت شروع می شود. در جریان نظارت مستمر چشم انداز کسب و کار جهانی، گروه های هکر از ابزارهای در دسترس عموم مانند فیدهای RSS، حساب های رسمی توییتر شرکت ها، انجمن های تخصصی که در آن کارمندان مختلف اطلاعات را تبادل می کنند، استفاده می کنند. همه اینها به تعیین قربانی و اهداف حمله کمک می کند و پس از آن منابع گروه به مرحله شناسایی فعال می رود.
مجموعه اطلاعات
به دلایل واضح، هیچ شرکتی اطلاعاتی در مورد چیست ارائه نمی دهد وسایل فنیاز جمله برای حفاظت از اطلاعات، مقررات داخلی و غیره استفاده می کند. بنابراین فرآیند جمع آوری اطلاعات در مورد قربانی را شناسایی می گویند. وظیفه اصلی اطلاعات جمع آوری اطلاعات خصوصی هدفمند در مورد قربانی است. در اینجا، همه چیزهای کوچک مهم هستند که به شناسایی نقاط ضعف بالقوه کمک می کنند. بی اهمیت ترین رویکردها را می توان در کار برای به دست آوردن داده های اولیه بسته، به عنوان مثال، مهندسی اجتماعی استفاده کرد. ما چندین تکنیک مهندسی اجتماعی و سایر مکانیسم های هوشی مورد استفاده در عمل را ارائه خواهیم کرد.
روش های اکتشاف:
1. داخل.
حمله هدفمند یک فرآیند مداوم از فعالیت های غیرمجاز در زیرساخت سیستم مورد حمله است که به صورت دستی از راه دور در زمان واقعی کنترل می شود.
رویکردی با جستجو برای کارکنان اخیراً اخراج شده شرکت وجود دارد. یک کارمند سابق شرکت برای یک موقعیت بسیار وسوسه انگیز برای یک مصاحبه معمولی دعوت نامه دریافت می کند. ما می دانیم که یک روانشناس استخدام با تجربه می تواند تقریباً با هر کارمندی که برای یک موقعیت رقابت می کند صحبت کند. از چنین افرادی، مقدار کافی اطلاعات برای آماده سازی و انتخاب یک بردار حمله به دست می آید: از توپولوژی شبکه و وسایل حفاظتی مورد استفاده گرفته تا اطلاعات مربوط به زندگی خصوصی سایر کارکنان.
این اتفاق می افتد که مجرمان سایبری به رشوه دادن به افراد مورد نیاز خود در شرکت صاحبان اطلاعات یا ورود به دایره اعتماد از طریق ارتباط دوستانه در مکان های عمومی متوسل می شوند.
2. منابع باز.
در این مثال، هکرها از نگرش بیوجدان شرکتها نسبت به رسانههای کاغذی استفاده میکنند که بدون تخریب مناسب به سطل زباله انداخته میشوند؛ گزارشها و اطلاعات داخلی را میتوان در میان زبالهها پیدا کرد، یا مثلاً وبسایتهای شرکتی که حاوی نام واقعی کارمندان هستند. دسترسی عمومی. داده های به دست آمده را می توان با سایر تکنیک های مهندسی اجتماعی ترکیب کرد.
در موقعیت حمله هدفمند، این سیستمهای رایانهای نیستند که با یکدیگر مبارزه میکنند، بلکه افراد هستند: برخی حمله میکنند، برخی دیگر با در نظر گرفتن نقاط ضعف و ویژگیهای سیستمهای اقدام متقابل، حملهای را که به خوبی آماده شدهاند دفع میکنند.
در نتیجه این کار، سازمان دهندگان حمله می توانند اطلاعات نسبتاً کاملی در مورد قربانی داشته باشند، از جمله:
- نام کارکنان، ایمیل، تلفن؛
- برنامه کاری بخش های شرکت؛
- اطلاعات داخلی در مورد فرآیندهای شرکت؛
- اطلاعات در مورد شرکای تجاری
پورتال های تدارکات دولتی نیز منبع خوبی برای اطلاعات در مورد راه حل های پیاده سازی شده توسط مشتری از جمله سیستم های امنیت اطلاعات هستند.
در نگاه اول، این مثال ممکن است بی اهمیت به نظر برسد، اما در واقع اینطور نیست. اطلاعات فوق با موفقیت در روش های مهندسی اجتماعی استفاده می شود و به هکر اجازه می دهد تا با استفاده از اطلاعات دریافتی به راحتی اعتماد خود را جلب کند.
3. مهندسی اجتماعی.
- تماس های تلفنی از طرف کارمندان داخلی.
- شبکه های اجتماعی.
با استفاده از مهندسی اجتماعی، می توانید موفقیت قابل توجهی در به دست آوردن اطلاعات محرمانه شرکت به دست آورید: به عنوان مثال، در مورد یک تماس تلفنی، یک مهاجم می تواند خود را از طرف یک کارمند خدمات اطلاعات معرفی کند، سؤالات درست را بپرسد یا از شما بخواهد که این کار را انجام دهید. دستور درست در کامپیوتر شبکه های اجتماعی در کمک به تعیین دایره دوستان و علایق فرد مناسب هستند، چنین اطلاعاتی می تواند به مجرمان سایبری کمک کند تا استراتژی مناسبی برای برقراری ارتباط با قربانی آینده ایجاد کنند.
توسعه استراتژی
این استراتژی در اجرای یک حمله هدفمند موفق اجباری است، کل برنامه عمل را در تمام مراحل حمله در نظر می گیرد:
- شرح مراحل حمله: نفوذ، توسعه، دستیابی به اهداف.
- روشهای مهندسی اجتماعی، آسیبپذیریهای مورد استفاده، دور زدن ابزارهای امنیتی استاندارد؛
- مراحل توسعه حمله، با در نظر گرفتن شرایط اضطراری احتمالی؛
- ادغام در داخل، افزایش امتیاز، کنترل بر منابع کلیدی؛
- استخراج داده ها، حذف آثار، اقدامات مخرب.
ایجاد غرفه
بر اساس اطلاعات جمع آوری شده، گروهی از مهاجمان اقدام به ایجاد جایگاهی با نسخه های یکسان نرم افزار مورد استفاده می کنند. یک سایت آزمایشی که آزمایش مراحل نفوذ را از قبل روی یک مدل کار امکان پذیر می کند. برای کار کردن تکنیک های مختلف پیاده سازی پنهان و دور زدن ابزارهای استاندارد امنیت اطلاعات. در اصل، جایگاه به عنوان پل اصلی بین مراحل غیرفعال و فعال نفوذ به زیرساخت قربانی عمل می کند. ذکر این نکته ضروری است که ایجاد چنین جایگاهی برای هکرها ارزان نیست. هزینه انجام یک حمله هدفمند موفق با هر مرحله افزایش می یابد.
توسعه مجموعه ای از ابزارها
مجرمان سایبری با یک انتخاب دشوار روبرو هستند: برای آنها مهم است که بین هزینه های مالی خرید ابزارهای آماده در بازار سایه و هزینه های نیروی کار و زمان ایجاد ابزار خود تصمیم بگیرند. بازار سایه طیف نسبتاً گسترده ای از ابزارهای مختلف را ارائه می دهد که به جز موارد منحصر به فرد زمان را به میزان قابل توجهی کاهش می دهد. این مرحله دوم است که به طور قابل توجهی حمله هدفمند را به عنوان یکی از منابع فشرده ترین حملات سایبری برجسته می کند.
بیایید به یک مجموعه ابزار با جزئیات نگاه کنیم: یک مجموعه ابزار معمولاً از سه جزء اصلی تشکیل شده است:
1. Command Center یا Command and Control Center (C&C).
زیرساخت مهاجمان مبتنی بر مراکز فرماندهی و کنترل C&C است که از انتقال دستورات به ماژولهای مخرب کنترلشده که نتایج کار را از آنها جمعآوری میکنند، تضمین میکند. مرکز حمله افرادی هستند که حمله را انجام می دهند. بیشتر اوقات، مراکز در اینترنت با ارائه دهندگانی قرار دارند که خدمات میزبانی، اشتراک و اجاره را ارائه می دهند. ماشین های مجازی. الگوریتم بهروزرسانی، مانند همه الگوریتمهای تعامل با «میزبانها»، میتواند همراه با ماژولهای مخرب به صورت پویا تغییر کند.
2. ابزار نفوذ، حل مشکل"باز کردن در" میزبان از راه دور مورد حمله:
- بهره برداری (Exploit) - کد مخربی که از آسیب پذیری های نرم افزار استفاده می کند.
- اعتباردهنده - یک کد مخرب است که در موارد عفونت اولیه استفاده می شود، قادر به جمع آوری اطلاعات در مورد میزبان، انتقال آن به C&C برای تصمیم گیری بیشتر در مورد توسعه یک حمله یا لغو کامل آن در یک ماشین خاص است.
- دانلودر - ماژول تحویل قطره چکان. لودر اغلب در حملات مبتنی بر روش های مهندسی اجتماعی استفاده می شود که به عنوان پیوست در پیام های ایمیل ارسال می شود.
- ماژول تحویل Dropper یک برنامه مخرب (معمولا یک تروجان) است که وظیفه آن تحویل ویروس اصلی Payload به دستگاه آلوده قربانی است. این برنامه برای:
- تعمیر داخل دستگاه آلوده، بارگذاری خودکار پنهان، فرآیندهای تزریق پس از راه اندازی مجدد دستگاه؛
- برای دانلود و فعال کردن ویروس Payload از طریق یک کانال رمزگذاری شده، به یک فرآیند قانونی تزریق کنید، یا یک نسخه رمزگذاری شده از ویروس Payload را از دیسک استخراج و اجرا کنید.
اجرای کد در یک فرآیند قانونی تزریق شده با حقوق سیستم صورت می گیرد، شناسایی چنین فعالیتی توسط ابزارهای امنیتی استاندارد بسیار دشوار است.
3. بدنه ویروس پیلود. ماژول مخرب اصلی در یک حمله هدفمند، که توسط Dropper بر روی میزبان آلوده بارگذاری شده است، ممکن است از چندین افزونه کاربردی تشکیل شده باشد. ماژول هایی که هر کدام عملکرد خود را انجام می دهند:
APT (Advanced Persistent Threat) ترکیبی از ابزارهای کمکی، بدافزارها، سوء استفاده های روز صفر و سایر مؤلفه هایی است که به طور خاص برای اجرای این حمله طراحی شده اند.
- جاسوس صفحه کلید;
- ضبط صفحه نمایش؛
- دسترسی از راه دور;
- ماژول توزیع در زیرساخت؛
- تعامل با C&C و به روز رسانی.
- رمزگذاری؛
- پاکسازی آثار فعالیت، خود تخریبی؛
- خواندن پست محلی;
- جستجوی اطلاعات روی دیسک
همانطور که می بینیم، پتانسیل مجموعه ابزارهای در نظر گرفته شده قابل توجه است و عملکرد ماژول ها و تکنیک های مورد استفاده بسته به برنامه های حمله هدفمند می تواند بسیار متفاوت باشد. این واقعیت بر منحصر به فرد بودن چنین حملاتی تأکید می کند.
خلاصه کردن
توجه به رشد حملات هدفمند علیه شرکتها در بخشهای مختلف بازار مهم است (سایر ریسکها در شکل 2 نشان داده شده است)، پیچیدگی بالای شناسایی آنها و آسیبهای عظیم ناشی از اقدامات آنها، که نمیتوان تضمین کرد که بعد از یک مدت زمان طولانی. به طور متوسط، یک حمله هدفمند 200 روز پس از فعال شدن آن کشف می شود. همچنین، سازمانهایی که وجود APT را در زیرساختهای خود شناسایی کردهاند، نمیتوانند به درستی پاسخ دهند و خطرات را به حداقل برسانند و فعالیتها را خنثی کنند: پرسنل مسئول امنیت اطلاعات به سادگی این را آموزش نمیدهند. در نتیجه، هر سومین شرکت فعالیت خود را برای بیش از یک هفته به حالت تعلیق در می آورد تا بتواند کنترل زیرساخت های خود را مجدداً به دست گیرد، سپس با یک فرآیند پیچیده بررسی حوادث روبرو می شود.
زیان های ناشی از یک حادثه بزرگ به طور متوسط 551000 دلار در سطح جهانی برای یک شرکت، شامل فرصت های تجاری از دست رفته و زمان از کار افتادن سیستم، و همچنین هزینه خدمات تعمیر حرفه ای 2 .
در مورد چگونگی توسعه حمله، روشهای دور زدن ابزارهای حفاظتی استاندارد و بهرهبرداری از تهدیدات روز صفر، مهندسی اجتماعی، پخش و پنهان کردن ردپاها هنگام سرقت اطلاعات کلیدی و موارد دیگر - در مقالههای زیر در مجموعه آناتومی یک حمله هدفمند.
___________________________________________
1 بر اساس آمار آزمایشگاه کسپرسکی.
2 داده های مطالعه امنیت اطلاعاتکسب و کار" توسط Kaspersky Lab و B2B International در سال 2015 انجام شد. بیش از 5500 متخصص فناوری اطلاعات از 26 کشور از جمله روسیه در این مطالعه شرکت کردند.
برنامههای مخرب مدتهاست که دیگر ابزاری برای انجام شیطنتهای کوچک نیستند که هدف آن سازماندهی باتنت برای ارسال هرزنامه یا در موارد شدید، سرقت رمز عبور بانکداری اینترنتی کاربر برای انجام عملیات غیرمجاز است. برای شرکت ها، ویروس های رایج را می توان به عنوان "خرابکاری جزئی" بدون خطرات عمده در نظر گرفت. به نوبه خود، برای مهاجمان، این روش سود مورد توجه خاصی نیست، زیرا. حفاظت های زیادی وجود دارد (ابزارهای ضد ویروس، برنامه های کاربردی با اقدامات کنترل مالی پیشرفته و غیره) که به مجرم اجازه نمی دهد از حمله استفاده کند.
هدف وسیله را توجیه می کند
نیکولو ماکیاولی
در عصر اطلاعات کامل و پیشرفت فناوری، زمانی که میلیاردها دلار در سیستمهای تجارت الکترونیک ذخیره میشود، سادهلوحانه است که فرض کنیم هیچ مجرمی با صلاحیت بالا وجود ندارد که مایل به سرقت این وجوه نباشد. امروزه روند استفاده از حملات هدفمند به زیرساخت های شرکت های متوسط و بزرگ به وضوح تعریف شده و رو به رشد است.
حملات هدفمند (هدفمند) (APT، تهدیدات مداوم پیشرفته)حملاتی (نرم افزارهای مخرب) هستند که هدفشان اشیاء یا صنایع خاص است. آنها مشخصات شرکتی را که برای آن درخواست می کنند یا حوزه فعالیت شرکت را به طور کلی در نظر می گیرند.
همه حملات از این نوع دارای تعدادی ویژگی هستند:
تمرکز بر صنعت (ویروس/حمله در یک صنعت خاص استفاده می شود، برای دیگری بی ربط خواهد بود).
"غیر پیش پا افتاده" کد برنامه نویسی. همانطور که قبلا ذکر شد، متخصصان بسیار ماهر در نوشتن ویروس های سفارشی مشغول هستند. هنگام نوشتن، آنها بیشتر تفاوت های ظریف را در نظر می گیرند که می توانند کار کنند به معنی استانداردحفاظت. به همین دلیل، به عنوان مثال، ابزارهای آنتی ویروس مبتنی بر امضا به احتمال زیاد قادر به شناسایی این کد برنامه به عنوان مخرب نیستند. به همین دلیل، یک مهاجم می تواند برای مدت طولانی در سیستم ها مورد توجه قرار نگیرد و آمار لازم را برای تکمیل موفقیت آمیز حمله جمع آوری کند.
به طور معمول، مهاجمان از سوء استفاده های روز صفر برای اجرای تهدیدات هدفمند استفاده می کنند.
0 روز- اصطلاحی که به آسیبپذیریهای اصلاح نشده و همچنین برنامههای مخربی اشاره میکند که مکانیسمهای حفاظتی در برابر آنها هنوز ایجاد نشده است.
وظیفه اصلی این اکسپلویت این است که بدون توجه به محیط شرکت وارد شود، با حذف ابزار ضد ویروس در صورت امکان، جای پای خود را به دست آورد و تمام تجهیزات مهاجم را برای کار راحت و "مولد" بالا بکشد.
همانطور که آمار 2013-2014 نشان می دهد، مهاجمان در این مسیر به پیروزی های بزرگی دست یافته اند. ابتدا زئوس و سپس کاربرپ، چه در روسیه و چه در سراسر جهان، به یک بلای واقعی تبدیل شدند. میزان سرقت تنها با استفاده از این دو خانواده ویروس در سال بالغ بر چند میلیارد دلار بوده است. میانگین حمله موفقیت آمیز به یک شرکت در بخش مالی در روسیه بود 30 میلیون روبل.
چنین فعالیت مشکوکی سالهای اخیرمرتبط با داستانی در مورد منبعی از نرم افزارهای مخرب بسیار "با کیفیت بالا" که به شبکه درز کرده است.
«منابع بانکداری معروف تروجان کاربرپ درز کرده است. کدهای منبع Carberp در یک آرشیو 1.88 گیگابایتی RAR اکنون به راحتی توسط گوگل پیدا می شوند. پس از بازگشایی، پروژه حاوی حدود 5 گیگابایت فایل با فهرست دقیق است. بدیهی است که اکنون می توانیم منتظر موج جدیدی از خلاقیت از مبتدیان و ویروس نویسان مداوم باشیم. حتی شخصی به شوخی گفت: "نشت زئوس مانند یک ماشین رایگان بود. دنیس میرکوف، کارشناس داعش، نویسنده مجله هکر، نشت کاربرپ در حال حاضر یک موشک پرتاب رایگان است.
"خوب، حالا چه باید بکنیم؟!" - سوالی که بی اختیار تا گلوی هر نگهبانی می پیچد. این جمله ای را به یاد می آورد که امانوئل لاسکر در سال 1899 گفت: "تنها راه برای باهوش تر شدن بازی با حریف قوی تر است." فن آوری ها و توسعه دهندگان ثابت نمی مانند، اگر تقاضا وجود داشته باشد، پیشنهاد شایسته ای وجود خواهد داشت. مشکل اصلی در تشخیص تهدیدات روز صفر، ناتوانی در یافتن امضاهای آشنا هنگام تجزیه و تحلیل کد است. اما این بدان معنا نیست که نمی توان رفتار هر فایلی را ردیابی کرد، با استفاده از روش "جعبه سیاه" آزمایش کرد و نتیجه گیری مناسب را گرفت!
تجزیه و تحلیل رفتاری در جعبه شنی بسیار زیاد است راه موثرتجزیه و تحلیل و شناسایی تهدیدات روز صفر و حملات هدفمند. تولید کنندگان مختلف راه حل های خود را ارائه می دهند و ادعا می کنند که محصول آنها سازنده ترین و دقیق ترین است. با این حال، اینطور نیست، مشکل اصلی چنین راه حل هایی هشدارهای کاذب (مثبت کاذب) است که می تواند کل کار سرویس امنیتی را باطل کند. راه حل انتخاب شده باید فقط به تهدیدات جدی حساس باشد. پیاده سازی چنین مفهومی در حال حاضر حرفه ای و تجربه است که باید به الگوریتم های پیچیده منتقل می شد و در محصول نهایی پیاده سازی می شد.
2013/03/29، جمعه، 13:03، به وقت مسکو
برنامه های مخرب مورد استفاده در تهدیدات پایدار پیشرفته (مخفف APT) به طور مداوم در حال بهبود هستند. اکنون آنها می توانند به طور مخفیانه به شبکه ها نفوذ کنند، که اغلب مشاغل و رسانه های قابل جابجایی را پشت سر می گذارند. امروزه، با تبدیل شدن مکان های کاری به طور فزاینده ای و خارج شدن از کنترل زیرساخت های امنیتی IT شرکت ها، این مشکل تنها تشدید می شود.نمونه ای از چنین تهدیدی کرم شعله است، یک سلاح جنگ سایبری جدید که به بخش انرژی ایران حمله کرده و اکنون در سراسر خاورمیانه در حال گسترش است. بدافزار Flame1 که توسط کارشناسان آزمایشگاه کسپرسکی کشف شد، به عنوان "یکی از پیچیده ترین تهدیدات تمام دوران" شناخته می شود. و اگرچه ویروس Flame در ابتدا قرار بود برنامه هسته ای ایران را خراب کند، اما هنوز هم کارشناسان امنیتی را آزار می دهد. واقعیت این است که اکنون فراتر از زیرساخت های هدف گسترش یافته و آلوده شده است سیستم های شرکتیدر سراسر جهان.
سلف آن ویروس استاکس نت بود که به طور خاص برای آلوده کردن و مختل کردن سیستمهای کنترل نظارت و جمعآوری دادهها (SCADA) که سانتریفیوژهای غنیسازی اورانیوم ایران را کنترل میکردند، طراحی شده بود. موفقیت این برنامه مخرب فراتر از انتظارات سازندگان آن بود: تجهیزات با یک دوره خود تخریبی وارد حالت کنترل نشده ای شدند. متأسفانه استاکس نت نیز از اهداف ایرانی فراتر رفت و شروع به آلوده کردن سیستم های اسکادا در آلمان و سپس سایر کشورهای جهان کرد.
هم Flame و هم Stuxnet تهدیدهای پیچیده ای هستند. این یک سلاح نسل بعدی برای عملیات نظامی است که توسط دولت، تروریست ها و سندیکاهای جرایم سایبری با بودجه مالی خوبی کنترل می شود. این برنامه های مخرب که به ویژگی های بسیاری برای پنهان کردن فعالیت های خود مجهز شده اند، در درجه اول با هدف سرقت مالکیت معنوی، برنامه های سازمان های نظامی و سایر دارایی های ارزشمند شرکت ها هستند.
با این حال، قربانیان این جنگ به احتمال زیاد شرکت های متوسط و کوچکی خواهند بود که در صورت عدم استقرار خود را در تیررس متقابل خواهند دید. زیرساخت های پیچیدهامنیت برای محافظت از نقاط پایانی روزهایی که شرکتهای متوسط و بزرگ میتوانستند از ناشناس بودن نسبی برخوردار باشند یا از امنیت صرفهجویی کنند، گذشته است. تهدیدهای هدفمند پیچیده و حملات روز صفر همه جا و بی رحم می شوند.
سیر تحول تهدیدات
روزی روزگاری، تهدیدها به صورت انبوه، معمولاً توسط پست الکترونیک. قربانی با استفاده از یک پیام فیشینگ که گفته میشود توسط یک سرمایهدار خارجی یا یکی از اقوام گمشدهاش ارسال شده بود، به دام کشیده شد. و اگرچه این تهدیدها به طور بالقوه خطرناک بودند، اما بدون تبعیض ارسال شدند. علاوه بر این، با استفاده از ابزارهای امنیتی اولیه می توان آنها را شناسایی و از آنها جلوگیری کرد. این نوع حملات همچنان بر اینترنت مسلط هستند. با این حال، در سال های اخیر، سطح پیچیدگی تهدیدها به طور قابل توجهی افزایش یافته است: در حال حاضر تهدیدات هدفمند پیچیده و حملات روز صفر به طور فزاینده ای رایج شده اند که باعث ایجاد ترس و اضطراب در بین کاربران می شود.
در چند سال گذشته، پرمخاطب ترین حملات با استفاده از تهدیدات هدفمند پیچیده، حتی غیر محتمل ترین سناریوها را نیز تحت الشعاع قرار داده اند. عملیات شفق قطبی: حمله به گوگل. در سال 2009، طی این حمله با منشاء چینی، از طریق آسیب پذیری در اینترنت ویندوز Explorer دریافت شده است منبعو سایر انواع مالکیت معنوی گوگل و حدود 30 شرکت جهانی دیگر.
حمله به RSA در سال 2011، مجرمان سایبری به لطف این حمله هکری به کلیدهای SecurID پرچمدار این شرکت، که ارائه دهنده راه حل های امنیتی به آن افتخار می کرد، توانستند به سیستم های پیمانکاران نظامی ایالات متحده Lockheed Martin، Northrop Grumman و L3 Communications نفوذ کنند.
آزمایشگاه ملی اوک ریج. زمانی که مدیران متوجه شدند که یک حمله فیشینگ دادههای حساس را از سرور آپلود میکند، آزمایشگاه DOE باید آفلاین میشد.
شبکه ارواح این شبکه جاسوسی سایبری متشکل از 1295 رایانه آلوده در 103 کشور، تعدادی از حامیان جنبش استقلال تبت و همچنین سایر سازمانهای بزرگ از جمله وزارتخانههای محلی، کمیسیونهای امور خارجه، سفارتخانهها، سازمانهای بینالمللی و غیردولتی را هدف قرار داده است.
موش شادی. به عنوان بخشی از این کمپین طنین انداز، شبکه های سازمان های دولتی، سازمان های غیرانتفاعی و شرکت های بزرگ در 14 کشور جهان هک شدند که در مجموع 70 سازمان آسیب دیده وجود دارد.
ویژگی های اصلی
این روزها تهدیدات پیچیده هدفمند و حملات روز صفر دست به دست هم داده و به طور گسترده در رسانه ها پوشش داده می شود. و با این حال، آنها چه هستند و چه تفاوتی با تهدیداتی مانند تروجان ها یا کرم ها دارند؟
به جرات می توان گفت که اینها حملات آماتوری معمولی نیستند. از نام آن مشخص است که چنین تهدیداتی بر اساس فناوری های پیشرفته و همچنین چندین روش و بردار برای حملات هدفمند به سازمان های خاص به منظور دستیابی به اطلاعات محرمانه یا سری کار می کنند.
سازندگان تهدیدات هدفمند پیچیده بسیار متفاوت از بچه های اسکریپت هستند که حملات SQL را راه اندازی می کنند، یا بدافزارنویسان معمولی که بات نت ها را به شخصی که بیشترین پیشنهاد را ارائه می دهد، می فروشد. قیمت بالا. به طور معمول، این تهدیدات پیشرفته توسط سندیکاهای بزرگ و سازمان یافته ای برنامه ریزی می شوند که تیم های کاملی از متخصصان را در اختیار دارند و فناوری های جمع آوری اطلاعات متعددی در اختیار دارند. از آنجایی که این تهدیدات آهسته، مخفیانه هستند و مسیرهای خود را می پوشانند، به طور فزاینده ای توسط مجرمان سایبری، دولت های متخاصم، تروریست ها و سندیکاهای جنایی ترجیح داده می شوند.
طرح کار
در اجرای تهدیدات هدفمند پیچیده، مجرمان سایبری از بدافزار برای به دست آوردن اطلاعات شخصی استفاده می کنند که به انجام مرحله دوم حمله کمک می کند. پس از آن، از فناوریهای مهندسی اجتماعی فردی استفاده میشود که هدف آن نفوذ در سازمان از طریق ضعیفترین نقطه آن یعنی کاربر نهایی است.
در این مرحله از حمله، اهداف افرادی هستند که به حساب های کاربری لازم دسترسی دارند. در این مورد از نامههای متقاعدکنندهای استفاده میشود که ادعا میکنند از منابع انسانی یا منبع معتبر دیگری هستند. با یک کلیک بی دقت بر روی چنین ایمیلی، مجرمان سایبری به با ارزش ترین اطلاعات سازمان دسترسی رایگان پیدا می کنند، بدون اینکه کسی حتی به آن شک کند. پس از دسترسی به سیستم، یک تهدید هدفمند پیچیده از انواع تروجان ها، ویروس ها و سایر برنامه های مخرب استفاده می کند. آنها شبکه را آلوده می کنند و حفره های بسیاری ایجاد می کنند که می توانند به طور نامحدود روی ایستگاه های کاری و سرورها باقی بمانند. در تمام این مدت، تهدید بدون توجه از یک رایانه به رایانه دیگر در جستجوی یک هدف معین حرکت می کند.
بهره برداری های روز صفر
ابزار مورد علاقه تهدیدات هدفمند پیچیده، همواره بهره برداری های روز صفر است. این نام بزرگ به خوبی ماهیت تهدیدهایی را که از آسیبپذیریهای امنیتی در برنامهها استفاده میکنند، قبل از اینکه فروشنده آنها را برطرف کند یا حتی از وجود آنها مطلع شود، به تصویر میکشد. بنابراین، کمتر از یک روز بین اولین حمله و اصلاح - "روز صفر" می گذرد. در نتیجه مجرمان سایبری آزادی عمل کامل دارند. آنها بدون ترس از تلافی، از حمله ای استفاده می کنند که هیچ دفاعی در برابر آن وجود ندارد.
بدافزاری که از آسیبپذیریهای روز صفر سوء استفاده میکند میتواند بدون توجه به یک سازمان آسیب جدی وارد کند. هدف آنها سرقت اطلاعات حساس مانند کد منبع، مالکیت معنوی، برنامههای سازمانهای نظامی، دادههای صنایع دفاعی و سایر اسرار دولتی مورد استفاده در جاسوسی است. وقتی سازمان از حمله مطلع می شود، برای بخش روابط عمومی به یک کابوس واقعی تبدیل می شود. صدمات میلیونی است، نه تنها برای تعمیرات اساسی زیرساخت های امنیتی، بلکه برای پرداخت هزینه های قانونی و مقابله با عواقب ریزش مشتری. ناگفته نماند که چقدر تلاش، زمان و هزینه صرف بازگرداندن اعتبار و اعتماد مشتریان می شود.
تهدیدهای پیچیده هدفمند و سوء استفاده های روز صفر پدیده جدیدی نیستند. آنها برای اولین بار چندین سال پیش استفاده شدند، مدتها قبل از اینکه این اصطلاحات وارد اصطلاحات حرفه ای امنیتی شود. تاکنون، بسیاری از سازمانها حتی متوجه نشدهاند که چندین ماه (و گاهی حتی سالها) پیش قربانی یک حمله پنهان روز صفر شدهاند. بر اساس گزارش نقض داده های Verizon، 2.44٪ از این نقض های مالکیت معنوی پس از چندین سال کشف می شوند.
نمونه موردی: گزارشی که توسط Christian Science Monitor3 منتشر شد نشان داد که در سال 2008، سه شرکت نفتی -ExxonMobil، Marathon Oil و ConocoPhilips- قربانی حملات سایبری هدفمندی شدهاند که با استفاده از تهدیدات پیچیده و هدفمند انجام شدهاند. در حملاتی که گمان میرود منشأ چینی داشته باشند، مجرمان سایبری اطلاعات مهمی درباره تعداد، ارزش و مکان میادین نفتی کشفشده در یک سرور راه دور آپلود کردند. با این حال، واقعیت حمله این شرکت تنها پس از گزارش FBI از سرقت اطلاعات محرمانه از آنها کشف شد.
تا سال 2011، تهدیدات هدفمند پیچیده به درستی یکی از اولین مکان ها را در میان تهدیدات امنیتی به خود اختصاص دادند. از این گذشته، به دلیل آنها است که شرکت هایی مانند سونی، اپسیلون، HBGary و DigiNotar در سال جاری متحمل ضررهای هنگفت شدند. ناگفته نماند RSA که تقریباً 40 میلیون فایل را از دست داد رمزهای عبور یکبار مصرفبرای کلیدهای الکترونیکی. در مجموع، خرابی امنیتی RSA4 حدود 66 میلیون دلار برای شرکت هزینه داشت، در حالی که Sony5 از از دست دادن 100 میلیون رکورد، 170 میلیون دلار ضرر کرد.
در پایان سال 2011، حداقل 535 نقض داده وجود داشت که منجر به از دست رفتن 30.4 میلیون رکورد شد. بر اساس اعلام خانه تسویه حریم خصوصی، بسیاری از شرکت ها در سال جاری قربانی یک سری حملات هیجان انگیز شده اند. و این تنها بخش کوچکی از تخلفات شناخته شده است، زیرا هر ساله هزاران تخلف امنیتی وجود دارد که شناسایی یا افشا نمی شوند.
دفاع در برابر تهدیدات پیچیده هدفمند ممکن و ضروری است. روش های حفاظتی در مقاله "تهدیدهای هدفمند پیچیده: تضمین حفاظت" مورد بحث قرار خواهد گرفت.