Az APT támadások jellemzően 3 szakaszból állnak. Az első a social engineering támadás, ez a legfontosabb tulajdonsága az APT-nek, amely megkülönbözteti a régi típusú hacker támadásoktól. Már az APT megfogalmazásakor világossá vált, hogy a social engineering-et a sérülékenységgel kombináló végpont elleni támadás ellen nehéz védekezni. Ha a támadó egyszer bejutott a gépre, akkor a hálózatba is bejutott. Innentől kezdve csak meg kell találni a megfelelő felhasználókat vagy rendszereket és a szokásos hacker támadásokat lefolytatni ellenük.
A végponti biztonság sokkal egyszerűbb fenyegetettségek ellen küzd mint az adattolvaj trójaiak (pl.: ZeusiLeaks). Ha az elterjedtebb trójaiak megvásárolhatóak bármely digitális bandától, akkor mire számítsunk a trükkössebb támadások esetén, mint pl. a jelenlegi is?
A social engineering rész egyszerű. De mi változott az elmúlt néhány évtizedben? Az 1980-as évek elején Matthew Broderick a WarGames-ben bizalmas hálózatok modemjei után kutatott. Matthew feltérképezte a hálózatokat gyenge pontok után kutatva. A támadások nem a felhasználókat célozták, hanem az infrastruktúrát. Ha ma Matthew egy APT támadással állna elő, akkor minden bizonnyal az első lépése egy közösségi oldalra vezetne. Adatokat gyűjtene a szervezet munkatársairól és nem az infrastruktúráról, majd egy adathalász leveleket küldene az alkalmazottaknak.
Az RSA esetében a támadó két különböző phishing levelet küldött két nap alatt. Ezek a levelek két kisebb alkalmazotti csoportnál landoltak. A támadott felhasználói listát átnézve semmi érdekes sem tűnik fel.
Az e-mail tárgysorában a következő áll: „2011 toborzási terv”. Ez elég érdekes ahhoz, hogy az alkalmazott kivegye a virtuális szemetesládából és duplán kattintson a „2011 toborzási terv.xls” állományra.
A táblázat egy zero-day exploitot tartalmazott, amely az Adobe Flash sérülékenységen (CVE-2011-0609) keresztül egy backdoor-t telepített. Az Adobe már kiadott egy biztonsági javítást a sérülékenységhez. Az exploit egy rosszindulatú kódot juttat a felhasználó számítógépébe, amely teljeskörű hozzáférést biztosít a PC-hez. A támadó ez esetben egy egyedi, Poison Ivy RAT variánsaként is ismert távfelügyeleti eszközt telepített az alkalmazott számítógépére. Akik járatosak az APT témában, azok minden bizonnyal ismerik ezt az elterjedt, több korábbi támadásnál (pl.: GhostNet) is használt eszközt. Ezeknek a távfelügyeleti eszközöknek a legtöbb esetben a célja, hogy külső irányítást biztosítson a klienshez vagy kiszolgálóhoz reverz kapcsolaton keresztül. Ez azt jelenti, hogy a parancsokat egy központi command & control szerverről tölti le és nem direkt kapcsolaton keresztül kapja azokat. Ezzel a kapcsolati megoldással a támadás nehezen detektálható. Bővebb információt itt találhat a távfelügyeleti eszközökről, beleértve a Poison Ivy-t is.
Az APT következő lépcsője, a feltört alkalmazotti számítógép után a hálózat bejárása, feltérképezése. Az eredeti belépési pont nem stratégiai fontosságú a támadóknak, több és magasabb szintű hozzáférésre van szükségük; adminisztrátori szintű, releváns szolgáltatásokkal és szerverekkel kapcsolatosakra.
Ez az egyik fő oka annak, hogy miért nem sikerült megakadályozni a támadást a kezdeti social engineering szakaszban. A gyors detektálás elengedhetetlen. Az elmúlt 18 hónapban nyilvánosságra hozott APT esetekben a támadóknak hónapjaik voltak a „digitális leskelődésre”, a hálózatok és erőforrások feltérképezésére, valamint hogy utat találjanak a kiszemelt célponthoz. Majd a megszerzett hozzáféréseket taktikákkal párosítva további, stratégiai felhasználó hozzáférésenek megszerzésére használjanak. Az RSA támadás esetében az idővonal rövidebb volt, de a támadóknak volt idejük a stratégiai fontosságú felhasználók azonosítására és hozzáférési adataik megszerzésére.
A támadók először begyűjtötték a kompromittált hozzáféréseket (felhasználó domain admin, szerviz hozzáférés). A célrendszereken a nem adminisztratív felhasználók jogait kiterjesztették, majd az értékes célpontokhoz igyekeztek jogosultságokat szerezni, beleértve a folyamat szakértőket, IT és nem IT specifikus szerver adminisztrátorokat.
Ha a támadó úgy gondolja, hogy észrevétlenül létezhet egy környezetben, akkor egy jó darabig „lopakodó módban” folytatja a tevékenységét. Amennyiben fennáll a veszélye a lebukásnak, akkor sokkal gyorsabban mozognak és elvégzik a harmadik egyben „legzajosabb” lépést a támadás során. Mivel az RSA folyamatában észlelte a támadást, a támadónak nem sok ideje maradt befejezni az utolsó fázisban felmerülő feladatokat.
Az APT harmadik szakaszában a cél az értékes, bizalmas információk megszerzése, kijuttatása. Az RSA esetében a támadó belső átmeneti (staging) szerverekhez épített ki kapcsolatokat a fontosabb aggregációs pontoknál. Az adatok kimentéséhez ez elengedhetetlen volt. A támadók beléptek a célrendszerekbe, az értékes adatokat áthelyezték az átmeneti gépre, ahol aggregálták, tömörítették és végül titkosították azokat a további utaztatáshoz.
A titkosított RAR állományok kimentését feltört hoszting szolgáltatókon keresztül oldották meg FTP kapcsolaton keresztül. Miután letöltötték a fájlokat, a feltört gépről törölték maguk után a támadás nyomait.
A cikk első része a következő linken található:
http://blogs.rsa.com/rivner/anatomy-of-an-attack/
