Transcript APT چيست
چرا در اين همايش شركت كرده ايم ؟
زيرساخت هاي مهم و حياتي ملي ما از موسسات خصوص ي و دولتي
متعددي در حوزه هاي مختلفي نظير :
آب ،بهداشت ،سرويس هاي اضطراري ،صنايع دفاعي كشاورزي ،
فناوري اطالعات و ارتباطات ،انرژي ،حمل و نقل ،بانكداري ،مالي ،
و ...
تشكيل شده است .
چرا در اين همايش شركت كرده ايم ؟
فضاي مجازي ،شامل صدها هزار دستگاه كامپيوتر متصل
شده به هم ،سرويس دهندگان ،روترها ،سوئيچ ها و
كابل هاي فيبر نوري است كه امكان فعاليت زيرساخت
هاي حياتي ما را فراهم مي نمايند
چرا در اين همايش شركت كرده ايم ؟
استراتژي ملي براي ايمن سازي ،
مي بايست
بخش ي از تالش جملگي
ما
جهت حفاظت ملي باشد
چرا در اين همايش شركت كرده ايم ؟
اهداف استراتژي ملي :
پيشگيري از حمالت سايبري كه متوجه زيرساخت هاي حياتي است
كاهش نقاط آسيب پذير در مقابل حمالت
حداقل خرابي و زمان ريكاوري پس از وقوع حادثه
چرا در اين همايش شركت كرده ايم ؟
امنيتتت ملتتي و اقتصتتاد متتا كتتامال” وابستتته بتته فنتتاوري اطالعتتات و زيرس تاخت
هاي اطالعاتي شده است ( و يا دارد مي شود ! )
در هسته زيرساخت اطالعاتي ،اينترنت قرار دارد كه در ابتدا با هدف
اشتراك تحقيقات بين دانشمنداني كه هيچگونه تمايلي به استفاده
نادرست از شبكه نداشتند ،ايجاد شده بود
چرا در اين همايش شركت كرده ايم ؟
پنج اولويت مهم استراتژي ملي براي ايمن سازي فضاي سايبري :
سيستم پاسخ به امنيت در فضاي سايبري
برنامه كاهش تهديدات و نقاط آسيب پذير ملي
يك برنامه آموزش ي و اطالع رساني
ايمن سازي فضاي مجازي خدمات دولتي
همكاري امنيت ملي و امنيت بين املللي
چرا در اين همايش شركت كرده ايم ؟
اف تزايش تعتتداد نقتتاط آستتيب پتتذير و يتتا حمتتالت بتته دليتتل ضتتعا در اطتتالع رستتاني و آگتتاهي
طيا گسترده اي از :
كاربران كامپيوتر
مديران شبكه
مديران سيستم
پياده كنندگان فناوري
طراحان و پياده كنندگان نرم افزار
مميزهاي امنيت اطالعات
و ...
صورت مي پذيرد.
چرا در اين همايش شركت كرده ايم ؟
با شركت در اين نوع همايش ها و يا دوره هاي آموزش ي مرتبط
يك گام مثبت در جهت پياده سازي
يك برنامه آموزش ي و اطالع رساني
و كاهش تهديدات و نقاط آسيب پذير ملي
برداشته ايم
تهديدات پيشرفته ماندگار
APT
Advanced Persistent Threat
محمد جواد سخايي
[email protected]
[email protected]
آذر ماه 1389
تهران – مركز آموزش مخابرات ايران
::سرفصل ::
مقدمه
مروري بر تهديدات ( گذشته ،حال ،آينده )
APTچيست ؟
اهداف و انگيزه ها
دامنه تخريب
چرخه حيات
عملكرد APTدر عمل
روش هاي مقابله
آيا استاكس نت يك نوع APTاست ؟
خالصه
مقدمه ::ااارك ااا سااازمان ااا س موسمااات مچناادد ل اادي سااا اسا
با:اا :ايا كا
ك باا مما ت سااي سر سارسدار داااچ س با داواي ادع ايا داو از مما ت قارار
گرفچ ا ادااد سخااي ا اسا" بااا مااوي جدياادر از مم ا ت مواج ا اااده ادااد ك ا دارار
پيچيدگي بمراتب بيشتسر نمب ب گذاچ بوده س از ت ش مماچمر س باي سقها
مهاجمان جه ديل ب ا داع آنها مكاي دارد .
ب اي دو مم ت APTگهچ مي اود .
در مم ا ت از دااو APTمهاجمااان باار رسر ياار اادع مچمركااز اااده س بااا
اسا ااچمرار فنادي ا ا ا ااود در يا اار با ااازه زما اااني ا ااو ني اقا اادا ب ا ا جم ا ا آسرر س
سرق ا عات مي دماي د .
گود ا ا ا ا مم ا ا ا ا ت مهاجم ا ا ا ااان يچنود ا ا ا ا ا ا ا ا ارارر ددارد ا ا ا ااد ك ا ا ا ا
:: در اي ا ا ا ا
مقدمه ::
دسااچاسرد ار موفقيتتت ختتود را ستتريعا" هويتتدا ستتازند بلك ا باارعكت تماياال
دارداد تااا جااايي كا امكااان دارد با اورت مخهااي عمليااات مخاار ااود را اداما
د د تا بچواد د ا عات بيشتسر را جم آسرر س سرق دماي د.
در مم ت APTا عات دع دام " اا ماي بااا د .مهاجماان با
ددبا جم آسرر س ك كاش ر لپزر ك در مم س آنها قرار مي گ سد دمي باا د
.رموز هي سرماي ار فكارر س داراياي اار اس ملماوا از اسدا ن ا اداع
آنها مي بااد
مهاجمان در ورتي ك بچواد د ب ساادگي با ا عاات خ ا ي س ياا داده
د ااارت اعچب ااارر دس ااميابي پي اادا دماي ااد ممك ا اس ا اي ا د ااو ا ع ااات را د ااز
دسااچكارر دماي ااد سخااي در ماد ا كتااي ساارق ا عاااتي اي ا ل ا ن ب ا ع ااوان
دع اسدي در دسچور دار آنها قرار ددارد .
::مقدمه ::
اسااچهاده از ياار ف اااسرر س يااا فرآي ااد ب ا تتهااايي دمااي توادااد توق ا اي ا دااو
مما ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ت را با ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ددب ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااا داا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااچ باا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااد .
با بكارگ سر رسش ار ك سير ام يتي دمي توان ادچظاار موفييا در بر اورد باا
اي دو از مم ت را داا .
تن ااداد ز ااادر از س ااازمان ااا در مياب اال اي ا گود ا مم ا ت آس اايب پ ااذير م ااي
باا د لرا ك تمامي سارماي گاذارر آنهاا در ميودا ام يا مبچ اي بار رسش اار
ك سير اس
اسچهاده از سيماچ اار تادافمي موجاود س مرساو با تتهاايي داا ي دباوده س
م ااي با م ا از رس كرد ااار جدي ااد س ب ااا ل ااا دي بيش ااتس ب ارار مها ا در مياب اال
اي گود تهديدات اسچهاده كرد .
::مقدمه ::
بكارگ سر ل دي ي تدافمي دااتن دانش ز در صو تهديدات س
كمب مهارت ار پيشرفچ جه تشخيص س ساكنش م اسب س ب موق در
ميابل اي گود مم ت امرر ضرسرر س اجچ ا داپذير اس .
لش ادداز تهديدات در ما تغي س اس
طرات فزاي ده مي باا د
س سازمان ا ز اس
فرضي ا س رس كرد ار ود را
نمب ب ام ي ا عات تغي س د د .
::مروري بر تهديدات (گذشته ،حال ،آينده) ::
ساقنيا ايا اسا كا اي تسدا در گذاااچ ار دا ل اادان دسر محيطااي باود
كا دااار ران در آن محاايي با يكااديعر بيشااتساعچماد مااي كرددااد .رفچار اار بااد س
يااا سمچنااارع دااار ران باايش از آدكا نشااادد ده ياار مملا بااااد بيااادعر دااواي
ايط بود ك ادع ازه آن داواي اعتاساه با سضا موجاود س ياا با ر كشايدن
توادم در ود بود .
ب ا ا ما ااوازات راا ااد س گما ااتسش اي تسد ا ا
ساقمي ديش بم .
با اار پيشا اااني آن تصا ااو رر از دديا ااار
اي تسد ا ب ا محتااي ب ارار دسسااچان بمااتسر م اسااب ب ارار فنادي ا ب ناااه
ااار تي ااارر تهرجن ااابي م اس ااب ب ارار گذراد اادن اسق ااات بيك ااارر س س اارگرمي
مكاني م اسب برار مضور تمامي آد ا با دي و س بد تبديل اد.
::مروري بر تهديدات (گذشته ،حال ،آينده) ::
مهاجمان ساده و بي حيله :مچ اسب با راد س گمتسش عماومي اي تسدا
رفچااار بااد از ااايط ب ا ساام قلاادرر س يااا ترساااددن ديع اران ااداي گرديااد .
ج عيو ااان ساااي سر جدياادر در عر ا اي تسدا و اادا اااددد كا از اي تسدا با
ع ا ااوان محتا ااي با ارار ارتكا ااا جا اار س فنادي ا ا ا ااار مخا اار ا ااود اسا ااچهاده ما ااي
كردد ا ااد.اي ا ا د ا ااو مهاجم ا ااان اكو ا ااس فنادي ا ا ا ااار مخ ا اار ا ااود را مح ا اادسد ب ا ا
وداان مي كرددد .
فعالي تتت تيهك تتاري و جاسوتت ت ي سيس تتتماتيك :مچ اس ااب ب ااا را ااد فناديا ا
ار تيارر بر رسر اي تسد اا د رااد جاسو ا ي سيماچماتير باودي كا در
آن ب ن رسش ار ر س ايوه ار جاسو ي ير اتحاد دااميمون ااكل گرفا
.
آيندهب)ر::ار دسد ا س اكواس فناديا
رساحال ،مياتي
امرسزه اي
:: مرو
تسد ( ير ز
گذشته ،
تهديدات
APTر :ي بر
ار تيارر را فرا كارده اسا .ما ن موضاو باعا ااده اسا كا بارار يار
گ اارسه جدي ااد از مهاجم ااان ج ااذابي بيش ااتسر ايي اااد گ ااردد .س ااازمان ااار ج ااايي س
گ اارسه ااار ترسريم ا س اااي سر س ااازمان ااار ا ا ي را م ااورد اادع ق ارار م ااي
د د.
در ورتي ك ير ممل با موفيي توا دبااد ممل ديعرر با دع ديال
ب ا ا موفييا ا ا آ ا اااز م ا ااي گ ا ااردد .ايا ا ا سض ا ااني با ا ا دفن ا ااات تكا ا ارار وا ا ااد ا ا ااد.
ما يا ماداادگارر س يااا ا ارار باار تااداس مما ت تااا دياال با موفييا باعا ااده
اس ك اي دو تهديدات طرات بمراتب بيشتسر دااچ باا د س مها در
ميابل آنها بيش از ميش مه س مياتي بااد .
مما ت ا ااس با منزدا زدااش بياادار با ا ي اسا بارار سااازمان ااا س دارا اسااان مرفا ار
ام ي ا عات تا بچواد د اي سطح جديد از تهديدات را ا اسايي دماي د .
::مروري بر تهديدات (گذشته ،حال ،آينده) ::
تهديدات :
چيست؟ ::
ادواAPT
::
تهديدات مبچ ي بر فر -تهديدات APT
ا ا ي )opportunistic threat (OT
با اي ك ممك اس دچايج ر دس دو تهدياد مشااب باااد ( دظ اس جاسو ا ي
دسا ااميابي سميا اااز س سا اارق ) سخا ااي ادع ا اازه ا ااار ش ا ا سا اار ا اار يا اار از اي ا ا دا ااو
تهديدات دام " با يكديعر مچهاست اس .
نمونه اي از يك تهديد مبتني بر فرصت طلبي
ا اسايي ضن س بهره بردارر از فر ايياد اده در ير دع
دمود بارز آن سرق 40ميليون اماره دارت اعچبارر در سا 2007توسي
خ ي ب دا “آد ست گودزادز” بود .
::
::
چيست ؟بوجود دمي آمد آنها
APTاي فر
در ورتي ك
ممك بود ب سراغ دع ديعرر برسدد
بيم سا محكومي برار آد ست گودزادز ك در
بزرگتسي سرق اماره دارت ار اعچبارر در تار خ
امر كا
ا بوددد ك زمي مم ت را فرا مي كرددد .
در تهديدات OTفر
ضن در پيكر در ضن در راحي س پياده سازر بردام ار س س ...
فر تي را ايياد مي كرد ك مهاجمان با اسم اد ب آن مي توانمم د مم ت
ود را بر علي ير سازمان س ز رسا ف اسرر ا عات سازماددبي دماي د
::
::
فچارر مچهاست مي باا د در ورتي ك ضنهي در
APTدارار
چيستر ؟
تهديداتAPT
دع ا ا چ اده آدان دبااد مهاجمان ب ددبا ا اسايي ضن ديعر در
دع ود وا د بود س اي فرآي د را تا زماني ك بچواد د ب درسن دع دهوذ
پيدا دماي د ادام
وا د داد .
مم ت APTير دو مم ت سازماددبي اده س پيچيده مي باا د ك با
دع دسميابي س سرق ا عات از دامپيوتر سازماددبي مي اودد.
مي
APTب گرسبي از كر ار ما ش مشخص س پيچيده ا ق
گردد ك ب ور سيمچماتير ابك ار ز رسا مياتي تيارر ا عاتي
س ...كشور ا را مورد ممل قرار مي د د .
APT ::چيست؟ ::
در ااي پا ج سااا گذاااچ اااا د ياار تغي ااس لشاامع س در ارتبااا بااا رس اداد ار
ام يتااي بااوده ايا .مهاجمااان بطاارز لشاامع سر دهااوذ ااود را باار رسر ا ااداع دسدتااي
دفااي تحييياتي توديدك دگان مچمركز كرده ادد .
دها ااوذ توسا ااي گرسبا ااي از كر ا ااا ك ا ا ب ا ا ا ااوبي سا ااازماددبي ما ااي اا ااودد س از
مماي ماخي وبي بر ورداردد ورت مي پذيرد.
ادع زه ا رسش ار دهوذ س سرسختي آنها بميار مچهاست اس با رس ا ي كا
كر ااا در گذاااچ بكااار مااي گرفچ ااد .آنهااا مرف ا ار بااوده س م ازان موفيي ا آنهااا
بميار با مي بااد .
APT ::چيست؟ ::
APT اار ااد ي را كا تماياال دااااچ بااا د بطااور موفييا آم ااز تحا تااار س
قرار وا د داد .
سياس ار دفااي ك سير بكاار گرفچا ااده در صاو
در رابط با آنها دارساز دمي بااد
ام يا ا عاات
كر ااا بطااور موفيي ا آم ااز از دس ا آدتااي س اارسا ااا س ابزار ااار تشااخيص
دهوذ س ساير ابزار ار موجود فرار كرده س گ س دخوا د افچاد
آنها متي مي تواد د گرسه “پاسخ ب ماواد ام يتاي” را گاو زده س با اورت
دااا اا س سقاباال تشااخيص درسن ااابك اادع باااهي بماد ااد س اادع آنهااا بار ايا
باسر بااد ك آنها را قل س قم كرده اس .
APT ::چيست؟ ::
كر ا ااار APTمچها اااست ما ااي باا ا ا د .آنها ااا رابا ااي را اييا اااد ما ااي دماي ا ااد ك ا ا
بچواد ااد اار زم ااان ك ا واس اام د مي ااددا" برگردد ااد س اق اادا ب ا س اارق ا ع ااات
مااورد دظاار ااود دماي ااد س ب ا ااورت ااس قاباال تشااخيص باااهي بماد ااد .اي ا ي اار
تهاست بميار بزرگ نمب ب گذاچ اس .
ابنااد داار ( حجا عملياات تجمامير عملياااتي مادير عمليااات ) در APT
نشادد ده مماي گمتسده دسد ا از اي دو مم ت اس .
در
دع عمده در مم ت APTدهوذ سه مشاهود س مماچمر
سازمان ار دع اس تا بچوان در ير محدسده زمااني او ني تار با ا عاات
بيشتسر دس ياف س انا تخر ب را افزا ش داد .
چيست؟د::بي سقه اس ك ديازم د ير ت ش ممچمر ب م ظور پاك كردن ابك ا
APTير فرآي
مبارزه با
APT
::
از تهديدات اس .سازمان ار دع ز اس عمليات ز ر را با سرع بيشتس توان بيشتس س موررتر
اديا د د .
صنايع وهدفانگيزه ها ::
::اهداف
پيمادكاران دسدتي
ا ز رسا
سرق مادكي فكرر
سرق ا عات بي ب در اده دسدتي
ترسريم ساي سر س قابلي ا چ
ير كشور
سرق مادكي فكرر ب م ظور اراي محصو ت رقابتي س بازار ابي با
ز ار ك تر جه سرماي گذارر س تحييق س توسن
سرق رمز س راز سازماني برار ا ذ جايناه رقابتي ود در منام ت
در اراي سرسيت ار مياتي س ز رسا تي در
مياتي
اراي د دگان ف اسرر
دار اديات با فنادي
انگيزه
اري از كشور
سرق مادكي فكرر ب م ظور اراي محصو ت رقابتي س بازار ابي با
ز ار ك تر جه سرماي گذارر س تحييق س توسن
سرق رمز س راز سازماني برار ا ذ جايناه رقابتي ود در منام ت
رع
رع
مراكز پزاكي ماسر ردورد ار ارزام د
سرق ا عات و تي ا خا
رساد ا س سرگرمي
سرق محچو ات اراي نشده ( دظ س فيل س موز ر ) برار فرسش در بازار سياه
سرسيت ار ماخي س بيم ار
ا چ در بازار ار ماخي
سرق پو
برار ا اذر
خرابييب :
دامنه تخر
در:اطالعات و يا منابع ( تروريسم سايبري )
الا )::بروز
برسز ااكا س يا رابي م اب در سازمان دع دظ س س ساي مخازن داده
ار مياتي در ير كشور دظ س سيمچ ممل س ديل
بردام ا ز رسا
سيمچ ار د سسگابي س ...
س ژگ ا ااي APTاز م ظ ا اار ترسريم ا ا س ا اااي سر س ا ااماج در ت ا ااداس مم ا ا ت ت ا ااا
رسيدن ب دميي اس .
مهاجمااان ب ا د ياال سيا ا ي س اياادلودوك كي دارار ااد ي در ذ ا
باا د س تا ديل ب موفيي آن را مچوق دمي دماي د .
ب ) سرقت اطالعات
ااود مااي
::چرخه حيات ::
چرخه حيات ::
::
شناسايي
مرحله اول :
ا اسايي دع س برر ي ديا ضن
اس .
آن اسد ن مرمل در رگود مم ت
دسميابي ب آدرا س مشخصات قر اديان از ر اق س سااي اار عماومي س
اس ااچهاده از آنه ااا ( با ا ع ااوان دمودا ا ارس ااا پي ااا ااار من ااي دار ) با ا م ظ ااور
مم ت بردام ر زر اده مبچ ي بر مه د ي اجچمااي
حيات ::
::
اوليه درون شبكه
چرخه نفوذ
مرحله دوم :
در مم ت APTممك اس از ل دي رسش برار دهوذ در ابك ير
سازمان اسچهاده گردد .مچداسدتسي س موفق تر آنها اسچهاده از مه د ي
اجچمااي از ر ق م ادكتسسديكي اس .از اي رسش با ع وان Spear
Phishingدا برده مي اود .
كر ار APTتنداد كمي از افراد ا را از ر ق ير م
ادكتسسديكي جنتي دع قرار مي د د .مث " در ورتي ك تندادر از دارك ان
ير سازمان در ير ك هرانت دارر س يا سمي ار ارك كرده باا د كر ار
APTممك اس اقدا ب ارسا ير پيا ادكتسسديكي از يكي از سخنسادان در
سمي ار برار ساير دار ران دماي د .پيا ادكتسسديكي جنتي ممك اس اامل ير
فايل ضميم س يا دي ر ب ير فايل فشرده ( ZIPفايل ) بااد.
حيات ::
::
اوليه درون شبكه
چرخه نفوذ
مرحله دوم :
فايل فشرده مي توادد اامل يكي از ل دي رسش دهوذ بااد :
ير فايل .chmاامل بدافزار
ير فايل آفيت
ساير در افزار ار سرسيت گ سدده دظ س آكرس ات ر در
مهاجمان مي داد د ك ل زماني ا عات جديد در دستسا س موجود مي
بااد .منمو " در ساعات آ ر اب س ب ن ساع 10بنداز هر تا 4بامداد
زماني م اسب برار دهوذ مي بااد .
چرخه :حيات
::
ايجاد ::يك بك دور( ) Backdoorدر شبكه
مرحله سوم
ت ش جه ب دس آسردن ا عات مماا مدير تي دام ابك س ارسا
آنها ب اري از ابك
مهاجمان در ادام ير ردپار قور از ود را در محيي ايياد مي دماي د .
اي دار از ر ق مرك ز رزمي ي در ابك س دصب ل دي بر دسر با پيكر در
ار مخچل اديا مي اود .
(
بدافزار با ميوز سطح دسميابي سيمچ س از ر ق
Process Injectionتغي س ر يمتسر س يا سرسيت ار زمادب در اده
دصب مي گردد .
ايجاد ::يك بك دور( ) Backdoorدر شبكه
مرحله سوم
چرخه :حيات
::
برخي از س ژگي ار بدافزار :
بدافزار بطور پيوسچ ود را به نا مي دمايد .
بدافزار از رسش ار رمزدنارر س كد ار ساهاع س مبه جه
ترافير ود بر رسر ابك اسچهاده مي دماي د .
بدافزار مهاجمان از تواب كچابخاد ار مايكرسساف اسچهاده مي
دماي د .
بدافزار مهاجمان از ا عات مماا س مياتي دار ران منچ س اسچهاده
مي دماي د تا عملكرد آنها ماد د ساير دار ران منچ س جلوه دمايد .
ب ارتبا ات inboundگوش دمي د د .
دست آوردن اطالعات حساس كاربران
چرخهم :به
مرحله چهار
حيات ::
::
مهاجمان ا لب ك تس ك ده دام ن را مورد ممل قرار مي د د تا از اي
ر ق بچواد د ب اداد دار ران س رمز ار عبور كد اده ( ) Hashedدسميابي
پيدا دماي د .
مهاجمان مچ ن ا عات مماا دار ران محتي را از ر ق سيمچ
ك تح ك تس مي گ سدد ب دس مي آسردد .
ائي
مزامم ن APTتير با" ب 40سيمچ بر رسر ابك دع س با اسچهاده از
ا عات مماا دار ران ك ب دس آسرده بوددد دسميابي داام د .
نصب :برنامه هاي كاربردي مختلا
پنجم :حيات :
مرحلهچرخه
::
مهاجمان بر رسر سيمچ ار دع اقدا ب دصب در افزار ار مچندد
با توادم در ار مخچلهي مي دماي د :
دصب Backdoor
Dumpرمز ار عبور
ب دس آسردن دام ار ادكتسسديكي از ر ق سرسيت د ده
ديم پردازه ار در ما اجراء
س فنادي ار بميار ديعر
حيات ::
مرحلهچرخه
::
ايش مجوزها ،حركات زيرزميني ،خارج كردن داده
ششم :افز
ت از ايياد ير ردپاي ايمن :
اري كردن داده دظ س دام ار ادكتسسديكي س ضمال فايل ار موجود بر رسر
ا مچناه ار دارر س يا فايل ار پرسكه موجود بر رسر سرسيت د دگان
داده منمو " فشرده اده س درسن ير فايل RARمها اده توسي ير رمز عبور س يا فايل
ار دابين مايكرسساف ( فايل ايي با انشنا ( . cabقرار مي گ سدد .
مهاجمان منمو " از "سرسيت د دگان موق " برار تيمي داده سرق اده اسچهاده
دماي د.
مي
فايل ار فشرده مذع
مي
ت از اري كردن داده از رسر سرسيت د دگان موق
گرددد
::چرخه حيات ،مرحله ششم :خارج كردن داده ::
هفتم :حيات
مرحلهچرخه
::
حضو::ر ماندگار
ت از موفيي در ارسا داده ب اري از ابك مهاجمان سمي مي
ك د تا ردپار بيشتسر را بر رسر سيمچ ار دع ايياد دماي د .تا در آي ده س
ب م ظور كمب ا عات بيشتس ميددا” ب آن مراجن دماي د .
مضور ماددگار يكي از س ژگي ار پيچيده تهديدات از دو APTمي بااد
.
APTدودر عمل
::
::APTتوسي بردام
عملكرد ت از
تشخيص مم
ار س رسا يا
76%
80%
70%
60%
50%
تش خيص
ع دم تش خيص
40%
24%
30%
20%
10%
0%
تش خيص ح مالت از نوع APTتوس ط برنامه هاي ويروس يا ب
عملر::افير outbandايياد مي دماي د .
APTدررفا” ت
عملكردAPT
مم ::ت از دو
83%
ساير پورت ها
پورت 08و يا 344
17%
پورت استفاده ش ده در ح مالت APTجه ت ارسال داد ه
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
دراز پور
ت 80::س 443پرستكل TCP
اسچهاده
داده با
سضني ::ارسا
عمل
APT
عملكرد
80%
71%
70%
60%
50%
مت ن معمول ي
رمزش ده
29%
40%
30%
20%
10%
0%
وضعي ت ارسال داد ه
موفييكرد؟ :
ب::رارچه بايد
ير :ممل مي با م دس مرمل عمليات با موفيي اديا
اود :
توزيع بدافزار
اجراي مخفي و بدون سرو صداي كد بدافزار
برار بر ورد با اي دو تهديدات مي با م
تحيق ر ير مرامل اااره اده را اديا داد .
اقدامات ز جه
عد
كرد؟ ::
ايجادچه
::
آوري هوشمند تهديدات
بايد جمع
قابليت
سازمان ا مي با م قابلي جم آسرر وام د تهديدات را ب م ظور ماديچور ش س فرمود كردن
پاسخ ار تاكچيكي س استساتژر ايياد دماي د.
اي گرسه مي با م اامل دارا اسان مرف ار ام ي ا عات بااد ك س يه آنها ماديچور ش
تهديدات جارر تحليل س تهم س م زان اررگذارر اي تهديدات در سازمان س اديا تغي سات مورر در ارتبا
با ك تس ار ام يتي سازمان ( تاكچير ا ) س استساتژر كتي ام يتي بااد .
مدير ديط دظرات مرتبي با تهديدات مچارر از ف اسرر ا اراي ممچمر گزاراات در صو
از جمل مهمتسي س اي اي
تهديدات باديوه موجود برار سازمان جم آسرر داده از م اب مخچل
گرسه محمو مي گردد .
مي با م با لشماني باز گو ي ا وا س دانش م اسب سضني موجود را بطور دام ” وام داد
ر د كرد .دااتن ل ل زر مي توادد زمي برسز تهديد را فرا دمايد ؟ ل ل زر در منره تهديد قرار
دارد ؟ عل آسيب پذيرر ما ليم ؟ س ...
عرضه بدافزار
ساندن
حداقل ر
كرد؟ ::
بايد
به ::چه
دحوه توزي APT
اينترنت
دادلود درايور
ضمال دام ار ادكتسسديكي
ااتساك فايل
در افزار ار موسو ب Keugen
فيشي ش
تغي س مم س DNSس رستي ش
فيزيكي
اسچهاده از USBآدوده
اسچهاده از CDس يا DVDآدوده
اسچهاده از دارت ار مافظ آدوده
اسچهاده از بردام ار آدوده
بر دسر موجود در تيه زات IT
خارجي
ر مرف ار
ديا ضن آسيب پذير
بهره بردارر از اس مشتسك
عرضه بدافزار
ساندن
حداقل ر
كرد؟ ::
بايد
به ::چه
بهبود اا ص ار ام يتي س تي مي توادد اررپذيرر مم ت APTرا دا ش د د :
دا ش ميدان عملياتي تهديدات س ديا ي ك ير مهاج مي توادد از ر ق آنها دهوذك د
محدسدي در ادمشار بدافزار در سازمان
محدسدي در دسميابي بدافزار ب م اب سازمان
بهبود كنترل هاي امنيتي سنتي :
مه د ي اجچمااي :يكي از مچداسدتسي رسش ا برار منر ي بدافزار درسن ير محيي اس .عتي
ر تمامي ك تس ار ف ي ك مي توان آنها را پياده سازر كرد مچ ان انمان ضني تر دي ر
ارتبا ي موجود اس ك مهاجمان مي تواد د بر رسر آنها سرماي گذارر دماي د ( تر يب دار ران ب
دلير بر رسر ير دي ر اسچهاده از فلش د مر ار usbس ) ...
افزا ش آگابي پرس ل ك در ميابل مم ت بيشتس مراقب باا د (از ر ق اراي دسره ار آموز ي
مورر در صو ام ي ) .
اراي دسره ار آموز ي در صو ام ي مواره يكي از ع ا ر مورر در ير بردام ام يتي و
محمو مي گردد.
عرضه بدافزار
ساندن
حداقل ر
كرد؟ ::
بايد
به ::چه
بهبود آگاهي در خصوص امنيت
انمان دارار ديش ي مهمي در دا ش ارر خش ي مم ت اس .افزا ش آگابي س ا
ممالل ام يتي مي با م بخش ي از استساتژر دفا در عمق در دظر گرفچ اود .
رساني در صو
تغي س در بردام آموز ي س تي س اراي رسش ا س رس كرد ار جديد اامل :
آموزش تهديدات جديد س ا بار رسز در صو ام ي
برر ي دمود موارد موفيي ك ير سازمان با مشارك دارك ان ود توانمچ اس مهاجمان را
دادا س يا ارر خش ي مم ت آنها را دا ش د د .
لنود مهاجمان از رساد ار اجچمااي س ساير ساي ار ارجي برار جم آسرر داده اسچهاده
مي دماي د تا ب آنها اجازه د د ا داع ا ي را مورد ممل قرار د د .
ارز ابي ارر خش ي دسره آموز ي در بازه ار زماني ا
دار ران يكي از ع ا ر ا تي در ايم سازر ز رسا ف اسرر ا عات س ارتبا ات در ير سازمان مي
مي توادد دسچاسرد ار مثبتي را ب ددبا
باا د .آموزش صحيح س مورر دار ران در صو ام ي
دااچ بااد .
عرضه بدافزار
ساندن
حداقل ر
كرد؟ ::
بايد
به ::چه
نرم افزارهاي مخرب
يكي ديعر از اقداماتي ك باع دا ش عرض بدافزار مي گردد مصو ا مي ان از اي موضو اس
ك در افزار ار بر ورد ك ده با اي دو كد ار بدافزار مواره ب رسز مي باا د ( برار تمامي دار ران
).
با اي ك مم ت از دو APTاز مزايار نقاط آسيب پذير صفر روزه اسچهاده مي دماي د ك بردام
ار آدتي س رسا قادر ب تشخيص آنها دمي باا د سخي ديط آسيب پذير هر رسزه ديرسز تبديل ب ديط
آسيب پذير ا ا چ اده فردا مي اود .
مهاجمان با اسچهاده از ضن ا س ديا آسيب پذير در بردام ا مي تواد د بدافزار ود را ب ير
محيي سارد دماي د .بر اساا تحيييات ب عمل آمده س تير ار موجود بيش از 93در د بردام
ار س مداقل دارار ير ضن اسا ي با درج تهديد با مي باا د .
توج دااچ باايد ك در مم ت APTدع ادزاما" سرق ا عات از س ساي ديم در
ميابل ت ش آنها در اي جه اس تا بچواد د كد مخر را بر رسر ساي ار مياز قرار داده س دار ران را
تر يب دماي د تا بر رسر دي ر ار مر و دلير ك د .
عرضه بدافزار
ساندن
حداقل ر
كرد؟ ::
بايد
به ::چه
كدنويس ي ايمن
مذع ديا آسيب پذيرر ك ب سادگي قابل بهره بردارر مم د دا ش سطح مم ت را ب ددبا
دااچ س اجازه مي د د ك سازمان ا بر رسر م اب ارزام د ود تمركز بيشتسر دماي د س از ود در
ميابل مم ت پيشرفچ دفا دماي د .
اقدامات ز جه مذع ديا آسيب پذير س يا مهره ار ام يتي
آموزش پياده ك دگان
اعچياد عمتي ب ام ي س ايم سازر بردام در تمامي مرامل لر پياده سازر در افزار
بكارگ سر صحيح ر ف اسرر با تحاظ كردن لادش ار ام يتي آن ب م ظور پياده سازر در
افزار
دناه صحيح س يكپارل ايم سازر در تمامي ي ار ير در افزار
اديا تم
ار ام يتي پيوسچ ( قبل از اراي نسخ نهايي س متي ت از عملياتي ادن آن )
::چه بايد كرد؟ ::
عمليات ارح داده اده در بخش قبل در صو پيشع سر از منر ي بدافزار ب درسن ير محيي
دمي توادد 100در د مورر ساق اده س اي تضم ن را ايياددمايد ك ممل ار ورت دخوا د گرف
در ورت موفيي مهاجمان س اسچيرار ير بدافزار درسن محيي مي با م توان ود را
اي دمايي ك بدافزار قابلي اجراء با ياخي رام را ددااچ بااد .
رع
پيشگيري از اجراي بدافزار :
اسچهاده از ديم سهيد بردام ا ( بردام ار قابل اجراء مياز ) بر رسر ير سرسيت د ده
پياده سازر مههو " مداقل ميوز" س مدع اداد دار ران از گرسه مديران محتي محدسدي در
دسميابي ب م اب توسي افراد داا اا
مدع س يا سفنا كردن دسچورات سضرسرر ( دظ س xp_cmdshellبر رسر سرسيت
د دگان . ) MSSQL
عد پياده سازر ير ابك فل س يا منمارر دام ن ( كرك ير اداد مدير تي مي توادد مهاجمان
را قادر سازد ب ساير سيمچ ا د ز دسميابي پيدا دماي د ).
اسچهاده از ميموع سياس
ار ام يتي اسچاددارد س دظارت ممچمر بر پياده سازر صحيح آنها
چهداده
حفاظت
بايد كرد؟ ::
::
ا س يا دار ران ير ع صر ضرسرر ب م ظور مها
ك تس دسميابي ل برار بردام
اس .
مها داده يكي از مهمتسي ممالل در ر سازمان محمو مي گردد .سقابل دفا اس اگر ادعا
ك ي ك تمامي داده را مي توان رمز دمود .
با اعما برخي سياس ا س تبني از ا و ام يتي مي توان محدسدي ايي را پياده سازر كرد تا در
ورت برسز مم ت مداقل آسيب ب ا عات س سرق آنها ورت پذيرد .
پياده سازر “ سيستم پيشگيري از دست دادن داده “ موسو ب ( DLPبرگرفچ اده از Data
) Loss Preventionمي توادد از فنادي بدافزار ا ب م ظور جم آسرر داده مماا س ارسا آنها
برار ير مهاج پيشع سر ب عمل آسرد .
مبتني بر هاست :دار ر در ل سطحي مي توادد ب داده دسميابي دااچ بااد .مصو ا مي ان
از اي موضو ك داده در مكان سمياز سجود ددارد . .متي اگر بدافزار APTود را ب ع وان
ير دار ر منچ س جا بزدد در ورتي ك آن دار ر مق دسميابي ب داده را ددااچ بااد بدافزار
دخوا د توانم اقدا ب كپي س سرق داده دمايد .
مبتني بر شبكه :ماديچور ش جر ان داده در ابك س پيشع سر از رسي داده
ير سازمان
::چه بايد كرد؟ ::
پياده سازي DLPمبتني بر شبكه
ماديچور ش جر ان داده در ابك س پيشع سر از رسي داده
در مم ت APTداده ا لب ب ورت رمز اده از ابك
لادش جدر برار رسش DLPمبچ ي بر ابك بااد
راه حل :پياده سازر سياس ار ام يتي بنود ار ك ادچيا
مغاير با سياس ار اسچاددارد ار سازمان ب ك گردد
اري مي اود س اي مي توادد ير
ر دو فايل رمز اده س يا داده
اسچهاده از ير outbound proxyس ارسا داده رسجي برار موتور DLPجه
برر ي
چرا؟
APTاس .
نتاز مم
استاكسجدر
آيا ير دمود
اسچاكت د
است؟ ::
يك تAPT
::
پيشرفته است ،خيلي هم پيشرفته است
اسچهاده از لهار ديط آسيب پذير هر رسزه س دسز
دس عدد گوا ي ام ديييچاخي منچ س سرق اده
د ا ي كد بردام ( حجي تر كرمي ك تاك ون دواچ اده اس )
اسچهاده از ير rootkitجه پتهان سازر ود
اسچهاده از قابلي ار Peer to peerبرار ك تس از راه دسر
گزازش عملكرد سيمچ ار آدوده
يك حمله هدفمند است
دع آن گمتسش در ر مكان س برار دار رر
بر ع كر ا س بدافزار ار مچداس
دمي بااد .
ادچخا دع ود بر رسر سيمچ ار ( SCADAبكارگرفچ اده در د سسگاه ار
ار مياتي ير كشور )
برق س ساير ز رسا
تغي س بردام ار دصب اده در PLCاسچهاده اده در سيمچ ار فوق
است؟ :ا:
::آيا استاكس نت يك APT
ما ي پيشرفچ اسچاكت د ب مراه دع بميار
ود را دااچ بااد .
آن باع مي اود ميابل با آن لادش ار
توزي اسچاكت د از ر ق ير USB Stickاديا اده اس .دظ س ممل ار با دا
“ “ Operation Buckshot Yankeeك سيمچ ار دطامي امر كا را در سا 2008آدوده كرد س
فرآي د پاك سازر آنها 14ماه بطو ادياميد .
دس درا مهمي ك مي توان از اسچاكت د گرف :
درس اول :دامپيوتر ار م زبان مچ ان مچداسدتسي ديط آسيب پذير در ير ز رسا مي باا د
.تمامي طو دفااي مرزر ( دظ س فايرسا ا سيمچ ار IDSس ) ...قادر ب توق اسچاكت
د دبوده ادد ) .اسچاكت د ممچييما” بر رسر دع ود داي س ممچير اده اس .
درس دوم :ف اسرر ار پيشع سر س مبچ ي بر ادنو ا قادر ب تشخيص اي ممل جديد س
داا ا چ دبوده ادد .تاك ون ده ا زار دامپيوتر آدوده ب اي كر اده ادد .آيا بر رسر اي م
دامپيوتر ير بردام س رسا يا دبوده اس ك بچوادد اي كر را ا اسايي س با آن ميابل دمايد ؟
ساده دخوا د بود ك ادنويي را برار ير بدافزار سهار ي س بميار ا ايياد كرد ك قب ” موجود
دبوده س رفا” بر رسر ابك ا س يا سيمچ ايي ا موجود اس .
::خالصه ::
سازمان ا ز اس درك بهتسر نمب ب تهديدات س پچانميل طرات دااچ باا د .
ب م ظور ا ا ساقمي طرات سازمان ا مي با م استساتژر ام يتي جارر ود را برر ي
كرده تا ك تس ا ضن ا س ديايص سرينا مشخص گردد .
با توج ب ما ي مم ت APTبكارگ سر ير ك تس س يا اقدا دمي توادد ب تتهايي مورر بااد
.
بكارگ سر ير استساتژر دفا در عمق مي توادد بهتس س موررتر بااد .
مم ت از دو APTير گرسه از مم ت در فضار ميازر مي باا د ك ا داع ود را از ب ن
ب ناه ار اقچصادر س سيا ي ادچخا مي ك د .اي دو مم ت در زمان اديا عمليات ود ب ير
سطح بميار با از مخهي دارر دياز داردد تا بچواد د موفيي ود را تضم ن دماي د .
دع مم ت APTل زر بمراتب بيشتس از كمب درآمد س يا م هن ماخي فورر اس .
سيمچ ار آدوده اده مچ ان در سرسيت وا د بود .
APT مم تي مي باا د ك بميار پيشرفچ مي باا د مضورر ماددگارر تا ديل ب ا داع از
قبل تنر اده را داردد س تهديدر جدر برار ر سازماني مي باا د ك دارار ا عات ارزام در
ار مياتي در ير كشور را مدير مي ك د.
اس س يا ز رسا
::خالصه ::
مشكل پيمادكاران ديم س ير مشكل رع دظامي ديم .
APT مشكل دسد ا ديم
APTممئل م افراد اس .رع دظر از اي ك دع بزرگ س يا دولر بااد س يا ب وبي
مها اده بااد .اي مشكل م افراد اس .
تاكيد بر رسش ك سير " پيشگيري و تشخيص " دمي توادد ير سازمان را بطور مورر در برابر اي
دو مم ت مها دمايد .آنها مي تواد د ب سادگي طو دفااي را آدوده سا چ از آنها عبور
دماي د در افزار ار آدتي س رسا س بردام تشخيص مزامم ن را دسر زد د
مي
مم ت از دو APTاز رسش ار پيچيده ار جه مخهي دنا دااتن ود اسچهاده
دماي د .مخهي دنا دااتن بدافزار بر رسر اس دع س مخهي دنا دااتن ترافير ابك
دع مم ت از دو APTدس ل ز اس :
سرق ا عات ب م ظور اسچهاده از آنها در ممالل اقچصادر سيا ي س استساتژر
ايياد ير ارتبا داي برار مراجن ميدد ب دع
اي ير ج ش فرسا ش ي ب ن ير دام با م اب ز اد اس .ج ني ك اايد پاياني ددااچ بااد .
دبايد در اي راه امماا پ سسزر را داا
::خالصه ::
اقدامات دسمپال مي توادد م ير ب برسز رابي بيشتس اود .
مي با م دانش س توان ود را بنود ار افزا ش داد ك از قابلي مهاجمان بيشتسبااد
از مرز اسچهاده رع از در افزار ار آدتي س رسا س تشخيص مزامم ن در ابك فراتر برس د
ز اس دسرن packetا
ماديچور گردد .
فايل ا دام
ار ادكتسسديكي س مافظ سيمچ
يك پزشك براي پيشگيري و درمان يك بيماري خاص
مي بايست داراي دانش بيشتري
نسبت
به
بيمار خود باشد
ب دق