Transcript APT چيست

‫چرا در اين همايش شركت كرده ايم ؟‬
‫زيرساخت هاي مهم و حياتي ملي ما از موسسات خصوص ي و دولتي‬
‫متعددي در حوزه هاي مختلفي نظير ‪:‬‬
‫آب ‪ ،‬بهداشت ‪ ،‬سرويس هاي اضطراري ‪ ،‬صنايع دفاعي كشاورزي ‪،‬‬
‫فناوري اطالعات و ارتباطات ‪ ،‬انرژي ‪ ،‬حمل و نقل ‪ ،‬بانكداري ‪ ،‬مالي ‪،‬‬
‫و ‪...‬‬
‫تشكيل شده است ‪.‬‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫فضاي مجازي ‪ ،‬شامل صدها هزار دستگاه كامپيوتر متصل‬
‫شده به هم ‪ ،‬سرويس دهندگان ‪ ،‬روترها ‪ ،‬سوئيچ ها و‬
‫كابل هاي فيبر نوري است كه امكان فعاليت زيرساخت‬
‫هاي حياتي ما را فراهم مي نمايند‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫استراتژي ملي براي ايمن سازي ‪،‬‬
‫مي بايست‬
‫بخش ي از تالش جملگي‬
‫ما‬
‫جهت حفاظت ملي باشد‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫اهداف استراتژي ملي ‪:‬‬
‫‪ ‬پيشگيري از حمالت سايبري كه متوجه زيرساخت هاي حياتي است‬
‫‪‬كاهش نقاط آسيب پذير در مقابل حمالت‬
‫‪‬حداقل خرابي و زمان ريكاوري پس از وقوع حادثه‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫امنيتتت ملتتي و اقتصتتاد متتا كتتامال” وابستتته بتته فنتتاوري اطالعتتات و زيرس تاخت‬
‫هاي اطالعاتي شده است ( و يا دارد مي شود ! )‬
‫در هسته زيرساخت اطالعاتي ‪ ،‬اينترنت قرار دارد كه در ابتدا با هدف‬
‫اشتراك تحقيقات بين دانشمنداني كه هيچگونه تمايلي به استفاده‬
‫نادرست از شبكه نداشتند ‪ ،‬ايجاد شده بود‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫پنج اولويت مهم استراتژي ملي براي ايمن سازي فضاي سايبري ‪:‬‬
‫‪ ‬سيستم پاسخ به امنيت در فضاي سايبري‬
‫‪ ‬برنامه كاهش تهديدات و نقاط آسيب پذير ملي‬
‫‪‬يك برنامه آموزش ي و اطالع رساني‬
‫‪‬ايمن سازي فضاي مجازي خدمات دولتي‬
‫‪‬همكاري امنيت ملي و امنيت بين املللي‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫اف تزايش تعتتداد نقتتاط آستتيب پتتذير و يتتا حمتتالت بتته دليتتل ضتتعا در اطتتالع رستتاني و آگتتاهي‬
‫طيا گسترده اي از ‪:‬‬
‫‪‬كاربران كامپيوتر‬
‫‪‬مديران شبكه‬
‫‪‬مديران سيستم‬
‫‪‬پياده كنندگان فناوري‬
‫‪‬طراحان و پياده كنندگان نرم افزار‬
‫‪‬مميزهاي امنيت اطالعات‬
‫‪ ‬و ‪...‬‬
‫صورت مي پذيرد‪.‬‬
‫چرا در اين همايش شركت كرده ايم ؟‬
‫با شركت در اين نوع همايش ها و يا دوره هاي آموزش ي مرتبط‬
‫يك گام مثبت در جهت پياده سازي‬
‫يك برنامه آموزش ي و اطالع رساني‬
‫و كاهش تهديدات و نقاط آسيب پذير ملي‬
‫برداشته ايم‬
‫تهديدات پيشرفته ماندگار‬
‫‪APT‬‬
‫‪Advanced Persistent Threat‬‬
‫محمد جواد سخايي‬
‫‪[email protected]‬‬
‫‪[email protected]‬‬
‫آذر ماه ‪1389‬‬
‫تهران – مركز آموزش مخابرات ايران‬
‫‪ ::‬سرفصل ‪::‬‬
‫مقدمه‬
‫مروري بر تهديدات ( گذشته ‪ ،‬حال ‪ ،‬آينده )‬
‫‪ APT‬چيست ؟‬
‫اهداف و انگيزه ها‬
‫دامنه تخريب‬
‫چرخه حيات‬
‫عملكرد ‪ APT‬در عمل‬
‫روش هاي مقابله‬
‫آيا استاكس نت يك نوع ‪ APT‬است ؟‬
‫خالصه‬
‫مقدمه ‪::‬ااارك ااا سااازمان ااا س موسمااات مچناادد ل اادي سااا اسا‬
‫‪ ‬با‪:‬اا‪ :‬ايا كا‬
‫ك باا مما ت سااي سر سارسدار داااچ س با داواي ادع ايا داو از مما ت قارار‬
‫گرفچ ا ادااد سخااي ا اسا" بااا مااوي جدياادر از مم ا ت مواج ا اااده ادااد ك ا دارار‬
‫پيچيدگي بمراتب بيشتسر نمب ب گذاچ بوده س از ت ش مماچمر س باي سقها‬
‫مهاجمان جه ديل ب ا داع آنها مكاي دارد ‪.‬‬
‫‪ ‬ب اي دو مم ت ‪ APT‬گهچ مي اود ‪.‬‬
‫‪ ‬در مم ا ت از دااو ‪ APT‬مهاجمااان باار رسر ياار اادع مچمركااز اااده س بااا‬
‫اسا ااچمرار فنادي ا ا ا ااود در يا اار با ااازه زما اااني ا ااو ني اقا اادا ب ا ا جم ا ا آسرر س‬
‫سرق ا عات مي دماي د ‪.‬‬
‫گود ا ا ا ا مم ا ا ا ا ت مهاجم ا ا ا ااان يچنود ا ا ا ا ا ا ا ا ارارر ددارد ا ا ا ااد ك ا ا ا ا‬
‫‪:: ‬در اي ا ا ا ا‬
‫مقدمه ‪::‬‬
‫دسااچاسرد ار موفقيتتت ختتود را ستتريعا" هويتتدا ستتازند بلك ا باارعكت تماياال‬
‫دارداد تااا جااايي كا امكااان دارد با اورت مخهااي عمليااات مخاار ااود را اداما‬
‫د د تا بچواد د ا عات بيشتسر را جم آسرر س سرق دماي د‪.‬‬
‫‪ ‬در مم ت ‪ APT‬ا عات دع دام " اا ماي بااا د ‪ .‬مهاجماان با‬
‫ددبا جم آسرر س ك كاش ر لپزر ك در مم س آنها قرار مي گ سد دمي باا د‬
‫‪ .‬رموز هي سرماي ار فكارر س داراياي اار اس ملماوا از اسدا ن ا اداع‬
‫آنها مي بااد‬
‫‪ ‬مهاجمان در ورتي ك بچواد د ب ساادگي با ا عاات خ ا ي س ياا داده‬
‫د ااارت اعچب ااارر دس ااميابي پي اادا دماي ااد ممك ا اس ا اي ا د ااو ا ع ااات را د ااز‬
‫دسااچكارر دماي ااد سخااي در ماد ا كتااي ساارق ا عاااتي اي ا ل ا ن ب ا ع ااوان‬
‫دع اسدي در دسچور دار آنها قرار ددارد ‪.‬‬
‫‪ ::‬مقدمه ‪::‬‬
‫‪ ‬اسااچهاده از ياار ف اااسرر س يااا فرآي ااد ب ا تتهااايي دمااي توادااد توق ا اي ا دااو‬
‫مما ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ت را با ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ددب ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااا داا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااچ باا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ا ااد ‪.‬‬
‫با بكارگ سر رسش ار ك سير ام يتي دمي توان ادچظاار موفييا در بر اورد باا‬
‫اي دو از مم ت را داا ‪.‬‬
‫‪ ‬تن ااداد ز ااادر از س ااازمان ااا در مياب اال اي ا گود ا مم ا ت آس اايب پ ااذير م ااي‬
‫باا د لرا ك تمامي سارماي گاذارر آنهاا در ميودا ام يا مبچ اي بار رسش اار‬
‫ك سير اس‬
‫‪ ‬اسچهاده از سيماچ اار تادافمي موجاود س مرساو با تتهاايي داا ي دباوده س‬
‫م ااي با م ا از رس كرد ااار جدي ااد س ب ااا ل ااا دي بيش ااتس ب ارار مها ا در مياب اال‬
‫اي گود تهديدات اسچهاده كرد ‪.‬‬
‫‪ ::‬مقدمه ‪::‬‬
‫‪ ‬بكارگ سر ل دي ي تدافمي دااتن دانش ز در صو تهديدات س‬
‫كمب مهارت ار پيشرفچ جه تشخيص س ساكنش م اسب س ب موق در‬
‫ميابل اي گود مم ت امرر ضرسرر س اجچ ا داپذير اس ‪.‬‬
‫لش ادداز تهديدات در ما تغي س اس‬
‫طرات فزاي ده مي باا د‬
‫س سازمان ا ز اس‬
‫فرضي ا س رس كرد ار ود را‬
‫نمب ب ام ي ا عات تغي س د د ‪.‬‬
‫‪ ::‬مروري بر تهديدات (گذشته ‪ ،‬حال ‪ ،‬آينده) ‪::‬‬
‫‪ ‬ساقنيا ايا اسا كا اي تسدا در گذاااچ ار دا ل اادان دسر محيطااي باود‬
‫كا دااار ران در آن محاايي با يكااديعر بيشااتساعچماد مااي كرددااد ‪ .‬رفچار اار بااد س‬
‫يااا سمچنااارع دااار ران باايش از آدكا نشااادد ده ياار مملا بااااد بيااادعر دااواي‬
‫ايط بود ك ادع ازه آن داواي اعتاساه با سضا موجاود س ياا با ر كشايدن‬
‫توادم در ود بود ‪.‬‬
‫‪ ‬ب ا ا ما ااوازات راا ااد س گما ااتسش اي تسد ا ا‬
‫ساقمي ديش بم ‪.‬‬
‫با اار پيشا اااني آن تصا ااو رر از دديا ااار‬
‫‪ ‬اي تسد ا ب ا محتااي ب ارار دسسااچان بمااتسر م اسااب ب ارار فنادي ا ب ناااه‬
‫ااار تي ااارر تهرجن ااابي م اس ااب ب ارار گذراد اادن اسق ااات بيك ااارر س س اارگرمي‬
‫مكاني م اسب برار مضور تمامي آد ا با دي و س بد تبديل اد‪.‬‬
‫‪ ::‬مروري بر تهديدات (گذشته ‪ ،‬حال ‪ ،‬آينده) ‪::‬‬
‫‪ ‬مهاجمان ساده و بي حيله ‪ :‬مچ اسب با راد س گمتسش عماومي اي تسدا‬
‫رفچااار بااد از ااايط ب ا ساام قلاادرر س يااا ترساااددن ديع اران ااداي گرديااد ‪.‬‬
‫ج عيو ااان ساااي سر جدياادر در عر ا اي تسدا و اادا اااددد كا از اي تسدا با‬
‫ع ا ااوان محتا ااي با ارار ارتكا ااا جا اار س فنادي ا ا ا ااار مخا اار ا ااود اسا ااچهاده ما ااي‬
‫كردد ا ااد‪.‬اي ا ا د ا ااو مهاجم ا ااان اكو ا ااس فنادي ا ا ا ااار مخ ا اار ا ااود را مح ا اادسد ب ا ا‬
‫وداان مي كرددد ‪.‬‬
‫‪ ‬فعالي تتت تيهك تتاري و جاسوتت ت ي سيس تتتماتيك ‪ :‬مچ اس ااب ب ااا را ااد فناديا ا‬
‫ار تيارر بر رسر اي تسد اا د رااد جاسو ا ي سيماچماتير باودي كا در‬
‫آن ب ن رسش ار ر س ايوه ار جاسو ي ير اتحاد دااميمون ااكل گرفا‬
‫‪.‬‬
‫آيندهب)ر‪::‬ار دسد ا س اكواس فناديا‬
‫رساحال ‪،‬مياتي‬
‫امرسزه اي‬
‫‪ :: ‬مرو‬
‫تسد ( ير ز‬
‫گذشته ‪،‬‬
‫تهديدات‬
‫‪APT‬ر ‪:‬ي بر‬
‫ار تيارر را فرا كارده اسا ‪ .‬ما ن موضاو باعا ااده اسا كا بارار يار‬
‫گ اارسه جدي ااد از مهاجم ااان ج ااذابي بيش ااتسر ايي اااد گ ااردد‪ .‬س ااازمان ااار ج ااايي س‬
‫گ اارسه ااار ترسريم ا س اااي سر س ااازمان ااار ا ا ي را م ااورد اادع ق ارار م ااي‬
‫د د‪.‬‬
‫‪ ‬در ورتي ك ير ممل با موفيي توا دبااد ممل ديعرر با دع ديال‬
‫ب ا ا موفييا ا ا آ ا اااز م ا ااي گ ا ااردد ‪ .‬ايا ا ا سض ا ااني با ا ا دفن ا ااات تكا ا ارار وا ا ااد ا ا ااد‪.‬‬
‫ما يا ماداادگارر س يااا ا ارار باار تااداس مما ت تااا دياال با موفييا باعا ااده‬
‫اس ك اي دو تهديدات طرات بمراتب بيشتسر دااچ باا د س مها در‬
‫ميابل آنها بيش از ميش مه س مياتي بااد ‪.‬‬
‫‪ ‬مما ت ا ااس با منزدا زدااش بياادار با ا ي اسا بارار سااازمان ااا س دارا اسااان مرفا ار‬
‫ام ي ا عات تا بچواد د اي سطح جديد از تهديدات را ا اسايي دماي د ‪.‬‬
‫‪ ::‬مروري بر تهديدات (گذشته ‪ ،‬حال ‪ ،‬آينده) ‪::‬‬
‫تهديدات ‪:‬‬
‫چيست؟ ‪::‬‬
‫ادوا‪APT‬‬
‫‪:: ‬‬
‫ تهديدات مبچ ي بر فر‬‫‪ -‬تهديدات ‪APT‬‬
‫ا ا ي )‪opportunistic threat (OT‬‬
‫‪ ‬با اي ك ممك اس دچايج ر دس دو تهدياد مشااب باااد ( دظ اس جاسو ا ي‬
‫دسا ااميابي سميا اااز س سا اارق ) سخا ااي ادع ا اازه ا ااار ش ا ا سا اار ا اار يا اار از اي ا ا دا ااو‬
‫تهديدات دام " با يكديعر مچهاست اس ‪.‬‬
‫نمونه اي از يك تهديد مبتني بر فرصت طلبي‬
‫ا اسايي ضن س بهره بردارر از فر ايياد اده در ير دع‬
‫دمود بارز آن سرق ‪ 40‬ميليون اماره دارت اعچبارر در سا ‪ 2007‬توسي‬
‫خ ي ب دا “آد ست گودزادز” بود ‪.‬‬
‫‪::‬‬
‫‪::‬‬
‫چيست ؟بوجود دمي آمد آنها‬
‫‪APT‬اي فر‬
‫در ورتي ك‬
‫ممك بود ب سراغ دع ديعرر برسدد‬
‫بيم سا محكومي برار آد ست گودزادز ك در‬
‫بزرگتسي سرق اماره دارت ار اعچبارر در تار خ‬
‫امر كا‬
‫ا بوددد ك زمي مم ت را فرا مي كرددد ‪.‬‬
‫در تهديدات ‪ OT‬فر‬
‫ضن در پيكر در ضن در راحي س پياده سازر بردام ار س س ‪...‬‬
‫فر تي را ايياد مي كرد ك مهاجمان با اسم اد ب آن مي توانمم د مم ت‬
‫ود را بر علي ير سازمان س ز رسا ف اسرر ا عات سازماددبي دماي د‬
‫‪::‬‬
‫‪::‬‬
‫فچارر مچهاست مي باا د در ورتي ك ضنهي در‬
‫‪ APT‬دارار‬
‫چيستر ؟‬
‫تهديدات‪APT‬‬
‫دع ا ا چ اده آدان دبااد مهاجمان ب ددبا ا اسايي ضن ديعر در‬
‫دع ود وا د بود س اي فرآي د را تا زماني ك بچواد د ب درسن دع دهوذ‬
‫پيدا دماي د ادام‬
‫وا د داد ‪.‬‬
‫مم ت ‪ APT‬ير دو مم ت سازماددبي اده س پيچيده مي باا د ك با‬
‫دع دسميابي س سرق ا عات از دامپيوتر سازماددبي مي اودد‪.‬‬
‫مي‬
‫‪ APT‬ب گرسبي از كر ار ما ش مشخص س پيچيده ا ق‬
‫گردد ك ب ور سيمچماتير ابك ار ز رسا مياتي تيارر ا عاتي‬
‫س ‪ ...‬كشور ا را مورد ممل قرار مي د د ‪.‬‬
‫‪ APT ::‬چيست؟ ‪::‬‬
‫‪‬در ااي پا ج سااا گذاااچ اااا د ياار تغي ااس لشاامع س در ارتبااا بااا رس اداد ار‬
‫ام يتااي بااوده ايا ‪ .‬مهاجمااان بطاارز لشاامع سر دهااوذ ااود را باار رسر ا ااداع دسدتااي‬
‫دفااي تحييياتي توديدك دگان مچمركز كرده ادد ‪.‬‬
‫‪ ‬دها ااوذ توسا ااي گرسبا ااي از كر ا ااا ك ا ا ب ا ا ا ااوبي سا ااازماددبي ما ااي اا ااودد س از‬
‫مماي ماخي وبي بر ورداردد ورت مي پذيرد‪.‬‬
‫‪‬ادع زه ا رسش ار دهوذ س سرسختي آنها بميار مچهاست اس با رس ا ي كا‬
‫كر ااا در گذاااچ بكااار مااي گرفچ ااد ‪ .‬آنهااا مرف ا ار بااوده س م ازان موفيي ا آنهااا‬
‫بميار با مي بااد ‪.‬‬
‫‪ APT ::‬چيست؟ ‪::‬‬
‫‪ APT ‬اار ااد ي را كا تماياال دااااچ بااا د بطااور موفييا آم ااز تحا تااار س‬
‫قرار وا د داد ‪.‬‬
‫‪ ‬سياس ار دفااي ك سير بكاار گرفچا ااده در صاو‬
‫در رابط با آنها دارساز دمي بااد‬
‫ام يا ا عاات‬
‫‪ ‬كر ااا بطااور موفيي ا آم ااز از دس ا آدتااي س اارسا ااا س ابزار ااار تشااخيص‬
‫دهوذ س ساير ابزار ار موجود فرار كرده س گ س دخوا د افچاد‬
‫‪ ‬آنها متي مي تواد د گرسه “پاسخ ب ماواد ام يتاي” را گاو زده س با اورت‬
‫دااا اا س سقاباال تشااخيص درسن ااابك اادع باااهي بماد ااد س اادع آنهااا بار ايا‬
‫باسر بااد ك آنها را قل س قم كرده اس ‪.‬‬
‫‪ APT ::‬چيست؟ ‪::‬‬
‫‪ ‬كر ا ااار ‪ APT‬مچها اااست ما ااي باا ا ا د ‪ .‬آنها ااا رابا ااي را اييا اااد ما ااي دماي ا ااد ك ا ا‬
‫بچواد ااد اار زم ااان ك ا واس اام د مي ااددا" برگردد ااد س اق اادا ب ا س اارق ا ع ااات‬
‫مااورد دظاار ااود دماي ااد س ب ا ااورت ااس قاباال تشااخيص باااهي بماد ااد ‪ .‬اي ا ي اار‬
‫تهاست بميار بزرگ نمب ب گذاچ اس ‪.‬‬
‫‪‬ابنااد داار ( حجا عملياات تجمامير عملياااتي مادير عمليااات ) در ‪APT‬‬
‫نشادد ده مماي گمتسده دسد ا از اي دو مم ت اس ‪.‬‬
‫در‬
‫‪ ‬دع عمده در مم ت ‪ APT‬دهوذ سه مشاهود س مماچمر‬
‫سازمان ار دع اس تا بچوان در ير محدسده زمااني او ني تار با ا عاات‬
‫بيشتسر دس ياف س انا تخر ب را افزا ش داد ‪.‬‬
‫چيست؟د‪::‬بي سقه اس ك ديازم د ير ت ش ممچمر ب م ظور پاك كردن ابك ا‬
‫‪ APT‬ير فرآي‬
‫مبارزه با‬
‫‪APT‬‬
‫‪:: ‬‬
‫از تهديدات اس ‪ .‬سازمان ار دع ز اس عمليات ز ر را با سرع بيشتس توان بيشتس س موررتر‬
‫اديا د د ‪.‬‬
‫صنايع وهدفانگيزه ها ‪::‬‬
‫‪ ::‬اهداف‬
‫پيمادكاران دسدتي‬
‫ا ز رسا‬
‫‪‬سرق مادكي فكرر‬
‫‪‬سرق ا عات بي ب در اده دسدتي‬
‫‪‬ترسريم ساي سر س قابلي ا چ‬
‫ير كشور‬
‫‪‬سرق مادكي فكرر ب م ظور اراي محصو ت رقابتي س بازار ابي با‬
‫ز ار ك تر جه سرماي گذارر س تحييق س توسن‬
‫‪‬سرق رمز س راز سازماني برار ا ذ جايناه رقابتي ود در منام ت‬
‫در اراي سرسيت ار مياتي س ز رسا تي در‬
‫مياتي‬
‫اراي د دگان ف اسرر‬
‫دار اديات با فنادي‬
‫انگيزه‬
‫اري از كشور‬
‫‪‬سرق مادكي فكرر ب م ظور اراي محصو ت رقابتي س بازار ابي با‬
‫ز ار ك تر جه سرماي گذارر س تحييق س توسن‬
‫‪‬سرق رمز س راز سازماني برار ا ذ جايناه رقابتي ود در منام ت‬
‫رع‬
‫رع‬
‫مراكز پزاكي ماسر ردورد ار ارزام د‬
‫‪‬سرق ا عات و تي ا خا‬
‫رساد ا س سرگرمي‬
‫‪‬سرق محچو ات اراي نشده ( دظ س فيل س موز ر ) برار فرسش در بازار سياه‬
‫سرسيت ار ماخي س بيم ار‬
‫‪‬ا چ در بازار ار ماخي‬
‫‪‬سرق پو‬
‫برار ا اذر‬
‫خرابييب ‪:‬‬
‫دامنه تخر‬
‫در‪:‬اطالعات و يا منابع ( تروريسم سايبري )‬
‫الا‪ )::‬بروز‬
‫‪‬برسز ااكا س يا رابي م اب در سازمان دع دظ س س ساي مخازن داده‬
‫ار مياتي در ير كشور دظ س سيمچ ممل س ديل‬
‫بردام ا ز رسا‬
‫سيمچ ار د سسگابي س ‪...‬‬
‫‪‬س ژگ ا ااي ‪ APT‬از م ظ ا اار ترسريم ا ا س ا اااي سر س ا ااماج در ت ا ااداس مم ا ا ت ت ا ااا‬
‫رسيدن ب دميي اس ‪.‬‬
‫‪ ‬مهاجمااان ب ا د ياال سيا ا ي س اياادلودوك كي دارار ااد ي در ذ ا‬
‫باا د س تا ديل ب موفيي آن را مچوق دمي دماي د ‪.‬‬
‫ب ) سرقت اطالعات‬
‫ااود مااي‬
‫‪ ::‬چرخه حيات ‪::‬‬
‫چرخه حيات ‪::‬‬
‫‪::‬‬
‫شناسايي‬
‫مرحله اول ‪:‬‬
‫‪‬ا اسايي دع س برر ي ديا ضن‬
‫اس ‪.‬‬
‫آن اسد ن مرمل در رگود مم ت‬
‫‪ ‬دسميابي ب آدرا س مشخصات قر اديان از ر اق س سااي اار عماومي س‬
‫اس ااچهاده از آنه ااا ( با ا ع ااوان دمودا ا ارس ااا پي ااا ااار من ااي دار ) با ا م ظ ااور‬
‫مم ت بردام ر زر اده مبچ ي بر مه د ي اجچمااي‬
‫حيات ‪::‬‬
‫‪::‬‬
‫اوليه درون شبكه‬
‫چرخه نفوذ‬
‫مرحله دوم ‪:‬‬
‫‪ ‬در مم ت ‪ APT‬ممك اس از ل دي رسش برار دهوذ در ابك ير‬
‫سازمان اسچهاده گردد ‪ .‬مچداسدتسي س موفق تر آنها اسچهاده از مه د ي‬
‫اجچمااي از ر ق م ادكتسسديكي اس ‪ .‬از اي رسش با ع وان ‪Spear‬‬
‫‪ Phishing‬دا برده مي اود ‪.‬‬
‫‪ ‬كر ار ‪ APT‬تنداد كمي از افراد ا را از ر ق ير م‬
‫ادكتسسديكي جنتي دع قرار مي د د ‪ .‬مث " در ورتي ك تندادر از دارك ان‬
‫ير سازمان در ير ك هرانت دارر س يا سمي ار ارك كرده باا د كر ار‬
‫‪ APT‬ممك اس اقدا ب ارسا ير پيا ادكتسسديكي از يكي از سخنسادان در‬
‫سمي ار برار ساير دار ران دماي د ‪ .‬پيا ادكتسسديكي جنتي ممك اس اامل ير‬
‫فايل ضميم س يا دي ر ب ير فايل فشرده ( ‪ ZIP‬فايل ) بااد‪.‬‬
‫حيات ‪::‬‬
‫‪::‬‬
‫اوليه درون شبكه‬
‫چرخه نفوذ‬
‫مرحله دوم ‪:‬‬
‫‪ ‬فايل فشرده مي توادد اامل يكي از ل دي رسش دهوذ بااد ‪:‬‬
‫‪ ‬ير فايل ‪ .chm‬اامل بدافزار‬
‫‪ ‬ير فايل آفيت‬
‫‪ ‬ساير در افزار ار سرسيت گ سدده دظ س آكرس ات ر در‬
‫‪ ‬مهاجمان مي داد د ك ل زماني ا عات جديد در دستسا س موجود مي‬
‫بااد ‪ .‬منمو " در ساعات آ ر اب س ب ن ساع ‪ 10‬بنداز هر تا ‪ 4‬بامداد‬
‫زماني م اسب برار دهوذ مي بااد ‪.‬‬
‫چرخه ‪:‬حيات‬
‫‪::‬‬
‫ايجاد ‪::‬يك بك دور(‪ ) Backdoor‬در شبكه‬
‫مرحله سوم‬
‫‪ ‬ت ش جه ب دس آسردن ا عات مماا مدير تي دام ابك س ارسا‬
‫آنها ب اري از ابك‬
‫‪ ‬مهاجمان در ادام ير ردپار قور از ود را در محيي ايياد مي دماي د ‪.‬‬
‫اي دار از ر ق مرك ز رزمي ي در ابك س دصب ل دي بر دسر با پيكر در‬
‫ار مخچل اديا مي اود ‪.‬‬
‫(‬
‫‪ ‬بدافزار با ميوز سطح دسميابي سيمچ س از ر ق‬
‫‪ Process Injection‬تغي س ر يمتسر س يا سرسيت ار زمادب در اده‬
‫دصب مي گردد ‪.‬‬
‫ايجاد ‪::‬يك بك دور(‪ ) Backdoor‬در شبكه‬
‫مرحله سوم‬
‫چرخه ‪:‬حيات‬
‫‪::‬‬
‫برخي از س ژگي ار بدافزار ‪:‬‬
‫‪ ‬بدافزار بطور پيوسچ ود را به نا مي دمايد ‪.‬‬
‫‪ ‬بدافزار از رسش ار رمزدنارر س كد ار ساهاع س مبه جه‬
‫ترافير ود بر رسر ابك اسچهاده مي دماي د ‪.‬‬
‫‪ ‬بدافزار مهاجمان از تواب كچابخاد ار مايكرسساف اسچهاده مي‬
‫دماي د ‪.‬‬
‫‪‬بدافزار مهاجمان از ا عات مماا س مياتي دار ران منچ س اسچهاده‬
‫مي دماي د تا عملكرد آنها ماد د ساير دار ران منچ س جلوه دمايد ‪.‬‬
‫‪‬ب ارتبا ات ‪ inbound‬گوش دمي د د ‪.‬‬
‫دست آوردن اطالعات حساس كاربران‬
‫چرخهم ‪ :‬به‬
‫مرحله چهار‬
‫حيات ‪::‬‬
‫‪::‬‬
‫‪ ‬مهاجمان ا لب ك تس ك ده دام ن را مورد ممل قرار مي د د تا از اي‬
‫ر ق بچواد د ب اداد دار ران س رمز ار عبور كد اده (‪ ) Hashed‬دسميابي‬
‫پيدا دماي د ‪.‬‬
‫‪ ‬مهاجمان مچ ن ا عات مماا دار ران محتي را از ر ق سيمچ‬
‫ك تح ك تس مي گ سدد ب دس مي آسردد ‪.‬‬
‫ائي‬
‫‪ ‬مزامم ن ‪ APT‬تير با" ب ‪ 40‬سيمچ بر رسر ابك دع س با اسچهاده از‬
‫ا عات مماا دار ران ك ب دس آسرده بوددد دسميابي داام د ‪.‬‬
‫نصب‪ :‬برنامه هاي كاربردي مختلا‬
‫پنجم ‪:‬حيات ‪:‬‬
‫مرحلهچرخه‬
‫‪::‬‬
‫‪ ‬مهاجمان بر رسر سيمچ ار دع اقدا ب دصب در افزار ار مچندد‬
‫با توادم در ار مخچلهي مي دماي د ‪:‬‬
‫‪‬دصب ‪Backdoor‬‬
‫‪ Dump‬رمز ار عبور‬
‫‪‬ب دس آسردن دام ار ادكتسسديكي از ر ق سرسيت د ده‬
‫‪‬ديم پردازه ار در ما اجراء‬
‫‪‬س فنادي ار بميار ديعر‬
‫حيات ‪::‬‬
‫مرحلهچرخه‬
‫‪::‬‬
‫ايش مجوزها ‪ ،‬حركات زيرزميني ‪ ،‬خارج كردن داده‬
‫ششم ‪ :‬افز‬
‫‪ ‬ت از ايياد ير ردپاي ايمن ‪:‬‬
‫‪ ‬اري كردن داده دظ س دام ار ادكتسسديكي س ضمال فايل ار موجود بر رسر‬
‫ا مچناه ار دارر س يا فايل ار پرسكه موجود بر رسر سرسيت د دگان‬
‫‪‬داده منمو " فشرده اده س درسن ير فايل ‪ RAR‬مها اده توسي ير رمز عبور س يا فايل‬
‫ار دابين مايكرسساف ( فايل ايي با انشنا ‪ ( . cab‬قرار مي گ سدد ‪.‬‬
‫‪‬مهاجمان منمو " از "سرسيت د دگان موق " برار تيمي داده سرق اده اسچهاده‬
‫دماي د‪.‬‬
‫مي‬
‫فايل ار فشرده مذع‬
‫مي‬
‫‪ ‬ت از اري كردن داده از رسر سرسيت د دگان موق‬
‫گرددد‬
‫‪ ::‬چرخه حيات ‪ ،‬مرحله ششم‪ :‬خارج كردن داده ‪::‬‬
‫هفتم ‪:‬حيات‬
‫مرحلهچرخه‬
‫‪::‬‬
‫حضو‪::‬ر ماندگار‬
‫‪ ‬ت از موفيي در ارسا داده ب اري از ابك مهاجمان سمي مي‬
‫ك د تا ردپار بيشتسر را بر رسر سيمچ ار دع ايياد دماي د ‪ .‬تا در آي ده س‬
‫ب م ظور كمب ا عات بيشتس ميددا” ب آن مراجن دماي د ‪.‬‬
‫‪ ‬مضور ماددگار يكي از س ژگي ار پيچيده تهديدات از دو ‪ APT‬مي بااد‬
‫‪.‬‬
‫‪APT‬دودر عمل‬
‫‪::‬‬
‫‪::APT‬توسي بردام‬
‫عملكرد ت از‬
‫تشخيص مم‬
‫ار س رسا يا‬
‫‪76%‬‬
‫‪80%‬‬
‫‪70%‬‬
‫‪60%‬‬
‫‪50%‬‬
‫تش خيص‬
‫ع دم تش خيص‬
‫‪40%‬‬
‫‪24%‬‬
‫‪30%‬‬
‫‪20%‬‬
‫‪10%‬‬
‫‪0%‬‬
‫تش خيص ح مالت از نوع ‪ APT‬توس ط برنامه هاي ويروس يا ب‬
‫عملر‪::‬افير ‪ outband‬ايياد مي دماي د ‪.‬‬
‫‪ APT‬دررفا” ت‬
‫عملكرد‪APT‬‬
‫مم ‪::‬ت از دو‬
‫‪83%‬‬
‫ساير پورت ها‬
‫پورت ‪ 08‬و يا ‪344‬‬
‫‪17%‬‬
‫پورت استفاده ش ده در ح مالت ‪ APT‬جه ت ارسال داد ه‬
‫‪90%‬‬
‫‪80%‬‬
‫‪70%‬‬
‫‪60%‬‬
‫‪50%‬‬
‫‪40%‬‬
‫‪30%‬‬
‫‪20%‬‬
‫‪10%‬‬
‫‪0%‬‬
‫دراز پور‬
‫ت ‪ 80::‬س ‪ 443‬پرستكل ‪TCP‬‬
‫اسچهاده‬
‫داده با‬
‫سضني‪ ::‬ارسا‬
‫عمل‬
‫‪APT‬‬
‫عملكرد‬
‫‪80%‬‬
‫‪71%‬‬
‫‪70%‬‬
‫‪60%‬‬
‫‪50%‬‬
‫مت ن معمول ي‬
‫رمزش ده‬
‫‪29%‬‬
‫‪40%‬‬
‫‪30%‬‬
‫‪20%‬‬
‫‪10%‬‬
‫‪0%‬‬
‫وضعي ت ارسال داد ه‬
‫موفييكرد؟ ‪:‬‬
‫‪‬ب‪::‬رارچه بايد‬
‫ير‪ :‬ممل مي با م دس مرمل عمليات با موفيي اديا‬
‫اود ‪:‬‬
‫‪‬توزيع بدافزار‬
‫‪‬اجراي مخفي و بدون سرو صداي كد بدافزار‬
‫‪ ‬برار بر ورد با اي دو تهديدات مي با م‬
‫تحيق ر ير مرامل اااره اده را اديا داد ‪.‬‬
‫اقدامات ز جه‬
‫عد‬
‫كرد؟ ‪::‬‬
‫ايجادچه‬
‫‪::‬‬
‫آوري هوشمند تهديدات‬
‫بايد جمع‬
‫قابليت‬
‫‪ ‬سازمان ا مي با م قابلي جم آسرر وام د تهديدات را ب م ظور ماديچور ش س فرمود كردن‬
‫پاسخ ار تاكچيكي س استساتژر ايياد دماي د‪.‬‬
‫‪ ‬اي گرسه مي با م اامل دارا اسان مرف ار ام ي ا عات بااد ك س يه آنها ماديچور ش‬
‫تهديدات جارر تحليل س تهم س م زان اررگذارر اي تهديدات در سازمان س اديا تغي سات مورر در ارتبا‬
‫با ك تس ار ام يتي سازمان ( تاكچير ا ) س استساتژر كتي ام يتي بااد ‪.‬‬
‫‪‬مدير ديط دظرات مرتبي با تهديدات مچارر از ف اسرر ا اراي ممچمر گزاراات در صو‬
‫از جمل مهمتسي س اي اي‬
‫تهديدات باديوه موجود برار سازمان جم آسرر داده از م اب مخچل‬
‫گرسه محمو مي گردد ‪.‬‬
‫‪ ‬مي با م با لشماني باز گو ي ا وا س دانش م اسب سضني موجود را بطور دام ” وام داد‬
‫ر د كرد ‪ .‬دااتن ل ل زر مي توادد زمي برسز تهديد را فرا دمايد ؟ ل ل زر در منره تهديد قرار‬
‫دارد ؟ عل آسيب پذيرر ما ليم ؟ س ‪...‬‬
‫عرضه بدافزار‬
‫ساندن‬
‫حداقل ر‬
‫كرد؟ ‪::‬‬
‫بايد‬
‫به ‪ ::‬چه‬
‫دحوه توزي ‪APT‬‬
‫‪ ‬اينترنت‬
‫‪ ‬دادلود درايور‬
‫‪ ‬ضمال دام ار ادكتسسديكي‬
‫‪ ‬ااتساك فايل‬
‫‪ ‬در افزار ار موسو ب ‪Keugen‬‬
‫‪ ‬فيشي ش‬
‫‪ ‬تغي س مم س ‪ DNS‬س رستي ش‬
‫‪ ‬فيزيكي‬
‫‪ ‬اسچهاده از ‪ USB‬آدوده‬
‫‪ ‬اسچهاده از ‪ CD‬س يا ‪ DVD‬آدوده‬
‫‪ ‬اسچهاده از دارت ار مافظ آدوده‬
‫‪ ‬اسچهاده از بردام ار آدوده‬
‫‪ ‬بر دسر موجود در تيه زات ‪IT‬‬
‫‪ ‬خارجي‬
‫‪ ‬ر مرف ار‬
‫‪ ‬ديا ضن آسيب پذير‬
‫‪ ‬بهره بردارر از اس مشتسك‬
‫عرضه بدافزار‬
‫ساندن‬
‫حداقل ر‬
‫كرد؟ ‪::‬‬
‫بايد‬
‫به ‪ ::‬چه‬
‫‪ ‬بهبود اا ص ار ام يتي س تي مي توادد اررپذيرر مم ت ‪ APT‬را دا ش د د ‪:‬‬
‫‪ ‬دا ش ميدان عملياتي تهديدات س ديا ي ك ير مهاج مي توادد از ر ق آنها دهوذك د‬
‫‪ ‬محدسدي در ادمشار بدافزار در سازمان‬
‫‪ ‬محدسدي در دسميابي بدافزار ب م اب سازمان‬
‫بهبود كنترل هاي امنيتي سنتي ‪:‬‬
‫‪ ‬مه د ي اجچمااي ‪ :‬يكي از مچداسدتسي رسش ا برار منر ي بدافزار درسن ير محيي اس ‪ .‬عتي‬
‫ر تمامي ك تس ار ف ي ك مي توان آنها را پياده سازر كرد مچ ان انمان ضني تر دي ر‬
‫ارتبا ي موجود اس ك مهاجمان مي تواد د بر رسر آنها سرماي گذارر دماي د ( تر يب دار ران ب‬
‫دلير بر رسر ير دي ر اسچهاده از فلش د مر ار ‪ usb‬س ‪) ...‬‬
‫‪ ‬افزا ش آگابي پرس ل ك در ميابل مم ت بيشتس مراقب باا د (از ر ق اراي دسره ار آموز ي‬
‫مورر در صو ام ي ) ‪.‬‬
‫‪ ‬اراي دسره ار آموز ي در صو ام ي مواره يكي از ع ا ر مورر در ير بردام ام يتي و‬
‫محمو مي گردد‪.‬‬
‫عرضه بدافزار‬
‫ساندن‬
‫حداقل ر‬
‫كرد؟ ‪::‬‬
‫بايد‬
‫به ‪ ::‬چه‬
‫بهبود آگاهي در خصوص امنيت‬
‫‪ ‬انمان دارار ديش ي مهمي در دا ش ارر خش ي مم ت اس ‪ .‬افزا ش آگابي س ا‬
‫ممالل ام يتي مي با م بخش ي از استساتژر دفا در عمق در دظر گرفچ اود ‪.‬‬
‫رساني در صو‬
‫‪ ‬تغي س در بردام آموز ي س تي س اراي رسش ا س رس كرد ار جديد اامل ‪:‬‬
‫‪ ‬آموزش تهديدات جديد س ا بار رسز در صو ام ي‬
‫‪ ‬برر ي دمود موارد موفيي ك ير سازمان با مشارك دارك ان ود توانمچ اس مهاجمان را‬
‫دادا س يا ارر خش ي مم ت آنها را دا ش د د ‪.‬‬
‫‪ ‬لنود مهاجمان از رساد ار اجچمااي س ساير ساي ار ارجي برار جم آسرر داده اسچهاده‬
‫مي دماي د تا ب آنها اجازه د د ا داع ا ي را مورد ممل قرار د د ‪.‬‬
‫‪‬ارز ابي ارر خش ي دسره آموز ي در بازه ار زماني ا‬
‫‪ ‬دار ران يكي از ع ا ر ا تي در ايم سازر ز رسا ف اسرر ا عات س ارتبا ات در ير سازمان مي‬
‫مي توادد دسچاسرد ار مثبتي را ب ددبا‬
‫باا د ‪ .‬آموزش صحيح س مورر دار ران در صو ام ي‬
‫دااچ بااد ‪.‬‬
‫عرضه بدافزار‬
‫ساندن‬
‫حداقل ر‬
‫كرد؟ ‪::‬‬
‫بايد‬
‫به ‪ ::‬چه‬
‫نرم افزارهاي مخرب‬
‫‪ ‬يكي ديعر از اقداماتي ك باع دا ش عرض بدافزار مي گردد مصو ا مي ان از اي موضو اس‬
‫ك در افزار ار بر ورد ك ده با اي دو كد ار بدافزار مواره ب رسز مي باا د ( برار تمامي دار ران‬
‫)‪.‬‬
‫‪‬با اي ك مم ت از دو ‪ APT‬از مزايار نقاط آسيب پذير صفر روزه اسچهاده مي دماي د ك بردام‬
‫ار آدتي س رسا قادر ب تشخيص آنها دمي باا د سخي ديط آسيب پذير هر رسزه ديرسز تبديل ب ديط‬
‫آسيب پذير ا ا چ اده فردا مي اود ‪.‬‬
‫‪ ‬مهاجمان با اسچهاده از ضن ا س ديا آسيب پذير در بردام ا مي تواد د بدافزار ود را ب ير‬
‫محيي سارد دماي د ‪ .‬بر اساا تحيييات ب عمل آمده س تير ار موجود بيش از ‪ 93‬در د بردام‬
‫ار س مداقل دارار ير ضن اسا ي با درج تهديد با مي باا د ‪.‬‬
‫‪ ‬توج دااچ باايد ك در مم ت ‪ APT‬دع ادزاما" سرق ا عات از س ساي ديم در‬
‫ميابل ت ش آنها در اي جه اس تا بچواد د كد مخر را بر رسر ساي ار مياز قرار داده س دار ران را‬
‫تر يب دماي د تا بر رسر دي ر ار مر و دلير ك د ‪.‬‬
‫عرضه بدافزار‬
‫ساندن‬
‫حداقل ر‬
‫كرد؟ ‪::‬‬
‫بايد‬
‫به ‪ ::‬چه‬
‫كدنويس ي ايمن‬
‫‪ ‬مذع ديا آسيب پذيرر ك ب سادگي قابل بهره بردارر مم د دا ش سطح مم ت را ب ددبا‬
‫دااچ س اجازه مي د د ك سازمان ا بر رسر م اب ارزام د ود تمركز بيشتسر دماي د س از ود در‬
‫ميابل مم ت پيشرفچ دفا دماي د ‪.‬‬
‫‪ ‬اقدامات ز جه مذع ديا آسيب پذير س يا مهره ار ام يتي‬
‫‪ ‬آموزش پياده ك دگان‬
‫‪ ‬اعچياد عمتي ب ام ي س ايم سازر بردام در تمامي مرامل لر پياده سازر در افزار‬
‫‪ ‬بكارگ سر صحيح ر ف اسرر با تحاظ كردن لادش ار ام يتي آن ب م ظور پياده سازر در‬
‫افزار‬
‫‪ ‬دناه صحيح س يكپارل ايم سازر در تمامي ي ار ير در افزار‬
‫‪ ‬اديا تم‬
‫ار ام يتي پيوسچ ( قبل از اراي نسخ نهايي س متي ت از عملياتي ادن آن )‬
‫‪ ::‬چه بايد كرد؟ ‪::‬‬
‫‪ ‬عمليات ارح داده اده در بخش قبل در صو پيشع سر از منر ي بدافزار ب درسن ير محيي‬
‫دمي توادد ‪ 100‬در د مورر ساق اده س اي تضم ن را ايياددمايد ك ممل ار ورت دخوا د گرف‬
‫‪ ‬در ورت موفيي مهاجمان س اسچيرار ير بدافزار درسن محيي مي با م توان ود را‬
‫اي دمايي ك بدافزار قابلي اجراء با ياخي رام را ددااچ بااد ‪.‬‬
‫رع‬
‫‪‬پيشگيري از اجراي بدافزار ‪:‬‬
‫‪ ‬اسچهاده از ديم سهيد بردام ا ( بردام ار قابل اجراء مياز ) بر رسر ير سرسيت د ده‬
‫‪ ‬پياده سازر مههو " مداقل ميوز" س مدع اداد دار ران از گرسه مديران محتي محدسدي در‬
‫دسميابي ب م اب توسي افراد داا اا‬
‫‪ ‬مدع س يا سفنا كردن دسچورات سضرسرر ( دظ س ‪ xp_cmdshell‬بر رسر سرسيت‬
‫د دگان ‪. ) MSSQL‬‬
‫‪ ‬عد پياده سازر ير ابك فل س يا منمارر دام ن ( كرك ير اداد مدير تي مي توادد مهاجمان‬
‫را قادر سازد ب ساير سيمچ ا د ز دسميابي پيدا دماي د )‪.‬‬
‫‪ ‬اسچهاده از ميموع سياس‬
‫ار ام يتي اسچاددارد س دظارت ممچمر بر پياده سازر صحيح آنها‬
‫چهداده‬
‫حفاظت‬
‫بايد كرد؟ ‪::‬‬
‫‪::‬‬
‫ا س يا دار ران ير ع صر ضرسرر ب م ظور مها‬
‫‪ ‬ك تس دسميابي ل برار بردام‬
‫اس ‪.‬‬
‫‪ ‬مها داده يكي از مهمتسي ممالل در ر سازمان محمو مي گردد ‪ .‬سقابل دفا اس اگر ادعا‬
‫ك ي ك تمامي داده را مي توان رمز دمود ‪.‬‬
‫‪ ‬با اعما برخي سياس ا س تبني از ا و ام يتي مي توان محدسدي ايي را پياده سازر كرد تا در‬
‫ورت برسز مم ت مداقل آسيب ب ا عات س سرق آنها ورت پذيرد ‪.‬‬
‫‪ ‬پياده سازر “ سيستم پيشگيري از دست دادن داده “ موسو ب ‪ ( DLP‬برگرفچ اده از ‪Data‬‬
‫‪ ) Loss Prevention‬مي توادد از فنادي بدافزار ا ب م ظور جم آسرر داده مماا س ارسا آنها‬
‫برار ير مهاج پيشع سر ب عمل آسرد ‪.‬‬
‫‪ ‬مبتني بر هاست ‪ :‬دار ر در ل سطحي مي توادد ب داده دسميابي دااچ بااد‪ .‬مصو ا مي ان‬
‫از اي موضو ك داده در مكان سمياز سجود ددارد ‪ . .‬متي اگر بدافزار ‪ APT‬ود را ب ع وان‬
‫ير دار ر منچ س جا بزدد در ورتي ك آن دار ر مق دسميابي ب داده را ددااچ بااد بدافزار‬
‫دخوا د توانم اقدا ب كپي س سرق داده دمايد ‪.‬‬
‫‪ ‬مبتني بر شبكه ‪:‬ماديچور ش جر ان داده در ابك س پيشع سر از رسي داده‬
‫ير سازمان‬
‫‪ ::‬چه بايد كرد؟ ‪::‬‬
‫پياده سازي ‪ DLP‬مبتني بر شبكه‬
‫‪ ‬ماديچور ش جر ان داده در ابك س پيشع سر از رسي داده‬
‫‪ ‬در مم ت ‪ APT‬داده ا لب ب ورت رمز اده از ابك‬
‫لادش جدر برار رسش ‪ DLP‬مبچ ي بر ابك بااد‬
‫‪ ‬راه حل ‪ :‬پياده سازر سياس ار ام يتي بنود ار ك ادچيا‬
‫مغاير با سياس ار اسچاددارد ار سازمان ب ك گردد‬
‫اري مي اود س اي مي توادد ير‬
‫ر دو فايل رمز اده س يا داده‬
‫‪ ‬اسچهاده از ير ‪ outbound proxy‬س ارسا داده رسجي برار موتور ‪ DLP‬جه‬
‫برر ي‬
‫چرا؟‬
‫‪ APT‬اس ‪.‬‬
‫نتاز مم‬
‫استاكسجدر‬
‫آيا ير دمود‬
‫اسچاكت د‬
‫است؟ ‪::‬‬
‫يك ت‪APT‬‬
‫‪::‬‬
‫‪ ‬پيشرفته است ‪ ،‬خيلي هم پيشرفته است‬
‫‪ ‬اسچهاده از لهار ديط آسيب پذير هر رسزه س دسز‬
‫‪ ‬دس عدد گوا ي ام ديييچاخي منچ س سرق اده‬
‫‪ ‬د ا ي كد بردام ( حجي تر كرمي ك تاك ون دواچ اده اس )‬
‫‪ ‬اسچهاده از ير ‪ rootkit‬جه پتهان سازر ود‬
‫‪ ‬اسچهاده از قابلي ار ‪ Peer to peer‬برار ك تس از راه دسر‬
‫‪ ‬گزازش عملكرد سيمچ ار آدوده‬
‫‪ ‬يك حمله هدفمند است‬
‫دع آن گمتسش در ر مكان س برار دار رر‬
‫‪ ‬بر ع كر ا س بدافزار ار مچداس‬
‫دمي بااد ‪.‬‬
‫‪ ‬ادچخا دع ود بر رسر سيمچ ار ‪ ( SCADA‬بكارگرفچ اده در د سسگاه ار‬
‫ار مياتي ير كشور )‬
‫برق س ساير ز رسا‬
‫‪ ‬تغي س بردام ار دصب اده در ‪ PLC‬اسچهاده اده در سيمچ ار فوق‬
‫است؟ ‪:‬ا‪:‬‬
‫‪ ::‬آيا استاكس نت يك ‪APT‬‬
‫‪‬ما ي پيشرفچ اسچاكت د ب مراه دع بميار‬
‫ود را دااچ بااد ‪.‬‬
‫آن باع مي اود ميابل با آن لادش ار‬
‫‪ ‬توزي اسچاكت د از ر ق ير ‪ USB Stick‬اديا اده اس ‪ .‬دظ س ممل ار با دا‬
‫“‪ “ Operation Buckshot Yankee‬ك سيمچ ار دطامي امر كا را در سا ‪ 2008‬آدوده كرد س‬
‫فرآي د پاك سازر آنها ‪ 14‬ماه بطو ادياميد ‪.‬‬
‫‪ ‬دس درا مهمي ك مي توان از اسچاكت د گرف ‪:‬‬
‫‪‬درس اول ‪ :‬دامپيوتر ار م زبان مچ ان مچداسدتسي ديط آسيب پذير در ير ز رسا مي باا د‬
‫‪ .‬تمامي طو دفااي مرزر ( دظ س فايرسا ا سيمچ ار ‪ IDS‬س ‪ ) ...‬قادر ب توق اسچاكت‬
‫د دبوده ادد ) ‪ .‬اسچاكت د ممچييما” بر رسر دع ود داي س ممچير اده اس ‪.‬‬
‫‪ ‬درس دوم ‪ :‬ف اسرر ار پيشع سر س مبچ ي بر ادنو ا قادر ب تشخيص اي ممل جديد س‬
‫داا ا چ دبوده ادد ‪ .‬تاك ون ده ا زار دامپيوتر آدوده ب اي كر اده ادد ‪ .‬آيا بر رسر اي م‬
‫دامپيوتر ير بردام س رسا يا دبوده اس ك بچوادد اي كر را ا اسايي س با آن ميابل دمايد ؟‬
‫ساده دخوا د بود ك ادنويي را برار ير بدافزار سهار ي س بميار ا ايياد كرد ك قب ” موجود‬
‫دبوده س رفا” بر رسر ابك ا س يا سيمچ ايي ا موجود اس ‪.‬‬
‫‪ ::‬خالصه ‪::‬‬
‫‪ ‬سازمان ا ز اس درك بهتسر نمب ب تهديدات س پچانميل طرات دااچ باا د ‪.‬‬
‫‪ ‬ب م ظور ا ا ساقمي طرات سازمان ا مي با م استساتژر ام يتي جارر ود را برر ي‬
‫كرده تا ك تس ا ضن ا س ديايص سرينا مشخص گردد ‪.‬‬
‫‪ ‬با توج ب ما ي مم ت ‪ APT‬بكارگ سر ير ك تس س يا اقدا دمي توادد ب تتهايي مورر بااد‬
‫‪.‬‬
‫‪ ‬بكارگ سر ير استساتژر دفا در عمق مي توادد بهتس س موررتر بااد ‪.‬‬
‫‪ ‬مم ت از دو ‪ APT‬ير گرسه از مم ت در فضار ميازر مي باا د ك ا داع ود را از ب ن‬
‫ب ناه ار اقچصادر س سيا ي ادچخا مي ك د ‪ .‬اي دو مم ت در زمان اديا عمليات ود ب ير‬
‫سطح بميار با از مخهي دارر دياز داردد تا بچواد د موفيي ود را تضم ن دماي د ‪.‬‬
‫‪ ‬دع مم ت ‪ APT‬ل زر بمراتب بيشتس از كمب درآمد س يا م هن ماخي فورر اس ‪.‬‬
‫سيمچ ار آدوده اده مچ ان در سرسيت وا د بود ‪.‬‬
‫‪ APT ‬مم تي مي باا د ك بميار پيشرفچ مي باا د مضورر ماددگارر تا ديل ب ا داع از‬
‫قبل تنر اده را داردد س تهديدر جدر برار ر سازماني مي باا د ك دارار ا عات ارزام در‬
‫ار مياتي در ير كشور را مدير مي ك د‪.‬‬
‫اس س يا ز رسا‬
‫‪ ::‬خالصه ‪::‬‬
‫مشكل پيمادكاران ديم س ير مشكل رع دظامي ديم ‪.‬‬
‫‪ APT ‬مشكل دسد ا ديم‬
‫‪ APT‬ممئل م افراد اس ‪ .‬رع دظر از اي ك دع بزرگ س يا دولر بااد س يا ب وبي‬
‫مها اده بااد ‪ .‬اي مشكل م افراد اس ‪.‬‬
‫‪ ‬تاكيد بر رسش ك سير " پيشگيري و تشخيص " دمي توادد ير سازمان را بطور مورر در برابر اي‬
‫دو مم ت مها دمايد ‪ .‬آنها مي تواد د ب سادگي طو دفااي را آدوده سا چ از آنها عبور‬
‫دماي د در افزار ار آدتي س رسا س بردام تشخيص مزامم ن را دسر زد د‬
‫مي‬
‫‪ ‬مم ت از دو ‪ APT‬از رسش ار پيچيده ار جه مخهي دنا دااتن ود اسچهاده‬
‫دماي د ‪ .‬مخهي دنا دااتن بدافزار بر رسر اس دع س مخهي دنا دااتن ترافير ابك‬
‫‪ ‬دع مم ت از دو ‪ APT‬دس ل ز اس ‪:‬‬
‫‪ ‬سرق ا عات ب م ظور اسچهاده از آنها در ممالل اقچصادر سيا ي س استساتژر‬
‫‪ ‬ايياد ير ارتبا داي برار مراجن ميدد ب دع‬
‫‪ ‬اي ير ج ش فرسا ش ي ب ن ير دام با م اب ز اد اس ‪ .‬ج ني ك اايد پاياني ددااچ بااد ‪.‬‬
‫دبايد در اي راه امماا پ سسزر را داا‬
‫‪ ::‬خالصه ‪::‬‬
‫‪ ‬اقدامات دسمپال مي توادد م ير ب برسز رابي بيشتس اود ‪.‬‬
‫‪ ‬مي با م دانش س توان ود را بنود ار افزا ش داد ك از قابلي مهاجمان بيشتسبااد‬
‫‪‬از مرز اسچهاده رع از در افزار ار آدتي س رسا س تشخيص مزامم ن در ابك فراتر برس د‬
‫‪ ‬ز اس دسرن ‪ packet‬ا‬
‫ماديچور گردد ‪.‬‬
‫‪‬‬
‫فايل ا دام‬
‫ار ادكتسسديكي س مافظ سيمچ‬
‫يك پزشك براي پيشگيري و درمان يك بيماري خاص‬
‫مي بايست داراي دانش بيشتري‬
‫نسبت‬
‫به‬
‫بيمار خود باشد‬
‫ب دق‬