Advanced Persistent Threat hacker Giacomo Lanzi

Advanced persistent threat (APT): cosa sono e come difendersi

Estimated reading time: 7 minuti

Una advanced persistent threat (APT) è un termine ampio utilizzato per descrivere una campagna di attacco in cui un intruso, o un gruppo di intrusi, stabilisce una presenza illecita e a lungo termine su una rete al fine di estrarre dati altamente sensibili. Gli obiettivi di questi assalti, che sono scelti e studiati con molta attenzione, includono tipicamente grandi imprese o reti governative. Le conseguenze di tali intrusioni sono vaste, e includono:

– Furto di proprietà intellettuale (ad esempio, segreti commerciali o brevetti)
– Compromissione di informazioni sensibili (ad esempio, dati privati di dipendenti e utenti)
– Il sabotaggio di infrastrutture organizzative critiche (ad esempio, la cancellazione di database)
– Prendere il controllo totale del sito

L’esecuzione di un assalto APT richiede più risorse di un attacco standard alle applicazioni web. Gli autori sono di solito squadre di criminali informatici esperti che hanno un sostanziale sostegno finanziario. Alcuni attacchi APT sono finanziati dal governo e utilizzati come armi di guerra informatica.

Gli attacchi più comuni, come il Remote File Inclusion (RFI), la SQL injection e il cross-site scripting (XSS), sono frequentemente utilizzati dagli autori per stabilire un punto d’appoggio in una rete mirata. Poi, Trojan e backdoor shell sono spesso utilizzati per espandere quel punto d’appoggio e creare una presenza persistente all’interno del perimetro.

Advanced Persistent Threat Laptop

Progressione delle advanced persistent threat

Un attacco APT di successo può essere suddiviso in tre fasi: 1) infiltrazione nella rete, 2) espansione della presenza dell’attaccante e 3) estrazione dei dati accumulati, il tutto senza essere rilevato.

1. Infiltrazione nella rete

Come abbiamo detto, ogni advanced persistent threat parte da un’infiltrazione. Le aziende sono tipicamente infiltrate attraverso la compromissione di una delle seguenti aree: risorse web, risorse di rete o utenti umani autorizzati. Questo si ottiene sia attraverso upload maligni o attacchi di ingegneria sociale. Sono tutte minacce affrontate regolarmente dalle grandi organizzazioni.

Gli infiltrati possono eseguire contemporaneamente un attacco DDoS contro il loro obiettivo. Questo serve sia come cortina per distrarre il personale della rete sia come mezzo per indebolire un perimetro di sicurezza, rendendo più facile la violazione.

Una volta ottenuto l’accesso iniziale, gli aggressori installano rapidamente una shell-malware backdoor che garantisce l’accesso alla rete e permette operazioni remote e furtive. Le backdoor possono anche presentarsi sotto forma di Trojan mascherati da software legittimi.

2. Espansione della presenza

Dopo che il punto d’appoggio è stabilito, gli aggressori si muovono per ampliare la loro presenza all’interno della rete e quindi “creare” la advanced persistent threat vera e proprio.

Questo comporta lo spostamento verso l’alto della gerarchia di un’organizzazione, compromettendo i membri del personale con accesso ai dati più sensibili. Così facendo, gli attaccanti sono in grado di raccogliere informazioni aziendali critiche, comprese le informazioni sulla linea di prodotti, i dati dei dipendenti e i record finanziari.

A seconda dell’obiettivo finale dell’attacco, i dati accumulati possono essere venduti a un’impresa concorrente, alterati per sabotare la linea di prodotti di un’azienda o utilizzati per abbattere un’intera organizzazione. Se il sabotaggio è il motivo, questa fase viene utilizzata per ottenere sottilmente il controllo di più funzioni critiche e manipolarle in una sequenza specifica per causare il massimo danno.

Per esempio, gli aggressori potrebbero cancellare interi database all’interno di un’azienda e poi interrompere le comunicazioni di rete al fine di prolungare il processo di recupero.

3. Estrazione dei dati

Mentre un evento APT è in corso, le informazioni rubate sono tipicamente memorizzate in un luogo sicuro all’interno della rete assaltata. Una volta che sono stati raccolti abbastanza dati, i ladri devono estrarli senza essere rilevati.

Tipicamente, vengono utilizzate tattiche di white noise per distrarre il team di sicurezza in modo che le informazioni possano essere spostate fuori. Questo potrebbe prendere la forma di un attacco DDoS, ancora una volta legando il personale di rete e/o indebolendo le difese del sito per facilitare l’estrazione.

Advanced Persistent Threat hacker

Misure di sicurezza contro le advanced persistent threat

Un rilevamento e una protezione adeguati contro le APT richiedono un approccio multiplo da parte degli amministratori di rete, dei fornitori di sicurezza e dei singoli utenti.

Monitoraggio del traffico

Il monitoraggio del traffico in entrata e in uscita è considerato la pratica migliore per prevenire l’installazione di backdoor e bloccare l’estrazione di dati rubati. Ispezionare il traffico all’interno del perimetro aziendale di rete può anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito che può puntare ad attività dannose.

Un web application firewall (WAF) distribuito sul bordo della rete filtra il traffico verso i server web proteggendo così una delle vostre superfici di attacco più vulnerabili. Tra le altre funzioni, un WAF può aiutare ad eliminare gli attacchi a livello di applicazione, come gli attacchi RFI e SQL injection, comunemente utilizzati durante la fase di infiltrazione APT.

I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l’altro lato di questa equazione. Essi possono fornire una visione granulare che mostra come gli utenti stanno interagendo all’interno della vostra rete, mentre aiutano a identificare le anomalie del traffico interno, (ad esempio, login irregolari o trasferimenti di dati insolitamente grandi). Quest’ultimo potrebbe segnalare un attacco APT in corso. È anche possibile monitorare l’accesso alle condivisioni di file o agli honeypots di sistema.

Infine, i servizi di monitoraggio del traffico in entrata potrebbero essere utili per rilevare e rimuovere le shell backdoor. Per un servizio di controllo a 360°, l’adozione del SOCaaS di SOD potrebbe fare al caso vostro.

Controllo degli accessi

Per gli attaccanti, i dipendenti dell’azienda rappresentano tipicamente il soft-spot più grande e vulnerabile nel vostro perimetro di sicurezza. Il più delle volte, questo è il motivo per cui gli utenti della vostra rete sono visti dagli intrusi come un facile gateway per infiltrarsi nelle vostre difese, mentre espandono la loro presa all’interno del vostro perimetro di sicurezza.

In questo caso, gli obiettivi probabili rientrano in una delle seguenti tre categorie:

Utenti disattenti che ignorano le politiche di sicurezza della rete e concedono inconsapevolmente l’accesso a potenziali minacce
Insider malintenzionati che abusano intenzionalmente delle loro credenziali per concedere l’accesso al criminale
Utenti compromessi i cui privilegi di accesso alla rete sono compromessi e utilizzati dagli aggressori

Lo sviluppo di controlli efficaci richiede una revisione completa di tutti i membri della vostra organizzazione, specialmente delle informazioni a cui hanno accesso. Per esempio, classificare i dati sulla need-to-know basis aiuta a bloccare la capacità di un intruso di dirottare le credenziali di accesso da un membro del personale di basso livello, usandole per accedere a materiali sensibili.

I punti chiave di accesso alla rete dovrebbero essere protetti con l’autenticazione a due fattori (2FA). Essa richiede agli utenti di utilizzare una seconda forma di verifica quando si accede alle aree sensibili (in genere un codice di accesso inviato al dispositivo mobile dell’utente). Questo impedisce ad attori non autorizzati, travestiti da utenti legittimi, di muoversi nella rete.

advanced persistent threat security

Misure ulteriori contro gli advanced persistent threat

Oltre alle già citate best practice per prevenire il verificarsi di un advanced persistent threat sulla rete aziendale, è bene intervenire su più fronti. In numerosi altri articoli abbiamo trattato quanto sia vantaggioso, per il team di sicurezza, avere un unico luogo in cui monitorare ogni punto della rete. Uno strumento eccellente per questo scopo è un SOC.

Il nostro SOCaaS offre tutte le funzionalità di un Centro Operativo di Sicurezza senza l’incombenza degli investimenti in attrezzature e personale specializzato. Inoltre, grazie alla tecnologia UEBA, non solo il nostro SOC è in grado di recuperare i log e archiviarli in modo sistematico, ma è anche attivamente coinvolto nell’individuare comportamenti sospetti degli utenti.

Queste caratteristiche sono ottime per aumentare la reattività del team di sicurezza e scongiurare anche i tentativi di advanced persistent threat ai danni della rete aziendale.

Per sapere come possiamo aiutare la vostra azienda a alzare la propria sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter