Vòng đời của mối đe dọa liên tục nâng cao APT

Giới thiệu

APT là "nâng cao" bởi những kẻ tấn công thường cải biến mã độc zero-day và khai thác cụ thể vào tổ chức mà chúng đã nhắm mục tiêu. Chúng cũng sẽ thường xuyên khởi động chiến dịch tấn công "lừa đảo" có chủ đích nhằm nỗ lực để khai thác các hệ thống của người dùng. Trong thực tế, APTs sẽ khai thác toàn bộ các hướng tấn công tới tất cả các tổ chức cả về phần logic lẫn cơ sở vật chất - với mức độ tinh vi và khả năng cao nhất.

APT là "liên tục" bởi chúng cực kỳ kiên nhẫn và có phương pháp trong cách tiếp cận để trinh sát, gây hại mục tiêu, và trích rút dữ liệu. Một APT không quan tâm là liệu nó mất một tuần hay một năm để đạt được mục tiêu  - chỉ biết rằng cuối cùng chúng đạt được mục đích.

Trong khi không tồn tại hai APT giống nhau, thì hầu hết chúng lại theo một vòng đời chung mà trong giai đoạn “trinh sát” được thực hiện đối với một tổ chức đích, giai đoạn gây hại ban đầu là một máy chủ, và kết thúc là thông tin bị đánh cắp. Các công cụ được cài đặt để duy trì tiếp cận, hoạt động bên lề để các dữ liệu mục tiêu bị lộ lọt ra, và cuối cùng là dữ liệu mục tiêu bị trích rút. Mặc dù hoạt động này thường được thực hiện vởi tần suất "thấp và chậm", thường xuyên sử dụng các phần mềm độc hại tùy chỉnh và/hoặc thông tin hợp pháp để tránh bị phát hiện, song hoạt động ở từng giai đoạn đều để lại dấu vết ở các đường dẫn đăng nhập.

Các giai đoạn của APT

Giai đoạn “Thăm dò”

Mặc dù phần lớn giai đoạn thăm dò của APT hướng tới mục tiêu về bản chất là mang tính thụ động, song kết quả cuối cùng của nó là xâm nhập được vào cơ sở hạ tầng thực tế của mục tiêu. Khi điều này xảy ra, với công cụ đặng nhập và phân tích thích hợp, thì các hoạt động do thám đó hoàn toàn có thể được nhận dạng được. LogRhythm đã thiết kế một bộ các quy tắc phân tích theo thời gian thực để xác định khi nào hoạt động trinh sát đang diễn ra.

Dấu vết đăng nhập: Nếu một cổng quét chạy để phòng chống địa chỉ IP công cộng, thì các bức tường lửa cần nhập một từ chối cho mỗi sự kiện. Nếu nhiều từ chối quan sát được mà xuất phát từ máy chủ cùng một nguồn gốc trong một khung thời gian ngắn, thì hoàn toàn có thể giả định rằng một số loại hoạt động quét cổng đang diễn ra. Một cách tiếp cận phòng thủ chủ động có thể được thực hiện ở đây bằng cách xác định địa chỉ IP gốc thực hiện hoạt động thăm dò và tự động thêm chúng vào một "Danh sách các IP đáng ngờ cần được theo dõi" để sử dụng vào phân tích trong giai đoạn sau.

Giai đoạn “Gây tổn thương”

Đây là giai đoạn đầu tiên mà kẻ tấn công thực sự xâm nhập được vào bên trong hệ thống và có được truy cập ban đầu. Mặc dù có rất nhiều cách để gây tổn thương cho một máy chủ, song việc này thường được thực hiện bằng việc cung cấp các phần mềm độc hại tùy chỉnh thông qua một chiến dịch lừa đảo qua email, thường nhắm mục tiêu khai thác lỗ hổng zero-day. Các phần mềm độc hại tùy chỉnh và các e-mail được thiết kế để trông rất hợp pháp, đủ làm cho nạn nhân mục tiêu hoặc mở file đính kèm e-mail, hoặc nhấp theo các siêu liên kết trong nội dung e-mail. Khi người dùng mở một tập tin đính kèm độc hại hoặc sau một siêu liên kết độc hại, khai thác được khởi tạo. 

Dấu vết đăng nhập: Mặc dù rất khó để thường xuyên phát hiện hoạt động này khi sử dụng các công cụ bảo mật truyền thống, song hầu hết chúng đều thực sự để lại một dấu vết theo sau ở trong các dữ liệu đăng nhập. Điều này làm cho SIEM (security information and event management) trở thành một công cụ lý tưởng dùng để phát hiện hoạt động này. Khi khai thác bắt đầu thì các tải trọng dữ liệu (payload) được tải về thiết bị của kẻ tấn công. Mặc dù các đường đi của các payload có thể khác nhau, song dữ liệu vẫn lưu thông qua mạng. Kỹ thuật phát hiện bất thường về hoạt động của mạng có thể được sử dụng để xác định loại lưu lượng này.

Giai đoạn “Duy trì truy cập”

Một khi máy chủ bị tổn thương thì APT phải đảm bảo truy nhập được duy trì. Trong khi có rất nhiều cách để thực hiện việc này, thì cách thông thường nhất là các thông tin đúng sẽ bị tổn thương, và các công cụ truy nhập từ xa được cài đặt vào cả máy chủ đầu tiên bị hại lẫn các máy chú khác trong toạn bộ hạ tầng, Mục tiêu là mở rộng dấu vết của máy đầu tiên bị hại để đảm bảo rằng kể cả trong trường hợp một hay nhiều thâm nhập bị phát hiện thì truy nhập vẫn được duy trì. Các công vụ truy nhập từ xa này hoạt động như một điểm dừng chân cho các thông tin bị tổn thương được tách ra và được sử dụng cho giai đoạn tiếp theo

Dấu vết đăng nhập: Khi một công cụ truy cập từ xa được cài đặt, một số phương pháp tiếp cận cần được thực hiện để phát hiện sự hiện diện của nó. Để có thể qua được tường lửa đánh dấu lưu lượng, công cụ truy cập từ xa sẽ khởi tạo kết nối TCP vòng ngoài, thường được mã hóa bởi SSL/TLS trên cổng 443, việc này làm cho chúng trông giống như đang hoạt động trình duyệt web bình thường. Tuy nhiên, khi một máy chủ nội bộ bắt đầu kiểm tra việc liên lạc với một địa chỉ IP bên ngoài mà thấy nó nằm trong "Danh sách IP đáng ngờ cần theo dõi" được tạo ra trong giai đoạn thăm dò, thì chắc chắn đây là một dấu hiệu cho thấy một máy chủ đang được sử dụng C2 thăm dò để thực hiện giám sát chống lại nạn nhân mục tiêu

Giai đoạn “Hoạt động bên lề” 

Trong giai đoạn này APT cố gắng xác định xem dữ liệu mục tiêu nằm ở đâu và trên cơ sở đó, nó di chuyển về phía dữ liệu để có thể đánh cắp chúng. Thông thường các thông tin bị tổn hại được sử dụng ở giai đoạn này, bởi rất khó để phát hiện ra những điều không tốt đang xảy ra khi mà nó được thực hiện bằng chính các thông tin của người dùng được xác thực. Bằng các nỗ lực tập trung và việc phát hiện các thăm dò nội bộ và các thông tin bị tổn thương, các hoạt động bên lề sẽ bị phát hiện. DLP (Data loss prevention software) cũng có thể dùng để hỗ trợ phát hiện.

Dấu vết đăng nhập: Các hoạt động thăm dò nội bộ có thể trông rất giống với các hoạt động do thám ở vành đai. Ví dụ, nếu SQL Server bị đánh số, dải IP có thể được kiểm tra qua cổng 1433, hoặc nếu mạng được chia sẻ thì các cổng 135-139 sẽ được tầm soát.

Giai đoạn “Đánh cắp Dữ liệu”

Đánh cắp dữ liệu là giai đoạn cuối cùng của vòng đời APT điển hình. Giai đoạn này dữ liệu của nạn nhân mục tiêu được xác định, thu thập và chuyển ra khỏi môi trường để vào tay của kẻ tấn công. Thông thường có nhiều hình thức khác nhau để thu thập dữ liệu và tập hợp ở một máy chủ duy nhất để chuyển ra khỏi mạng, mặc dù vây, đôi khi dữ liệu được chuyển tải ra ngoài khi nó được tìm thấy. Thường thì các dữ liệu được tập hợp thành một nhóm các file RAR được mã hóa để đảm bảo giải pháp kiểu DLP không thể kiểm tra dữ liệu khi nó đi qua.

Dấu vết đăng nhập: Loại hoạt động hầu như không thể phát hiện khi không có phân tích nâng cao. Bất cứ khi nào dữ liệu di chuyển trong một mạng, thì một đường dẫn đăng nhập được lưu lại trong máy trạm, và chả khác gì một số trình duyệt web cơ bản hay gửi/nhận e-mail. Nhưng đột nhiên có dữ liệu gửi đi liên tục đến một máy chủ duy nhất thì rất đáng để điều tra thêm.

Kết luận

Đối với các nạn nhân đã biết của APTs  thì phải mấtt nhiều tháng hoặc nhiều năm để nhận ra là họ đã bị ảnh hưởng bởi một APT. Hiện có nhiều tổ chức là nạn nhân của APT và không biết điều đó.

Công cụ bảo mật truyền thống, kể cả triển khai mô hình phòng thủ theo chiều sâu, sẽ không bao giờ đáp ứng đầy đủ yêu cầu ngăn chặn APT.  Tuy nhiên, khi các tổ chức, doanh nghiệp kết hợp mô hình phòng thủ theo chiều sâu mạnh mẽ với giám sát toàn diện, liên tục, tự động và phân tích bảo mật nâng cao, thì các dấu hiệu chính của một APT có thể được phát hiện sớm hơn và với độ chính xác lớn hơn, và do đó có thể giảm thiểu đáng kể tác động của một cuộc tấn công APT.

TP