lunedì 5 aprile 2010

Advanced Persistent Threats: che cosa sono?

Dopo l'attacco subito da Google ad inizio anno e tutto il  clamore che ne è seguito ci sono state numerose prese di posizione circa le Advanced Persistent Threats (APT), ovverosia quegli attacchi che, partendo da un attacco mirato arrivano a installare una serie di malware all'interno delle reti del bersaglio al fine di riuscire a mantenere attivi dei canali che servono a far uscire informazioni di valore dalle reti del soggetto preso di mira. Questo tipo di attacco non è totalmente nuovo, anche se i grandi mezzi di informazione se ne sono accorti solo di recente. Nel parlare di APT però è importante non farsi guidare dall'emotività e dalle informazioni veicolate dai mass media sull'onda di eventi particolarmente eclatanti. 
Tra i primi a parlare di APT c'è Mandiant, una società di sicurezza informatica focalizzata sulle tematiche di Incident Response e di Computer Forensics che fornisce servizi, prodotti e formazione a clienti privati e governativi. In particolare, in un articolo di gennaio 2010 vengono analizzate le caratteristiche principali delle APT e le fasi in cui si articolano questi particolari tipi di attacco.

"Ecco le tappe di un attacco APT:
  1. Ricognizione: gli attaccanti cercano e identificano le persone che saranno bersaglio degli attacchi e, utilizzando  fonti pubbliche o altri metodi, ottengono i loro indirizzi e-mail o i riferimenti di instant messaging
  2. Intrusione nella rete: tutto in genere inizia con delle mail di phishing, in cui l'attaccante prende di mira utenti specifici all'interno della società target con messaggi di posta elettronica fasulli che contengono link pericolosi o dannosi, oppure file malevoli allegati (PDF o documenti Microsoft Office). Questa fase consente di infettare la macchina e dare all'attaccante un primo accesso all'interno dell'infrastruttura
  3. Creazione di una backdoor: gli attaccanti cercano di ottenere le credenziali di amministratore del dominio estraendole dalla rete. Gli attaccanti quindi, si muovono "lateralmente" all'interno della rete, installando backdoor e malware attraverso metodi di 'process injection', modifiche di registro di sistema o servizi schedulati
  4. Ottenere le credenziali utente: gli attaccanti ottengono la maggior parte di informazioni accedendo i sistemi tramite valide credenziali utente. In media, nelle reti del target vengono acceduti circa 40 sistemi utilizzando le credenziali rubate.
  5. Installazione di utilities malevole: varie utility malevole vengono installate sulla rete target al fine di  poter amministrare il sistema e svolgere attività come l'installazione di backdoor, il furto di password, la ricezione di email e l'ascolto di processi in esecuzione.
  6. Escalation dei privilegi, 'movimento laterale' ed esfiltrazione dei dati: ora gli attaccanti iniziano a intercettare le mail, gli allegati e i file dai server attraverso l'infrastruttura malevola di Comando e Controllo. Gli attaccanti di solito 'sifonano' i dati rubati verso server intermedi, dove li cifrano, li comprimono e quindi li indirizzano verso la destinazione finale
  7. Mantenere la persistenza: gli aggressori cercano in ogni modo di mantenere la loro presenza nelle reti del target anche se alcuni parti vengono scoperte o inattivate"
Mandiant afferma che la pazienza e la capacità di recupero sono ciò che rende questi attacchi tanto efficaci. "Questi attacchi sono molto sofisticati, determinati e coordinati. Gli aggressori non sono venuti per rubare un po' di dati. Sono lì per rimanere."

Sfortunatamente questi attacchi sono sempre più utilizzati e sono indirizzati verso un insieme di possibili bersagli che si amplia man mano che le tecniche di attacco si raffinano e finiscono in mani meno raffinate. La vera sfida quindi, adesso, è mettere a punto delle contromisure che consentano una efficace difesa da queste minacce... nei prossimi giorni vedremo cosa è possibile fare.

A presto...

Nessun commento:

Posta un commento

http://www.wikio.it