지능형 지속적 위협 - Advanced persistent threat

고급 지속 위협 ( APT는 ) 몰래의 인 위협 배우 에 대한 무단 액세스 얻고, 일반적으로 민족 국가 또는 국가 후원 그룹, 컴퓨터 네트워크 와 오랜 기간 동안 들키지 않고 남아 있습니다. [1] [2] 최근에이 용어는 특정 목표를 위해 대규모 표적 침입을 수행하는 비정부 후원 그룹을 지칭 할 수도 있습니다. [삼]

그러한 위협 행위자의 동기는 일반적으로 정치적이거나 경제적입니다. 모든 주요 비즈니스 부문도용, 스파이 또는 방해를 추구하는 특정 목표를 가진 고급 행위자 사이버 공격 사례를 기록했습니다 . 이러한 부문에는 정부, 국방 , 금융 서비스 , 법률 서비스 , 산업, 통신 , 소비재 등이 포함됩니다. [4] [5] [6] 일부 그룹은 사회 공학 , 인간 지능침투를 포함한 전통적인 스파이 벡터를 활용 합니다.물리적 위치에 액세스하여 네트워크 공격을 가능하게합니다. 이러한 공격의 목적은 사용자 지정 악성 소프트웨어 를 설치 하는 것 입니다. [7]

APT 공격이 탐지되지 않는 시간 인 중앙값 "유지 시간"은 지역마다 크게 다릅니다. FireEye 는 2018 년 미주 에서 평균 체류 시간 은 71 일, EMEA 는 177 일, APAC 는 204 일이라고보고합니다. [4] 이것은 공격자가 공격주기를 거치고 전파하고 목표를 달성하는 데 상당한 시간을 할애 할 수 있도록합니다.

정의

APT가 정확히 무엇인지에 대한 정의는 다를 수 있지만 아래에 명명 된 요구 사항으로 요약 할 수 있습니다.

  • 고급 – 위협의 배후에있는 운영자는 자유롭게 사용할 수있는 다양한 정보 수집 기술을 보유하고 있습니다. 여기에는 상용 및 오픈 소스 컴퓨터 침입 기술 및 기술이 포함될 수 있지만 국가의 정보 장치를 포함하도록 확장 될 수도 있습니다. 공격의 개별 구성 요소는 특별히 "고급"으로 간주되지 않을 수 있지만 (예 : 맬웨어일반적으로 사용 가능한 DIY 멀웨어 구성 키트 또는 쉽게 구할 수있는 익스플로잇 자료를 사용하여 생성 된 구성 요소의 경우 운영자는 일반적으로 필요에 따라 고급 도구에 액세스하여 개발할 수 있습니다. 그들은 종종 목표에 도달하고 타협하고 액세스를 유지하기 위해 여러 타겟팅 방법, 도구 및 기술을 결합합니다. 운영자는 또한 "덜 진보 된"위협과 구별되는 운영 보안에 신중하게 초점을 맞출 수 있습니다. [3] [8] [9]
  • 지속적 – 운영자는 재정적 또는 기타 이익을 위해 정보를 우연히 찾는 것이 아니라 특정 목표를 가지고 있습니다. 이 구별은 공격자가 외부 엔티티의 안내를 받는다는 것을 의미합니다. 타겟팅은 정의 된 목표를 달성하기 위해 지속적인 모니터링 및 상호 작용을 통해 수행됩니다. 지속적인 공격과 악성 코드 업데이트를 의미하지는 않습니다. 사실 "저속"접근 방식이 일반적으로 더 성공적입니다. 운영자가 대상에 대한 액세스 권한을 잃는 경우 일반적으로 액세스를 다시 시도하고 가장 자주 성공적으로 시도합니다. 운영자의 목표 중 하나는 특정 작업을 실행하기 위해 액세스 만 필요한 위협과 달리 대상에 대한 장기 액세스를 유지하는 것입니다. [8] [10]
  • 위협 – APT는 기능과 의도가 모두 있기 때문에 위협입니다. APT 공격은 무의미하고 자동화 된 코드가 아닌 조정 된 인간 행동에 의해 실행됩니다. 운영자는 특정 목표를 가지고 있으며 숙련되고 의욕이 있고 조직적이며 자금이 풍부합니다. 배우는 주 후원 그룹에 국한되지 않습니다. [3] [8]

기준

기회주의에 대한 위협으로 기준을 정의하기위한 첫 번째 이론 중 하나 [11] -APT 연속체를 지속적이거나 비 지속적인 것으로 2010 년에 처음 제안했습니다. 이러한 APT 기준은 현재 업계에서 널리 사용되고 있으며 평가를 토대로 구축되었습니다. 다음 세부 정보 중 : [12]

  • 목표 – 위협의 최종 목표, 적.
  • 적시성 – 시스템을 조사하고 액세스하는 데 소요 된 시간입니다.
  • 리소스 – 이벤트에 사용 된 지식 및 도구 수준입니다.
  • 위험 허용 (적에 의한) – 위협이 탐지되지 않은 상태로 유지되는 정도입니다.
  • 기술 및 방법 – 행사 내내 사용되는 도구 및 기술.
  • 조치 – 위협 또는 수많은 위협의 정확한 조치입니다.
  • 공격 시작 지점 – 이벤트가 시작된 지점 수입니다.
  • 공격에 관련된 숫자 – 이벤트에 참여한 내부 및 외부 시스템의 수와 영향 / 중요도 가중치가 다른 시스템의 수.
  • 지식 소스 – 온라인 정보 수집을 통해 특정 위협에 대한 정보를 식별하는 능력.

역사와 목표

민감한 정보를 유출하기 위해 트로이 목마를 떨어 뜨리는 표적화 된 소셜 엔지니어링 이메일에 대한 경고 는 2005 년 영국 및 미국 CERT 조직에서 발표했습니다 .이 방법은 1990 년대 초에 사용되었으며 그 자체가 APT를 구성하지는 않습니다. "진보 된 지속적인 위협"이라는 용어 는 2006 년 미국 공군 에서 유래 한 것으로 인용되었으며 [13] Greg Rattray 대령이이 용어를 만든 사람으로 인용되었습니다. [14] 그러나, APT라는 용어는 이전에 통신 사업자 년 이내에 사용되었다. [ 인용 필요 ]

스턱 스넷 컴퓨터 웜 의 컴퓨터 하드웨어 타겟으로, 이란의 핵 프로그램은 , APT 공격의 한 예입니다. 이 경우이란 정부는 Stuxnet 제작자를 지능형 지속적 위협으로 간주 할 수 있습니다. [ 인용 필요 ]

컴퓨터 보안 커뮤니티 내에서 그리고 점점 더 미디어 내에서이 용어는 거의 항상 정부, 기업 및 정치 활동가를 겨냥한 정교한 컴퓨터 네트워크 착취의 장기적인 패턴과 관련하여 사용되며 확장 적으로 A , P 및 T는 이러한 공격 뒤에있는 그룹의 속성입니다. [15] 용어로 고급 지속 위협 (APT)는 컴퓨터 기반은 발생의 증가 수에 의한 해킹에 초점을 이동 할 수있다. PC World 는 특히 지능형 표적 컴퓨터 공격이 2010 년부터 2011 년까지 81 % 증가했다고보고했습니다. [16]

많은 국가의 배우들은 개인 및 관심있는 개인 그룹에 대한 정보를 수집하는 수단으로 사이버 공간사용했습니다 . [17] [18] [19] 미국 사이버 사령부는 미군의 공격과 방어 조정 역할을 수행합니다 사이버 작업을. [20]

많은 소식통은 일부 APT 그룹이 주권 국가의 정부와 제휴하거나 그 대리인이라고 주장했습니다 . [21] [22] [23] 다량의 개인 식별 정보를 보유한 기업 은 다음과 같은 지능형 지속적 위협의 표적이 될 위험이 높습니다. [24]

  • 고등 교육 [25]
  • 금융 기관
  • 에너지
  • 교통
  • 과학 기술
  • 보건 의료
  • 통신
  • 조작
  • 농업 [26]

Bell Canada 연구는 APT의 구조에 대한 심층적 인 연구를 제공하고 캐나다 정부 및 중요 인프라에 널리 퍼져 있음을 밝혀 냈습니다. 중국과 러시아 배우에게 귀속이 설정되었습니다. [27]

라이프 사이클

완료되면 반복되는 지능형 지속적 위협 (APT)의 라이프 사이클 단계적 접근 방식을 보여주는 다이어그램.

지능형 지속적 위협의 배후에있는 행위자 는 지속적인 프로세스를 따르거나 체인을 죽임 으로써 조직의 재무 자산, 지적 재산 및 평판 [28]증가하고 변화하는 위험을 생성합니다 .

  1. 단일 목표를위한 특정 조직 타겟팅
  2. 환경에서 발판을 확보하려는 시도 (일반적인 전술에는 스피어 피싱 이메일이 포함됨 )
  3. 손상된 시스템을 대상 네트워크에 대한 액세스로 사용
  4. 공격 목표를 달성하는 데 도움이되는 추가 도구 배포
  5. 향후 이니셔티브에 대한 액세스를 유지하기 위해 트랙 커버

모든 출처에서 나온 APT의 글로벌 환경은 특정 사건 또는 일련의 사건의 배후에있는 행위자에 대한 언급처럼 단수로 "the"APT라고도하지만 APT의 정의에는 행위자와 방법이 모두 포함됩니다. [29]

2013 년에 Mandiant는 유사한 수명주기를 따르는 2004 년에서 2013 년 사이에 APT 방법을 사용한 중국 공격 혐의에 대한 연구 결과를 발표했습니다 [30] .

  • 초기 침해제로 데이 바이러스를 사용하여 이메일을 통해 사회 공학스피어 피싱 을 사용하여 수행됩니다 . 또 다른 인기있는 감염 방법은 피해자의 직원이 방문 할 가능성이 높은 웹 사이트에 악성 코드심는 것입니다.
  • 기반 구축피해자의 네트워크에 원격 관리 소프트웨어설치하고 네트워크 백도어와 터널을 생성하여 인프라에 대한 스텔스 액세스를 허용합니다.
  • 권한 상승공격암호 크래킹 을 사용하여 피해자의 컴퓨터에 대한 관리자 권한을 획득하고 Windows 도메인 관리자 계정으로 확장 할 수 있습니다.
  • 내부 정찰 – 주변 인프라, 신뢰 관계, Windows 도메인 구조 에 대한 정보를 수집합니다 .
  • 측면 이동 – 다른 워크 스테이션, 서버 및 인프라 요소로 제어를 확장하고 데이터 수집을 수행합니다.
  • 현재 상태 유지 – 이전 단계에서 획득 한 액세스 채널 및 자격 증명을 지속적으로 제어합니다.
  • 완전한 임무 – 피해자의 네트워크에서 훔친 데이터를 추출합니다.

Mandiant가 분석 한 사건에서 공격자가 피해자의 네트워크를 제어 한 평균 기간은 1 년으로 가장 긴 기간은 거의 5 년이었습니다. [30] 침투는 주장 상하이 기반에 의해 수행 된 단위 61398인민 해방군 . 중국 관리들은 이러한 공격에 관여하지 않았습니다. [31]

Secdev의 이전 보고서는 이전에 중국 배우를 발견하고 연루 시켰습니다. [32]

완화 전략

수천만 개의 악성 코드 변형이 존재하므로 [33] APT로부터 조직을 보호하기가 매우 어렵습니다. APT 활동은 은밀하고 탐지하기 어렵지만 APT와 관련된 명령 및 제어 네트워크 트래픽은 정교한 방법으로 네트워크 계층 수준에서 탐지 할 수 있습니다. 다양한 소스의 심층 로그 분석 및 로그 상관 관계는 APT 활동을 감지하는 데 유용하지 않습니다. 합법적 인 교통에서 소음을 분리하는 것은 어렵습니다. 전통적인 보안 기술과 방법은 APT를 탐지하거나 완화하는 데 효과적이지 않았습니다. [34] 능동적 사이버 방어는 사이버 위협 인텔리전스를 적용 할 때 APT를 탐지하고 기소 (찾기, 수정, 완료)하는 데 더 큰 효과를 가져 왔습니다.사냥과 적의 추격 활동. [35] [36]

APT 그룹

중국

보안 연구원 인 Timo Steffens에 따르면“중국의 APT 환경은 대학, 개인, 민간 및 공공 부문의 기술을 활용하여 '전국'접근 방식으로 운영됩니다.” [37]

주요 그룹

이란

이스라엘

북한

러시아

미국

우즈베키스탄

베트남

또한보십시오

참고 문헌

  1. ^ "APT (Advanced Persistent Threat) 란 무엇입니까?" . www.kaspersky.com . 2019811 일에 확인 함 .
  2. ^ "What Is an Advanced Persistent Threat (APT)?". Cisco. Retrieved 2019-08-11.
  3. ^ a b c Maloney, Sarah. "What is an Advanced Persistent Threat (APT)?". Retrieved 2018-11-09.
  4. ^ a b "M-Trends Cyber Security Trends". FireEye. Retrieved 2019-08-11.
  5. ^ "Cyber Threats to the Financial Services and Insurance Industries" (PDF). FireEye. Archived from the original (PDF) on 11 August 2019.
  6. ^ "Cyber Threats to the Retail and Consumer Goods Industry" (PDF). FireEye. Archived from the original (PDF) on 11 August 2019.
  7. ^ "Advanced Persistent Threats: A Symantec Perspective" (PDF). Symantec. Archived from the original (PDF) on 8 May 2018.
  8. ^ a b c "Advanced Persistent Threats (APTs)". IT Governance.
  9. ^ "Advanced persistent Threat Awareness" (PDF). TrendMicro Inc.
  10. ^ "Explained: Advanced Persistent Threat (APT)". Malwarebytes Labs. 2016-07-26. Retrieved 2019-08-11.
  11. ^ "Reverse Deception: Organized Cyber Threat Counter-Exploitation". July 3, 2012 – via www.mheducation.com.
  12. ^ "Ben Rothke Slashdot". Retrieved 8 May 2019.
  13. ^ "Assessing Outbound Traffic to Uncover Advanced Persistent Threat" (PDF). SANS Technology Institute. Retrieved 2013-04-14.
  14. ^ "Introducing Forrester's Cyber Threat Intelligence Research". Forrester Research. Archived from the original on 2014-04-15. Retrieved 2014-04-14.
  15. ^ "Advanced Persistent Threats: Learn the ABCs of APTs - Part A". SecureWorks. SecureWorks. Retrieved 23 January 2017.
  16. ^ Olavsrud, Thor. "Targeted Attacks Increased, Became More Diverse in 2011". PCWorld.
  17. ^ "An Evolving Crisis". BusinessWeek. April 10, 2008. Archived from the original on 10 January 2010. Retrieved 2010-01-20.
  18. ^ "The New E-spionage Threat". BusinessWeek. April 10, 2008. Archived from the original on 18 April 2011. Retrieved 2011-03-19.
  19. ^ "Google Under Attack: The High Cost of Doing Business in China". Der Spiegel. 2010-01-19. Archived from the original on 21 January 2010. Retrieved 2010-01-20.
  20. ^ "Commander Discusses a Decade of DOD Cyber Power". U.S. DEPARTMENT OF DEFENSE. Retrieved 2020-08-28.
  21. ^ "Under Cyberthreat: Defense Contractors". BusinessWeek. July 6, 2009. Archived from the original on 11 January 2010. Retrieved 2010-01-20.
  22. ^ "Understanding the Advanced Persistent Threat". Tom Parker. February 4, 2010. Retrieved 2010-02-04.
  23. ^ "Advanced Persistent Threat (or Informationized Force Operations)" (PDF). Usenix, Michael K. Daly. November 4, 2009. Retrieved 2009-11-04.
  24. ^ "Anatomy of an Advanced Persistent Threat (APT)". Dell SecureWorks. Retrieved 2012-05-21.
  25. ^ Ingerman, Bret. "Top-Ten IT Issues, 2011". Educause Review.
  26. ^ Joaquin Jay Gonzalez III,RogerL.Kemp (2019-01-16). Cybersecurity: Current Writings on Threats and Protection. McFarland, 2019. p. 69. ISBN 9781476674407.
  27. ^ Government of Canada, Public Services and Procurement Canada. "Information archivée dans le Web" (PDF). publications.gc.ca.
  28. ^ "Outmaneuvering Advanced and Evasive Malware Threats". Secureworks. Secureworks Insights. Retrieved 24 February 2016.
  29. ^ EMAGCOMSECURITY (9 April 2015). "APT (Advanced Persistent Threat) Group". Retrieved 15 January 2019.
  30. ^ a b "APT1: Exposing One of China's Cyber Espionage Units". Mandiant. 2013.
  31. ^ "China says U.S. hacking accusations lack technical proof". Reuters. 2013.
  32. ^ "GhostNet" was a large-scale cyber spying operation" (PDF).
  33. ^ RicMessier (2013-10-30). GSEC GIAC Security Essentials Certification All. McGraw Hill Professional, 2013. p. xxv. ISBN 9780071820912.
  34. ^ "Anatomy of an APT (Advanced Persistent Threat) Attack". FireEye. Retrieved 2020-11-14.
  35. ^ "Threat Intelligence in an Active Cyber Defense (Part 1)". Recorded Future. 2015-02-18. Retrieved 2020-11-14.
  36. ^ "Threat Intelligence in an Active Cyber Defense (Part 2)". Recorded Future. 2015-02-24. Retrieved 2020-11-14.
  37. ^ Stone, Jeff. "Foreign spies use front companies to disguise their hacking, borrowing an old camouflage tactic". www.cyberscoop.com. Cyberscoop. Retrieved 11 October 2020.
  38. ^ "Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak". Symantec. 2019-05-07. Archived from the original on 2019-05-07. Retrieved 2019-07-23.
  39. ^ 2019-12-19. "Wocao APT20" (PDF).CS1 maint: numeric names: authors list (link)
  40. ^ Vijayan, Jai. "China-Based Cyber Espionage Group Targeting Orgs in 10 Countries". www.darkreading.com. Dark Reading. Retrieved 12 January 2020.
  41. ^ Lyngaas, Sean. "Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm". www.cyberscoop.com. Cyberscoop. Retrieved 16 October 2020.
  42. ^ Lyngaas, Sean. "Google offers details on Chinese hacking group that targeted Biden campaign". www.cyberscoop.com. Cyberscoop. Retrieved 16 October 2020.
  43. ^ 2019-10-16. "Double Dragon APT41, a dual espionage and cyber crime operation".CS1 maint: numeric names: authors list (link)
  44. ^ Writer, Staff. "Bureau names ransomware culprits". www.taipeitimes.com. Taipei Times. Retrieved 22 May 2020.
  45. ^ Tartare, Mathieu; Smolár, Martin. "No "Game over" for the Winnti Group". www.welivesecurity.com. We Live Security. Retrieved 22 May 2020.
  46. ^ Greenberg, Andy. "Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry". www.wired.com. Wired. Retrieved 7 August 2020.
  47. ^ Chen, Joey. "Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments". blog.trendmicro.com. Trend Micro. Retrieved 16 May 2020.
  48. ^ Cimpanu, Catalin. "Hackers target the air-gapped networks of the Taiwanese and Philippine military". www.zdnet.com. ZDnet. Retrieved 16 May 2020.
  49. ^ "Pioneer Kitten APT Sells Corporate Network Access". threatpost.com.
  50. ^ "Equation: The Death Star of Malware Galaxy". Kaspersky Lab. 2015-02-16. Archived from the original on 2019-07-11. Retrieved 2019-07-23.
  51. ^ Gallagher, Sean. "Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV". arstechnica.com. Ars Technica. Retrieved 5 October 2019.
  52. ^ Panda, Ankit. "Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19". thediplomat.com. The Diplomat. Retrieved 29 April 2020.
  53. ^ Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (October 8, 2020). Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa (eds.). "Lined up in the sights of Vietnamese hackers". Bayerischer Rundfunk. In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.

Further reading

Advanced Persistent Threat 그룹 목록