Šta je Advanced Persistant infrastruktura?
Čuli ste za APT - Advanced Persistant Threats, a za AP infrastrukturu?
Stručnjaci za bezbednost s pravom posvećuju dosta pažnje naprednim upornim pretnjama – APT. Veoma je teško braniti se od APT-a ukoliko se haker „nameračio“ na konkretnu organizaciju. Međutim, fokus na APT često znači da se zanemaruje jedan drugačiji vektor napada – napredna uporna infrastruktura.
Ljudi imaju naviku da pretnje posmatraju izolovano, ignorišući istorijske poveznice. Na taj način, propuštaju se vitalne informacije o napadima. U ovom slučaju, napadači koriste obrasce koji nisu na vreme primećeni. Napadači ne kupuju novi server za svaki novi napad, već koriste iste IP adrese i domene u više kampanja.
Apache Struts primer
Evolucija Apache Struts ranjivosti je dobar primer kako napadači koriste naprednu upornu infrastrukturu kao vektor napada. U 2014. godini, desilo se više eksploatacija Struts ranjivosti. Početkom ove godine, otkriveno je da je došlo do eksploatacija ranjivosti Struts 2. Dve su pratile jasan obrazac.
Prikupljeni su podaci o aktuelnim pretnjama u više velikih sektora privrede, poput maloprodaje, finansijskih usluga, clouda i zdravstvene zaštite. U proteklih mesec dana, posebno se ističu indikatori kompromitovanosti (IOCs) koji se povezuju sa Apache Struts 2. Analizom istorijskih podataka o Struts 1 i Struts 2 ranjivostima, zaključeno je da se IP adrese koje su korišćene u prvobitnim Struts eksploatacijama ponovo koriste i za novi Struts. Iz toga su izvučena 2 interesantna zapažanja:
- Taktike se menjaju, ali IP adrese ostaju iste. Osim ukoliko nije u pitanju kriminalna organizacija velikih razmera, većina hakera nema novca da iznova kupuje nove IP adrese i domene. Posledično, kada se određena IP adresa pojavi, velika je verovatnoća da će zaposleni zaduženi za bezbednost moći da utvrde njenu istoriju i da je precizno povežu sa ranijim kampanjama.
- Hakeri računaju na lenjost odbrane. Povezanost između Struts 1 i Struts 2 potvrdila je sledeće – kada se obelodani nova zero-day ranjivost, kompanije najčešće presporo vrše zakrpe. Sajber kriminalci znaju da moraju da deluju brzo kako bi eksploatisali ranjivost. Nove napade najčešće lansiraju tako što izvrše određene modifikacije svog omiljenog malvera i iskoriste IP adrese i domene iz postojeće infrastrukture.
Prepoznavanje načina na koji napadači određene IP adrese i domene iznova koriste može pomoći odbrani da predvidi potencijalne napade. Pogledajte svoju istoriju aktivnosti. To će vam dati ideju čega bi trebalo da se čuvate. Kada primetite novu verziju ili varijantu poznatog malvera, pratite stare IP adrese i domene koji su direktno povezani sa novom aktivnošću.
Razumevanje načina na koji hakeri više puta koriste istu infrastrukturu će vam pomoći da locirate ranjive delove mreže i da ih zaštitite od novih pretnji i modifikovanih starih malvera.
Izvor: darkreading.com.