Cybersecurity

Guia Rápido: O que são Ameaças Persistentes Avançadas (APTs)?

By Zerum Team

Criado:
25 jun, 2020
2 anos atrás
Data da última atualização: 13/07/2020

Uma Ameaça Persistente Avançada (em inglês Advanced Persistent Threat – APT) é um tipo de ameaça cibernética que combina táticas e ferramentas avançadas para invadir a rede do alvo, evitar a detecção e persistir no ataque por quanto tempo for necessário até cumprir seu objetivo.

O termo, criado em 2006 pela Força Aérea dos EUA, deixa evidentes as duas características fundamentais de uma APT: a persistência e o uso de técnicas avançadas.

  • Persistência: APTs têm a motivação e o financiamento para persistirem no alvo escolhido. Os ataques podem durar meses ou mais, e englobar diversas tentativas.
  • Técnicas avançadas: APTs têm recursos robustos e habilidades, combinando técnicas como espionagem, engenharia social, customização de malware ou mesmo a criação de códigos maliciosos completamente novos, muitas vezes aproveitando-se de vulnerabilidades desconhecidas (zero-day).

Um incidente famoso envolvendo APT foi a violação de e-mails do Partido Democrata dos EUA, em uma tentativa de influenciar as eleições norte-americanas de 2016. Outro caso bastante divulgado foi o ataque ao programa nuclear iraniano com o worm Stuxnet, uma ação que acredita-se ter sido realizada pelo grupo APT Equation.

Com frequência, os responsáveis por esses ataques são financiados por Estados (state-sponsored threats) e têm motivações políticas, mas também existem grupos motivados simplesmente pelo lucro ou por questões ideológicas. Caso queira conferir, há uma lista de grupos de APTs no MITRE ATT&CK.

Como Ameaças Persistentes Avançadas (APTs) atuam?

O ciclo de vida de uma APT costuma passar pelas seguintes etapas:

  1. Definição do alvo e objetivos: A escolha do alvo está diretamente ligada à motivação do atacante e da entidade que o financia. Um grupo com motivação militar pode escolher como alvo a agência de energia de um país rival, por exemplo, enquanto outro motivado pelo lucro pode ser pago por uma empresa para roubar projetos confidenciais da concorrente.
  2. Coleta de informações e reconhecimento: Nesta etapa, o atacante estuda o alvo e recolhe o máximo de inteligência possível, incluindo informações pessoais de gestores e colaboradores, além de utilizar técnicas de engenharia social. Também pode lançar os primeiros ataques com malware commodity para testar as defesas da vítima.
  3. Armamentização: Com a inteligência coletada sobre as defesas e vulnerabilidades do alvo, o atacante seleciona, customiza ou mesmo cria o código malicioso mais adequado para cumprir sua missão, bem como o método de invasão a ser utilizado. Vale lembrar que APTs têm recursos robustos à sua disposição, sejam técnicos, financeiros ou humanos, portanto podem criar e executar ações complexas, que terão mais chance de sucesso que hackers comuns.
  4. Entrega: Uma das técnicas mais utilizadas por APTs para instalar o código malicioso no alvo é o spearphishing. Enquanto no phishing o hacker envia e-mails maliciosos indiscriminadamente, no spearphishing o atacante envia uma mensagem altamente personalizada para o seu alvo, como um CEO, por exemplo. Por usar informações pessoais coletadas na etapa 2, essa mensagem é convincente e tem mais chances de enganar a vítima. Além disso, o malware sob medida é invisível para antivírus, firewalls e outras defesas convencionais, porque sua assinatura nunca foi usada portanto não é conhecida por eles.
  5. Comando e controle: Uma vez instalado o malware, é estabelecido um canal oculto de comunicação entre a máquina infectada e o atacante. É através desse canal que as demais etapas do ataque APT serão orquestradas.
  6. Acesso a credenciais, movimentos laterais e escalação de privilégios: A partir desta etapa, o atacante fará o possível para se infiltrar mais e mais na rede até chegar ao seu objetivo, sempre de maneira furtiva. Isso inclui a busca por novas credenciais, movimentos laterais e, ao longo do processo, a obtenção de privilégios mais avançados de acesso e consequentemente a infecção de outros sistemas como servidores e bancos de dados.
  7. Descoberta de ativos e cumprimento do objetivo: Após explorar a rede da vítima, o atacante eventualmente acessa o seu objetivo, seja uma base de dados valiosa, um sistema de missão crítica ou comunicações confidenciais. O passo seguinte varia, mas sempre será feito de modo a evitar a detecção, exfiltrando dados de e-mails de maneira discreta ou eliminando rastros após executar um comando de sabotagem, por exemplo.

Como detectar Ameaças Persistentes Avançadas (APTs)?

Como ficou evidente, APTs usam métodos altamente sofisticados para driblar as defesas convencionais e, uma vez infiltradas, fazem de tudo para permanecer ocultas até concluírem seus objetivos. Ferramentas como antivírus e firewalls não são capazes de detectá-las.

E também não adianta simplesmente tentar identificar e “fechar” todas as vulnerabilidades, porque são muitas e o próprio atacante pode criar uma nova (zero-day) que não seria detectada num teste de vulnerabilidades.

O que fazer então?

Ter visibilidade sobre o que acontece na sua rede, servidores e dispositivos IOT, é crucial no combate às APTs. O SANS Institute, autoridade mundial em cibersegurança, lembra que “[…] uma vez que a APT invade um sistema, ela é muito sofisticada no que faz e em como funciona. Análise de assinatura é inefetiva na proteção contra ela. Ataques avançados estão sempre mudando, recompilando em tempo real e utilizando criptografia para evitar a detecção”.

O Infosec Institute, outra entidade reconhecida mundialmente na área, reforça: “Diferente de botnets que tem um alto volume de tráfego com PCs zumbis, o tráfego de C&C de uma APT é intermitente e de baixo volume, tornando-o difícil de detectar. Atacantes também tomam medidas para continuarem despercebidos mudando continuamente endereços de IP ou redirecionando tráfego via servidores proxy. Comunicações C&C que se mesclam com tráfego web normal, usam ou imitam apps e sites legítimos ou usam servidores internos criados por eles mesmo não podem ser detectadas sem monitoramento avançado de rede.

Portanto, a solução para esse desafio é sem sombra de dúvida o uso de ferramentas de análise de tráfego de rede (Network Traffic Analysis – NTA) como o Zerum Lynx. Com essa tecnologia, você consegue monitorar, em tempo real, todo o tráfego da rede. Afinal, se uma ameaça já passou pela barreira do antivírus e é desconhecida, não existe no mundo uma atualização ou varredura de sistema que vá encontrar o código malicioso na máquina. É preciso detectar a ameaça enquanto ela se movimenta entre um dispositivo e outro. Essa visibilidade é essencial para identificar os ataques nos estágios iniciais, impedindo que causem danos.

E mesmo com visibilidade, identificar os rastros de uma APT em meio a milhões de transações não é uma tarefa simples. É por isso que, combinado à análise de tráfego de rede, o Zerum Lynx utiliza recursos de Inteligência Artificial.

Seus algoritmos observam o comportamento de usuários e máquinas (incluindo IoT) e identificam qualquer comunicação suspeita, como uma transmissão de dados ou acesso a servidor externo fora de hora. Outros recursos integrados à solução, como Threat Intelligence e Streaming Malware Detection potencializam essas detecções e oferecem uma camada inteligente de segurança à sua organização.

Por fim, é preciso responder rápida e adequadamente aos incidentes uma vez que são detectados. APTs mudam constantemente, se adaptando ao ambiente em que estão infiltrados para evitar a detecção. Por isso, a resposta precisa ser rápida e assertiva, bem como a posterior análise forense.

Nesse ponto, oferecemos o serviço Zerum Threat Hunting On-Demand, realizado por nossos melhores especialistas em segurança cibernética com a tecnologia do Zerum Lynx. Com ele, você tem busca pró-ativa por ameaças infiltradas e todo o apoio para mitigá-las.

Para saber mais, não deixe de conferir nosso Webinar gratuito sobre Advanced Persistent Threats (APT). Nele apresentamos passo a passo as técnicas utilizadas pelo atacante e mostramos na prática como usar o Lynx para detectá-lo.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato!

Related articles

...
A Tríade de Visibilidade do SOC: NDR + EDR + SIEM

Há muita incerteza a respeito do Network Detection and Resp

3 dias atrás

By Zerum Team

...
Zerum MDR: Serviço Gerenciado de Detecção e Resposta a Incidentes

“Os serviços de MDR estão atendendo à necessidade d

3 meses atrás

By Zerum Team

...
Guia Rápido: O que é Network Detection and Response (NDR)?

Em 2020, a Gartner atualizou a definição de Network Traffi

1 ano atrás

By Zerum Team