چرا در اين همايش شركت كرده ايم ؟

زيرساخت هاي مهم و حياتي ملي ما از موسسات خصوصي و دولتي متعددي در

: حوزه هاي مختلفي نظيركشاورزي ، آب ، بهداشت ، سرويس هاي

صنايع دفاعي ، فناوري اضطراري ،حمل و اطالعات و ارتباطات ، انرژي ،

... نقل ، بانكداري ، مالي و. تشكيل شده است

چرا در اين همايش شركت كرده ايم ؟

فضاي مجازي ، شامل صدها هزار دستگاه كامپيوتر متصل شده به هم

، سرويس دهندگان ، روترها ، سوئيچ ها و كابل هاي فيبر نوري است كه امكان فعاليت زيرساخت هاي حياتي ما را فراهم مي نمايند

چرا در اين همايش شركت كرده ايم ؟

استراتژي ملي براي ايمن سازي ، مي بايست

بخشي از تالش جملگي ما

جهت حفاظت ملي باشد

چرا در اين همايش شركت كرده ايم ؟

اهداف استراتژي ملي : پيشگيري از حمالت سايبري كه متوجه زيرساخت هاي

حياتي است

كاهش نقاط آسيب پذير در مقابل حمالت

حداقل خرابي و زمان ريكاوري پس از وقوع حادثه

چرا در اين همايش شركت كرده ايم ؟

امنيت ملي و اقتصاد ما كامال” وابسته به فناوري اطالعات و زيرساخت هاي اطالعاتي

شده است ) و يا دارد مي شود ! (

در هسته زيرساخت اطالعاتي ، اينترنت قرار تحقيقات اشتراك هدف با ابتدا در ك\ه دارد به تمايل\ي هيچگون\ه ك\ه دانشمندان\ي بي\ن ايجاد ، نداشتند از شبك\ه نادرس\ت اس\تفاده

شده بود

چرا در اين همايش شركت كرده ايم ؟

پنج اولويت مهم استراتژي ملي براي ايمن سازي فضاي سايبري :

سيستم پاسخ به امنيت در فضاي سايبري پذير آس\يب نقاط و تهديدات كاه\ش برنام\ه

ملي ي\ك برنام\ه آموزش\ي و اطالع رساني ايمن سازي فضاي مجازي خدمات دولتي همكاري امنيت ملي و امنيت بين المللي

چرا در اين همايش شركت كرده ايم ؟

افزايش تعداد نقاط آسيب پذير و يا حمالت به دليل ضعف در اطالع رساني و آگاهي طيف گسترده اي از

:

كاربران كامپيوتر مديران شبكه مديران سيستم پياده كنندگان فناوري طراحان و پياده كنندگان نرم افزار مميزهاي امنيت اطالعات ... و

صورت مي پذيرد.

چرا در اين همايش شركت كرده ايم ؟

با شركت در اين نوع همايش ها و يا دوره هاي آموزشي مرتبط

در جهت پياده سازي گام مثبتيك

يك برنامه آموزشي و اطالع رساني و كاهش تهديدات و نقاط آسيب پذير

ملي

برداشته ايم

تهديدات پيشرفته ماندگارAPT

Advanced Persistent Threat محمد جواد سخايي Sakhaee@Srco.irSakhaee@hotmail.com

1389آذر ماه مركز آموزش مخابرات ايران–تهران

: :سرفصل: :

مقدمه

مروري بر تهديدات ) گذشته ، حال ، آينده ( APTچيست ؟

اهداف و انگيزه هادامنه تخريب چرخه حيات

در عمل APTعملكرد روش هاي مقابله است ؟APTآيا استاكس نت يك نوع خالصه

: :مقدمه: : با اين كه شركت ها ، سازمان ها و موسسات

متعدد چندين سال است كه با حمالت سايبري سروكار داشته و به نوعي هدف اين نوع از حمالت

قرار گرفته اند ، ولي اخيرا" با موج جديدي از حمالت مواجه شده اند كه داراي پيچيدگي بمراتب بيشتري

نسبت به گذشته بوده و از تالش مستمر و بي وقفه مهاجمان جهت نيل به اهداف آنها حكايت دارد .

ه اين نوع حمالت ، بAPT. گفته مي شود در حمالت از نوعAPT مهاجمان بر روي يك ،

و با استمرار فعاليت خود در يك هدف متمركز شده و سرقت بازه زماني طوالني ، اقدام به جمع آوري

. اطالعات مي نمايند

: :مقدمه: : در اين گونه حمالت ، مهاجمان هيچگونه اصراري

موفقيت خود را سريعا" ندارند كه دستاوردهاي بلكه برعكس ، تمايل دارند تا جايي هويدا سازند

كه امكان دارد به صورت مخفي عمليات مخرب خود را ادامه دهند تا بتوانند اطالعات بيشتري را جمع

آوري و سرقت نمايند. در حمالت APT اطالعات هدف كامال" خاص مي ،

باشند . مهاجمان به دنبال جمع آوري و كنكاش هر چپزي كه در مسير آنها قرار مي گيرد، نمي باشند .

رموز صنفي ، سرمايه هاي فكري و دارايي هاي غير ملموس از اولين اهداف آنها مي باشد

مهاجمان در صورتي كه بتوانند به سادگي بهاطالعات شخصي و يا داده كارت اعتباري دستيابي

، ممكن است اين نوع اطالعات را نيز پيدا نماينددستكاري نمايند ولي در حالت كلي ، سرقت

به عنوان هدف اوليه در دستور ، اطالعاتي اين چنين كار آنها قرار ندارد .

: :مقدمه: : استفاده از يك فناوري و يا فرآيند به تنهايي ، نمي

تواند توقف اين نوع حمالت را به دنبال داشته باشد .

با بكارگيري روش هاي كالسيك امنيتي نمي توان انتظار موفقيت در برخورد با اين نوع از حمالت را

داشت . تعداد زيادي از سازمان ها در مقابل اين گونه

حمالت آسيب پذير مي باشند چرا كه تمامي سرمايه گذاري آنها در مقوله امنيت مبتني بر روش هاي

استكالسيك سيستم هاي تدافعي موجود و مرسوم استفاده از

و مي بايست از رويكردهاي به تنهايي كافي نبوده با چاالكي بيشتر براي حفاظت در مقابل اين جديد و

گونه تهديدات استفاده كرد .

: :مقدمه: : ش الزمjن دانjي ، داشتjه تدافعjن اليjبكارگيري چندي

در خصjjjوص تهديدات و كسjjjب مهارت هاي پيشرفتjjjه جهjت تشخيjص و واكنjش مناسjب و بjه موقjع در مقابjل اين گونه حمالت امري ضروري و اجتناب ناپذير است .

چشم انداز تهديدات در حال تغيير است ، فزاينده مي باشند خطرات

و سازمان ها الزم است فرضيه ها و

رويكردهاي خود را نسبت به امنيت

اطالعات تغيير دهند .

مروري بر تهديدات )گذشته ، حال ، : :: :آينده(

واقعيت اين است كه اينترنت در گذشته اي نهچندان دور محيطي بود كه كاربران در آن محيط به

يكديگر بيشتراعتماد مي كردند . رفتارهاي بد و يا غيرمتعارف كاربران بيش از آنكه نشاندهنده يك حمله باشد ، بيانگر نوعي شيطنت بود كه انگيزه آن نوعي

اعتراض به وضع موجود و يا به رخ كشيدن توانمندي خود بود .

به موازات رشد و گسترش اينترنت ، بر پيشاني آن تصويري از دنياي واقعي نقش بست.

اينترنت به محلي براي دوستان ، بستري مناسب براي فعاليت بنگاه هاي تجاري ، تفرجگاهي مناسب براي گذراندن اوقات بيكاري و سرگرمي ،

مكاني مناسب براي حضور تمامي آدم ها با نيت خوب و بد تبديل شد.

مروري بر تهديدات )گذشته ، حال ، : :: :آينده(

متناسب با رشد مهاجمان ساده و بي حيله : و گسترش عمومي اينترنت ، رفتار بد از شيطنت به

سمت قلدري و يا ترساندن ديگران هدايت گرديد . جنگجويان سايبري جديدي در عرصه اينترنت هويدا شدند كه از اينترنت به عنوان محلي براي ارتكاب

جرم و فعاليت هاي مخرب خود استفاده مي كردند.اين نوع مهاجمان اكثر فعاليت هاي مخرب

خود را محدود به خودشان مي كردند . فعاليت تبهكاري و جاسوسي سيستماتيك

: متناسب با رشد فعاليت هاي تجاري بر روي اينترنت ، شاهد رشد جاسوسي سيستماتيك بوديم كه در آن بين روش هاي هك و شيوه هاي جاسوسي يك اتحاد

ناميمون شكل گرفت .

مروري بر تهديدات )گذشته ، حال ، : :: :آينده( APT : امروزه اينترنت يك زيرساخت حياتي براي

فعاليت هاي تجاري را فراهم كرده اكثردولت ها و است . همين موضوع باعت شده است كه براي يك گروه جديد از مهاجمان جذابيت بيشتري ايجاد گردد.

سازمان هاي جنايي و گروه هاي تروريست سايبري ، سازمان هاي خاصي را مورد هدف قرار مي دهند.

، در صورتي كه يك حمله با موفقيت توام نباشدحمله ديگري با هدف نيل به موفقيت آغاز مي گردد .

اين وضعيت به دفعات تكرار خواهد شد.ماهيت ماندگاري و يا اصرار بر تداوم حمالت تا نيل به

موفقيت ، باعث شده است كه اين نوع تهديدات خطرات بمراتب بيشتري داشته باشند و حفاظت در

مقابل آنها بيش از هميشه مهم و حياتي باشد . حمالت اخير به منزله زنگ بيدار باشي است براي سازمان

ها و كارشناسان حرفه اي امنيت اطالعات تا بتوانند اين سطح جديد از تهديدات را شناسايي نمايند .

مروري بر تهديدات )گذشته ، حال ، : : : :آينده(

: :APTچيست؟ : :: انواع تهديدات

opportunistic threat (OT)- تهديدات مبتني بر فرصت شناسي

APT- تهديدات با اين كه ممكن است نتايج هر دو نوع تهديد مشابه

باشد ) نظير جاسوسي ،دستيابي غيرمجاز و سرقت ( ولي انگيزه هاي پشت سر هر يك از اين نوع تهديدات

كامال" با يكديگر متفاوت است . نمونه اي از يك تهديد مبتني بر فرصت طلبيشناسايي ضعف و بهره برداري از فرصت ايجاد شده

در يك هدف ميليون شماره كارت 40 نمونه بارز آن سرقت

توسط شخصي به نام “آلبرت 2007اعتباري در سال گونزالز” بود .

: :APTچيست ؟ در صورتي كه اين فرصت بوجود ::

نمي آمد ، آنها ممكن بود به سراغ هدف ديگري بروند

بيسjjت سjjال محكوميjjت براي آلjjبرت گونزالjjjز كjjjه در بزرگتريjjjن سjjjرقت شماره كارت هاي اعتباري در تاريjjjjjjخ

، فرصjت هjا بودنjد كjه زمينه حمالت را OTدر تهديدات امريكادر ضعف ، پيكربندي در ضعjف . كردنjد مjي فراهjم طراحjي و پياده سjازي برنامjه هاي وب و ... فرصتي را مي آjن بjه اسjتناد بjا مهاجمان كjه كرد مjي ايجاد و سازمان يjjك عليjjه بر را خود حمالت توانسjjتند

زيرساخت فناوري اطالعات سازماندهي نمايند

: :APTچيست ؟ داراي رفتاري متفاوت مjي باشنjد ، در APTتهديدات ::

صjورتي كjه ضعفjي در هدف شناختjه شده آنان نباشjد ، مهاجمان بjه دنبال شناسjايي ضعjف ديگjر در هدف خود

ايjن فرآينjد را تjا زمانjي كjه بتواننjد بjه درون وخواهنjد بود هدف نفوذ پيدا نمايند ، ادامه خواهند داد .

يjjك نوع حمالت سjjازماندهي شده و APTحمالت پيچيده مjjي باشنjjد كjjه بjjا هدف دسjjتيابي و سjjرقت

.سازماندهي مي شونداطالعات از كامپيوتر APT ص وjjگ ، مشخjjي از هكرهاي هماهنjjه گروهjjب

كjه بjه طور سjيستماتيك طالق مjي گردد پيچيده ا ، اطالعاتي و ... تجاري زيرسjاخت حياتjي ، شبكjه هاي

مورد حمله قرار مي دهند . كشورها را

: :APTچيست؟ : :

درطي پنج سال گذشته ، شاهد يك تغيير چشمگيردر ارتباط با رويدادهاي امنيتي بوده ايم . مهاجمان

بطرز چشمگيري نفوذ خود را بر روي اهداف دولتي ، دفاعي ، تحقيقاتي ، توليدكنندگان ، متمركز كرده اند .

نفوذ ، توسط گروهي از هكرها كه به خوبيسازماندهي مي شوند و از حمايت مالي خوبي

برخوردارند ، صورت مي پذيرد.و سرسختي آنها بسيار ي نفوذانگيزه ها ، روش ها

متفاوت است با روشي كه هكرها در گذشته بكار مي گرفتند . آنها ، حرفه اي بوده و ميزان موفقيت آنها

بسيار باال مي باشد .

: :APTچيست؟ : :

APT هر هدفي را كه تمايل داشته باشند بطور ، موفقيت آميز تحت تاثير قرار خواهد داد .

سياست هاي دفاعي كالسيك بكار گرفته شده درخصوص امنيت اطالعات در رابطه با آنها كارساز نمي

باشد هكرها بطور موفقيت آميز از دست آنتي ويروس

ها و ابزارهاي تشخيص نفوذ و ساير ابزارهاي موجود فرار كرده و گير نخواهند افتاد

”آنها حتي مي توانند گروه “پاسخ به حوادث امنيتي را گول زده و به صورت ناشناس و غيرقابل تشخيص درون شبكه هدف باقي بمانند و هدف آنها بر اين باور

باشد كه آنها را قلع و قمع كرده است .

: :APTچيست؟ : :

هكرهايAPT متفاوت مي باشند . آنها راهي را ، ايجاد مي نمايند كه بتوانند هر زمان كه خواستند

مجددا" برگردند و اقدام به سرقت اطالعات مورد نظر خود نمايند و به صورت غير قابل تشخيص باقي

نسبت به گذشته بمانند . اين يك تفاوت بسيار بزرگاست .

كار ) حجم عمليات ، لجستيك عملياتي ، ابعاد ، نشاندهنده حمايت APTمديريت عمليات ( در

گسترده دولت ها از اين نوع حمالت است . هدف عمده در حمالتAPT نفوذ غيره مشهود و

مستمر در سازمان هاي هدف است تا بتوان در يك محدوده زماني طوالني تر به اطالعات

بيشتري دست يافت و شعاع تخريب را افزايش داد .

: :APTچيست؟ : : اjمبارزه بAPT دjك فرآينjتمر يjك تالش مسjد يjه نيازمنjت كjه اسjي وقفjب

الزم بjه منظور پاك كردن شبكه هjا از تهديدات اسjت . سازمان هاي هدف عمليات زيjر را بjا سjرعت بيشتjر ، توان بيشتjر و موثرتjر انجام دهنjد اسjت

.

: :اهداف و انگيزه ها: :انگيزه صنايع هدف

سرقت مالكيت فكريسرقت اطالعات طبقه بندي شده دولتي

پيمانكاران دولتي

رويسjه سjت اختالل در ارايjايبري و قابليjم سjتروريسهاي حياتي و زيرساختي در يك كشور

صنايع زيرساخت حياتي

والتjjه محصjjه منظور ارايjjت فكري بjjرقت مالكيjjسكjم تjر جهjت رقابتjي و بازاريابjي بjا صjرف هزينjه هاي

سرمايه گذاري و تحقيق و توسعه يjذ جايگاه رقابتjازماني براي اخjز و راز سjرقت رمjس

خود در معjامالت

ارايه دهندگان فناوري

والتjjه محصjjه منظور ارايjjت فكري بjjرقت مالكيjjسكjم تjر جهjت رقابتjي و بازاريابjي بjا صjرف هزينjه هاي

سرمايه گذاري و تحقيق و توسعه يjذ جايگاه رقابتjازماني براي اخjز و راز سjرقت رمjس

خود در معjامالت

كارخانجات بjا فعاليjت خارج از كشور

سرقت اطالعات هويتي اشخاص براي اخاذي مراكjjjjjjjز پزشكjjjjjjjي حاوي ركوردهاي ارزشمند

) كjم و موزيjر فيلjه نشده ) نظيjرقت محتويات ارايjسبازار سياه براي فروش در

رسانه ها و سرگرمي

اختالل در بازارهاي مالي سرقت پول

سرويس هاي مالي و بيمه اي

: :دامنه تخريب: :الف ( بروز خرابي در اطالعات و يا منابع

) تروريسم سايبري\ (

بروز اشكال و يا خرابي منابع در سازمان هدف نظيروب سايت ، مخازن داده ، برنامه ها ، زيرساخت هاي

حياتي در يك كشور نظير سيستم حمل و نقل ، سيستم هاي نيروگاهي و ...

ويژگيAPTاز منظر تروريسم سايبري ، سماجت در تداوم حمالت تا رسيدن به نتيجه است .

ايدئولوژيكي ، داراي و به داليل سياسي مهاجمان و تا نيل به موفقيت آن در ذهن خود مي باشند يهدف

را متوقف نمي نمايند .

ب ( سرقت اطالعات

: :چرخه حيات: :

: :چرخه حيات: : : شناسايي مرحله اول

اولين آjن ضعjف نقاط بررسjي و هدف شناسjايي مرحله در هرگونه حمالت است .

دستيابي به آدرس و مشخصات قربانيان از طريق وب سايت هاي عمومي و استفاده از آنها ) به عنوان

نمونه ، ارسال پيام هاي معني دار ( به منظور حمالت برنامه ريزي شده مبتني بر مهندسي اجتماعي

: :چرخه حيات: : : نفوذ اوليه درون شبكه مرحله دوم

در حمالتAPT ن روش برايjت از چنديjن اسjممك . متداولتريjن گردديjك سjازمان اسjتفاده نفوذ در شبكjه

و موفjق تريjن آنهjا ، اسjتفاده از مهندسjي اجتماعjي از طريjق پسjت الكترونيكjي اسjت . از ايjن روش بjا عنوان

Spear Phishing. نام برده مي شود هكرهايAPT ي از افراد خاص را ازjjjjتعداد كم ،

طريق يك پست الكترونيكي جعلي هدف قرار مي دهند . مثال" در صjورتي كjه تعدادي از كاركنان يjك سjازمان

كرده در يjjك كنفرانjjس كاري و يjjا سjjمينار شركت ممكjن اسjت اقدام بjه ارسjال يjك APT، هكرهاي باشنjد

پيام الكترونيكjي از يكjي از سjخنرانان در سjمينار براي د . پيام الكترونيكjjي جعلjjي ممكjjن نjjسjjاير كاربران نماي

اسjت شامjل يjك فايjل ضميمjه و يjا لينjك بjه يjك فايjل فايل ( باشد. ZIPفشرده )

: :چرخه حيات: : : نفوذ اوليه درون شبكه مرحله دوم

ي از چندين روشjل يكjد شامjي توانjل فشرده مjفاينفوذ باشد :

يك فايل .chm شامل بدافزار يك فايل آفيس نظير گيرنده سjرويس افزارهاي نرم سjاير

آكروبات ريدر

دjي اطالعات جديjه زمانjه چjد كjي داننjمهاجمان م معموال" در سjاعات .در دسjترس و موجود مjي باشjد

بامداد4 بعدازظهjjر تا 10آخjjر شjjب و بيjjن سjjاعت زماني مناسب براي نفوذ مي باشد .

: :چرخه حيات: : ( در Backdoor: ايجاد يك بك دور) مرحله سوم

شبكه حساس اطالعات آوردن دسjت بjه جهjت تالش

مديريتي دامنه شبكه و ارسال آنها به خارج از شبكه

ك ردپاي قوي از خود را درjjjjه يjjjjمهاجمان در اداممحيjjط ايجاد مjjي نماينjjد . ايjjن كار از طريjjق حركjjت زيرزمينjي در شبكjه و نصjب چنديjن بjك دور بjا پيكربندي

.هاي مختلف انجام مي شود

بدافزار با مجوز سطح دستيابي سيستم و از طريق ( Process Injection رjتغيي ،

نصjب مjي ريجسjتري و يjا سjرويس هاي زمانبندي شدهگردد .

: :چرخه حيات: : ( در Backdoor: ايجاد يك بك دور) مرحله سوم

شبكهبرخي از ويژگي هاي بدافزار :

بدافزار بطور پيوسته خود را بهنگام مي نمايد . بدافزار از روش هاي رمزنگاري و كدهاي

غيرشفاف و مبهم جهت ترافيك خود بر روي شبكه استفاده مي نمايند .

ه ايjjjjjjjع كتابخانjjjjjjjبدافزار مهاجمان از تواب مي نمايند . مايكروسافت استفاده

يjاس و حياتjبدافزار مهاجمان از اطالعات حسمjي نماينjد تjا عملكرد آنهjا كاربران معتjبر اسjتفاده

همانند ساير كاربران معتبر جلوه نمايد . به ارتباطاتinbound . گوش نمي دهند

: :چرخه حيات: :: به دست آوردن اطالعات مرحله چهارم

حساس كاربران

ه ،مهاجمانjن را مورد حملjب كنترل كننده داميjاغل قرار مjي دهنjد تjا از ايjن طريjق بتواننjد بjه اكانjت كاربران

( دسjjjjjتيابي پيدا Hashedو رمزهاي عبور كjjjjjد شده )نمايند .

يjاس كاربران محلjن اطالعات حسjمهاجمان همچنيرا از طريjق سjيستم هائjي كjه تحjت كنترل مjي گيرنjد ،

به دست مي آورند .

نjمزاحميAPT هjا" بjه 40 تقريبjيستم بر روي شبكjس هدف و بjا اسjتفاده از اطالعات حسjاس كاربران كjه بjه

دست آورده بودند ، دستيابي داشتند .

: :چرخه حيات: :: نصب برنامه هاي كاربردي\ مرحله پنجم

مختلف

هjjjيستم هاي هدف ، اقدام بjjjمهاجمان بر روي ستوانمندي هاي مختلفjي بjا متعددنصjب نرم افزارهاي

:مي نمايند

نصبBackdoor Dumpرمزهاي عبور به دست آوردن نامه هاي الكترونيكي از طريق

سرويس دهنده jليست پردازه هاي در حال اجراءرو فعاليت هاي بسيار ديگ

: :چرخه حيات: :افزايش مجوزها ، حركات : مرحله ششم

زيرزميني ، خارج كردن داده ردپاي ايمنيك ايجاد پس از :

، مjي و ضمائjه هاي الكترونيكjر نامjخارج كردن داده نظيفايjل هاي موجود بر روي ايسjتگاه هاي كاري و يjا فايjل هاي

پروژه موجود بر روي سرويس دهندگان معموال" فشرده شده و درون يك فايل دادهRAR حفاظت شده

توسط يك رمز عبور و يا فايل هاي كابينت مايكروسافت ) فايل هايي قرار مي گيرند . . ) cabبا انشعاب

ع دادهjت " براي تجميjرويس دهندگان موقjمهاجمان معموال" از "س مي نمايند. سرقت شده استفاده

لjت ، فايjرويس دهندگان موقjس از خارج كردن داده از روي سjپ مي گردند هاي فشرده حذف

چرخه حيات ، مرحله ششم: خارج كردن : :: :داده

: :چرخه حيات: : حضور ماندگار: مرحله هفتم

س ازjاز پ خارج به داده ارسjال در موفقيjت شبكه ، مهاجمان سjعي مي كنند تا ردپاي بيشتري را بر روي سjيستم هاي هدف ايجاد نماينjد . تjا در آينده و به منظور كسjب اطالعات بيشتjر ، مجددا” بjه آjن مراجعه

نمايند .

حضور ماندگار ، يكي از ويژگي هاي پيچيده تهديدات مي باشد . APTاز نوع

: : در عملAPTعملكرد : : توسط برنامه هاي APTتشخيص حمالت از نوع

ويروس ياب

24%

76%

0%10%20%30%40%50%60%70%80%

توسطبرنامههايويروسياب APT تشخيصحمالتازنوع

تشخيص عد\متشخيص

: : در عملAPTعملكرد : : ايجاد مي outband صjرفا” ترافيjك APTحمالت از نوع

نمايند .

17%

83%

0%10%20%30%40%50%60%70%80%90%

جهتارسالداده APT پورتاستفادهشد\هدرحمالت

سايرپورتها ويا 443 پورت 80

: : در عملAPTعملكرد : : TCP پروتكل 443 و 80وضعيت ارسال داده با استفاده از پورت

29%

71%

0%10%20%30%40%50%60%70%80%

وضعيتارسالداده

متنمعمولي رمزشد\ه

: :چه بايد كرد؟: :هjjك حملjjت يjjتبراي موفقيjjبايس مjjي دو مرحلjjه

:شودعمليات با موفقيت انجام توزيع بدافزار اجراي مخف\\ي و بدون س\\رو ص\\داي ك\\د

بدافزار

بايست مjي تهديدات نوع ايjن بjا برخورد براي اقدامات الزم جهjت عدم تحقjق هjر يjك مراحل اشاره

شده را انجام داد .

: :چه بايد كرد؟: :ايجاد قابليت جمع آوري هوشمند تهديدات

دjع آوري هوشمنjت جمjت قابليjي بايسjا مjازمان هjتهديدات س را بjه و فرمولjه كردن پاسjخ هاي تاكتيكjي و اسjتراتژي ايجاد ينjگمنظور مانيتور

.نمايند

تjي بايسjم j، ن گروهjه اي امنيت اطالعات ايjان حرفjل كارشناسjشام تهديدات جاري ، تحليjل و تفسjير ميزان ينjگكjه وظيفjه آنهjا مانيتورباشjد

اثرگذاري ايjjن تهديدات در سjjازمان و انجام تغييرات موثjjر در ارتباط بjjا كنترل هاي امنيتjي سjازمان ) تاكتيjك هjا ( و اسjتراتژي كلjي امنيتjي باشjد .

هjا ، ارايjر از فناوري هjا تهديدات متاثjط بjه نظرات مرتبjت نقطjمديريمسjjjتمر گزارشات در خصjjjوص تهديدات بالقوه موجود براي سjjjازمان ،

از جملjه مهمتريjن وظايjف ايjن گروه جمjع آوري داده از منابjع مختلjف . گرددمحسوب مي

ب وضعيتjش مناسjي شنوا و دانjي باز ، گوشjا چشمانjت بjي بايسjم موجود را بطور كامال” هوشمندانه رصد كرد . داشتن چه چيزي مي تواند قرار تهديد معرض در چيزي چjه ؟ نمايjد فراهjم را تهديjد بروز زمينjه

دارد ؟ علت آسيب پذيري ما چيست ؟ و ...

: :چه بايد كرد؟: :ب\ه حداق\ل رس\اندن عرضه

بدافزار APT نحوه توزيع

اينترنت دانلود درايور هاي نامه ضمائjjjم

الكترونيكي اشتراك فايل وم بهjنرم افزارهاي موس

Keugen فيشينگ مسير تغييjjر DNS و

روتينگ

فيزيكي استفاده از USB آلوده از اسjjتفاده CD يا و

DVD آلوده هاي كارت از استفاده

حافظه آلوده هاي برنامه از اسjتفاده

آلوده در موجود دور بك

ITتجهيزات

خارجي هك حرفه اي نقاط ضعف آسيب پذير هاست از برداري بهره

مشترك

: :چه بايد كرد؟: :به حداقل رساندن عرضه بدافزار

نتي بهبودjي سjص هاي امنيتjي تواند اثرپذيري حمالت شاخjم APT را: كاهش دهد

شjي تواند كاهjم مjك مهاجjه يjي كjي تهديدات و نقاطjميدان عملياتاز طريق آنها نفوذكند

محدوديت در انتشار بدافزار در سازمان محدوديت در دستيابي بدافزار به منابع سازمان

: بهبود كنترل هاي امنيتي سنتي معرفي براي هjا متداولتريjن روش از يكjي : اجتماعjي مهندسjي

بدافزار درون يjك محيjط اسjت. علjي رغjم تمامjي كنترل هاي فنjي كه انسjان ضعيjف تريjن لينjك مjي توان آنهjا را پياده سjازي كرد،j همچنان

تواننjد كjه اسjتارتباطjي موجود مjي بر روي آنهjا سjرمايه مهاجمان ) ترغيjب كاربران بjه كليjك بر روي يjك لينjك ، استفاده از نماينjدگذاري

و ... ( usbفلش ديسك هاي هjنل كjي پرسjش آگاهjل حمالت افزايjد در مقابjب باشنjر مراقjبيشت( . از طريق ارايه دوره هاي آموزشي موثر در خصوص امنيت )

رjي از عناصjت همواره يكjوص امنيjي در خصjه دوره هاي آموزشjاراي مي گردد.موثر در يك برنامه امنيتي خوب محسوب

: :چه بايد كرد؟: :به حداقل رساندن عرضه بدافزار

بهبود آگاهي در خصوص امنيت يjjش اثربخشjjي در كاهjjي مهمjjان داراي نقشjjت حمالت انسjjاس .

امنيتjي مjي بايسjت در خصjوص مسjائل افزايjش آگاهjي و اطالع رسjاني . در نظر گرفته شود استراتژي دفاع در عمق بخشي از

ا و رويكردهاي جديدjه روش هjنتي و ارايjي سjه آموزشjر در برنامjتغيي شامل :

اخبار روز در خصوص امنيت آموزش تهديدات جديد و يjه موارد موفقjي نمونjا مشاركت كاركنان بررسjازمان بjك سjه يjك

را آنها اثربخشjي حمالت يjا و ناكام را توانسjته اسjت مهاجمان خود كاهش دهد .

ايت هايjjjاير سjjjي و سjjjانه هاي اجتماعjjjه مهاجمان از رسjjjچگونخارجjي براي جمjع آوري داده اسjتفاده مjي نماينjد تjا بjه آنهjا اجازه دهjد

اهداف خاصي را مورد حمله قرار دهند . دوره آموزشي در بازه هاي زماني خاص اثربخشيارزيابي

فناوري زيرساخت سjازي ايمjن در اصjلي عناصjر از يكjي كاربران اطالعات و ارتباطات در يjك سjازمان مjي باشنjد . آموزش صjحيح و موثر به دنبال توانjد دسjتاوردهاي مثبتjي را ، مjي امنيjت كاربران در خصjوص

داشته باشد .

: :چه بايد كرد؟: :به حداقل رساندن عرضه بدافزار

نرم افزارهاي مخرب شjث كاهjه باعjي كjر از اقداماتjي ديگjه يكjي عرضjبدافزار م ، گردد

حصjول اطمينان از ايjن موضوع اسjت كjه نرم افزارهاي برخورد كننده بjا ، ايjjن نوع كدهاي بدافزار ) همواره بjjه روز مjjي باشنjjد براي تمامjjي

(.كاربران هjن كjا ايjحمالت از نوع ، بAPT نقاط آس\يب پذي\ر ص\فر از مزاياي

اسjتفاده مjي نماينjد كjه برنامjه هاي آنتjي ويروس قادر بjه تشخيjص روزه تبديjل بjه نقطjه زديرو نقطjه آسjيب پذيjر صjفر روزه ولjي آنهjا نمjي باشنjد

مي شود . فرداآسيب پذير شناخته شده

اjا مهاجمان بjف هjتفاده از ضعjر اسjيب پذيjي و نقاط آسjا مjه هjدر برنامبه بدافزار خود را بjه يjك محيjط وارد نماينjد . بر اسjاس نjد توان تحقيقات

، موجود هاي تجربjه و آمده درصjد برنامjه هاي وب 93 بيjش از عمjل .حداقل داراي يك ضعف اساسي با درجه تهديد باال مي باشند

توجه داشته باشيد كه در حمالت APT ، هدف الزاما" سرقت اطالعاتاز وب سايت نيست ، در مقابل تالش آنها در ايjن جهت است تا بتوانند كد مخرب را بر روي سjايت هاي مجاز قرار داده و كاربران را ترغيjب نماينjد

.كنندتا بر روي لينك هاي مربوطه كليك

: :چه بايد كرد؟: :به حداقل رساندن عرضه بدافزار

كدنويسي ايمن j، ل بهره برداري هستندjادگي قابjه سjه بjيب پذيري كjحذف نقاط آس

كاهjش سjطح حمالت را بjه دنبال داشتjه و اجازه مjي دهjد كjه سjازمان ها مقابل در از خود و نماينjد بيشتري تمركjز ارزشمنjد خود منابjع روي بر

حمالت پيشرفته دفاع نمايند .

اقدامات الزم جهت حذف نقاط آسيب پذير و يا حفره هاي امنيتي

آموزش پياده كنندگان ي مراحلjتمام برنامjه در ايمjن سjازي و امنيjت بjه اعتقاد عملjي

چرخه پياده سازي نرم افزار

ي آنjش هاي امنيتjا لحاظ كردن چالjر فناوري بjحيح هjبكارگيري ص به منظور پياده سازي نرم افزار

نرم يك اليjه هاي تمامjي در ايمjن سjازي يكپارچjه و نگاه صjحيح افزار

ي و حتيjخه نهايjه نسjل از ارايjته ) قبjي پيوسjت هاي امنيتjانجام تس پس از عملياتي شدن آن (

: :چه بايد كرد؟: : وص پيشگيري ازjjjjل در خصjjjjش قبjjjjعمليات شرح داده شده در بخ

درصjد موثjر واقjع 100معرفjي بدافزار بjه درون يjك محيjط نمjي توانjد شده و اين تضمين را ايجادنمايد كه حمله اي صورت نخواهد گرفت

ك بدافزار درون محيط ،ميjتقرار يjدر صورت موفقيت مهاجمان و اس بايسjت توان خود را صjرف ايjن نماييم كه بدافزار قابليت اجراء بjا خيالي

راحت را نداشته باشد .

پيشگيري از اجراي بدافزار: اجراء قابل هاي برنامjه ( هjا برنامjه سjفيد ليسjت از اسjتفاده

مجاز ( بر روي يك سرويس دهنده ت كاربران ازjjjل مجوز" و حدف اكانjjjازي مفهوم " حداقjjjپياده س

افراد حلjيمگروه مديران توسط منابjع بjه دسjتيابي در محدوديjت ناشناس

تورات غيرضروريjjjjا غيرفعال كردن دسjjjjنظير حدف و ي (xp_cmdshell بر روي سرويس دهندگان MSSQL. )

نjا معماري داميjت و يjه فلjك شبكjازي يjك )عدم پياده سjكرك ي مهاجمان را قادر سjازد بjه سjاير سjيستم هjا مjي توانjد اكانjت مديريتjي

(. نيز دستيابي پيدا نمايند

نظارت و استاندارد امنيتjي هاي سjياست مجموعjه از اسjتفاده مستمر بر پياده سازي صحيح آنها

: :چه بايد كرد؟: :حفاظت داده

ر ضروريjك عنصjا كاربران ، يjا و يjه هjه براي برنامjتيابي چjكنترل دس . سازمان استيك حفاظت به منظور

يjوب مjازمان محسjر سjائل در هjن مسjي از مهمتريjت داده يكjحفاظ. غيرقابjل دفاع اسjت اگjر ادعjا كنيjم كjه تمامjي داده را مjي توان گردد

رمز نمود . ي توانjjي مjjول امنيتjjت از اصjjا و تبعيjjياست هjjي سjjا اعمال برخjjب

حداقjل كرد تjا در صjورت بروز حمالت ، محدوديjت هايjي را پياده سjازي .آسيب به اطالعات و سرقت آنها صورت پذيرد

ازيjوم “ س\يستم پيشگيري از دس\ت دادن داده “پياده سjموس مjي توانjد از فعاليjت ) Data Loss Prevention) برگرفتjه شده از DLP بjه

بدافزارهjjا بjjه منظور جمjjع آوري داده حسjjاس و ارسjjال آنهjjا براي يjjك مهاجم پيشگيري به عمل آورد .

هاس\ت بر : مبتن\ي توانjدكاربر در چjه سjطحي مjي بjه داده در دسjتيابي داشتjه باشد داده كه موضوع ايjن از اصjمينان . حصjول

. ندارد وجود غيرمجاز خود را بjه APT. حتjي اگjر بدافزار مكان عنوان يjك كاربر معتjبر جjا بزنjد ، در صjورتي كjه آjن كاربر حjق دسjتيابي بjه داده را نداشتjه باشjد ، بدافزار نخواهjد توانسjت اقدام بjه كپjي و

.سرقت داده نمايد ه و پيشگيري از :مبتن\ي بر شبك\هjگ جريان داده در شبكjمانيتورين

داده خروج

: :چه بايد كرد؟: : مبتني بر شبكهDLPپياده سازي

دادهخروج مانيتورينگ جريان داده در شبكه و پيشگيري از

در حمالتAPT داده اغلب به صورت رمز شده از شبكه خارج مي مبتني بر شبكه DLPشود و اين مي تواند يك چالش جدي براي روش

باشد

ه اي كه انتقال : راه ح\لjي بگونjياست هاي امنيتjازي سjپياده سهjر نوع فايjل رمjز شده و يjا داده مغايjر بjا سjياست هاي استانداردهاي

سازمان بالك گردد

كjاز ي و ارسjال داده خروجي براي outbound proxyاسjتفاده جهت بررسي DLPموتور

: : است؟APTآيا استاكس نت يك : :؟چرا است . APTاستاكس نت يك نمونه جدي از حمالت

پيشرفته است ، خيلي هم پيشرفته است استفاده از چهار نقطه آسيب پذير صفر روزه ويندوز دو عدد گواهينامه ديجيتالي معتبر سرقت شده صدها خط كد برنامه ) حجيم ترين كرمي كه تاكنون نوشته

شده است ( استفاده از يك rootkitجهت پنهان سازي خود استفاده از قابليت هاي Peer to peer براي كنترل از راه دور گزازش عملكرد سيستم هاي آلوده

يك حمله هدفمند است بر خالف كرم ها و بدافزارهاي متداول ، هدف آن گسترش

در هر مكان و براي كاربري نمي باشد . انتخاب هدف خود بر روي سيستم هاي SCADA

) بكارگرفته شده در نيروگاه هاي برق و ساير زيرساخت هاي حياتي يك كشور (

تغيير برنامه هاي نصب شده در PLC استفاده شده در سيستم هاي فوق

: : است؟APTآيا استاكس نت يك : : ماهيت پيشرفته استاكس نت به همراه هدف بسيار خاص آن باعث

مي شود مقابله با آن چالش هاي خود را داشته باشد .

كjق يjت از طريjتاكس نjع اسjتوزي USB Stick ت . نظيرjانجام شده اس “ كjه سjيستم هاي نطامي Operation Buckshot Yankeeحملjه اي بjا نام “

در سjال را آنها 2008امريكjا سjازي پاك فرآينjد و كرد آلوده ماه 14 بطول انجاميد .

: دو درس مهمي كه مي توان از استاكس نت گرفت ه آسيب درس اولjن نقطjكامپيوترهاي ميزبان همچنان متداولتري :

مرزي دفاعي خطوط تمامjي . باشنjد مjي زيرسjاخت يjك در پذيjر و ... ( قادر بjه توقjف استاكس IDS) نظيjر فايروال هjا ، سjيستم هاي

نjت نبوده انjد ( . اسjتاكس نjت مسjتقيما” بر روي هدف خود هدايت و مستقر شده است .

به درس دوم قادر الگوهjا بر مبتنjي و پيشگيري هاي فناوري : انjد . تاكنون ده ها هزار تشخيjص ايjن حملjه جديjد و ناشناختjه نبوده كامپيوتjر آلوده بjه ايjن كرم شده انjد . آيjا بر روي ايjن همjه كامپيوتjر يك برنامjه ويروس ياب نبوده اسjت كjه بتوانjد ايjن كرم را شناسjايي و با آjن مقابلjه نمايjد ؟ سjاده نخواهjد بود كjه الگويjي را براي يك بدافزار سjفارشي و بسjيار خاص ايجاد كرد كjه قبال” موجود نبوده و صرفا” بر

روي شبكه ها و يا سيستم هايي خاص موجود است .

: :خالصه: :

ه تهديدات و پتانسيلjبت بjت درك بهتري نسjا الزم اسjازمان هjس خطرات داشته باشند .

منظور بjه خطرات ، سjازمان هjا مjي بايسjت واقعjي شناخjت را بررسي كرده تا كنترل ها ، ضعف ها و استراتژي امنيتي جاري خود

نقايص سريعا مشخص گردد . ت حمالتjه ماهيjه بjا توجjبAPT ، ا اقدامjك كنترل و يjبكارگيري ي

نمي تواند به تنهايي موثر باشد . رjر و موثرتjد بهتjي توانjق مjتراتژي دفاع در عمjك اسjبكارگيري ي

باشد . حمالت از نوعAPT يjjك گروه از حمالت در فضاي مجازي مjjي ،

باشنjد كjه اهداف خود را از بيjن بنگاه هاي اقتصjادي و سjياسي انتخاب مjي كنjد . ايjن نوع حمالت در زمان انجام عمليات خود، بjه يjك سjطح بسjيار باال از مخفjي كاري نياز دارنjد تjا بتواننjد موفقيjت خود را تضميjن

نمايند .

هدف حمالت APT ، اjد و يjب درآمjر از كسjب بيشتjچيزي بمرات سjjيستم هاي آلوده شده همچنان در .منفعjjت مالjjي فوري اسjjت

.سرويس خواهند بود APT ي باشند ، حضوريjه مjيار پيشرفتjه بسjد كjي باشنjي مjحمالت

تهديدي و دارند را تعريjف شده قبjل از اهداف بjه نيjل تjا ماندگاري ارزشمندي اطالعات داراي كه باشنjد مjي هjر سjازماني براي جدي

است و يا زيرساخت هاي حياتي در يك كشور را مديريت مي كنند.

: :خالصه: :

APT تjل پيمانكاران نيسjت ، مشكjا نيسjت هjل دولjك و مشكjي صjرف . مسjئله همjه افراد اسjتAPTمشكjل صjرف نظامjي نيسjت .

نظjر از ايjن كjه هدف بزرگ و يjا كوچjك باشjد و يjا بjه خوبjي حفاظjت شده باشد . اين مشكل همه افراد است .

يكjد بر روش كالسjي و تشخي\ص " پيشگيريتاكيjد يك " نمjتوان را بطور موثjر در برابر ايjن نوع حمالت حفاظjت نمايjد . آنهjا سjازمان

عبور مjي تواننjد بjه سjادگي خطوط دفاعjي را آلوده سjا آنها از خته، و نرم افزارهاي آنتjي ويروس، نماينjد را برنامjه تشخيjص مزاحميjن

زنند دور حمالت از نوعAPT يjjjjjت مخفjjjjjاز روش هاي پيچيده اي جه

مخفjي نگاهداشتjن مjي نماينjد . نگاهداشتjن خود اسjتفاده مخفي نگاهداشتن ترافيك شبكه بدافزار بر روي هاست هدف و

هدف حمالت از نوعAPT دو چيز است :

ائلjjا در مسjjتفاده از آنهjjه منظور اسjjرقت اطالعات بjjساقتصادي ، سياسي و استراتژي

ايجاد يك ارتباط دايم براي مراجعه مجدد به هدف

يjت . جنگjع زياد اسjا منابjن بjك دشمjن يjايشي بيjگ فرسjك جنjن يjايكjه شايjد پايانjي نداشتjه باشjد . نبايjد در ايjن راه احسjاس پيروزي را

داشت

: :خالصه: :

دستپاچه مي تواند منجر به بروز خرابي بيشتر شود . ات اقدام

ش دjjه اي افزايjjش و توان خود را بگونjjت دانjjي بايسjjه از ادمjjك باشدقابليت مهاجمان بيشتر

صjjي ويروس و تشخيjjرف از نرم افزارهاي آنتjjتفاده صjjاز مرز اسويدمزاحمين در شبكه فراتر بر

ت دورنjالزم اسpacket اjه ، فايjل هjا ، نامjه هاي الكترونيكjي و به دقت مانيتور گردد . حافظه سيستم

يك پزشك براي پيشگيري و درمان يكبيماري خاص

مي بايست داراي دانش بيشتري نسبت

به بيمار خود باشد