Cách tấn công APT sẽ phát triển trong năm 2015
Trong một hội thảo trên web ngày hôm nay, Costin Raiu, giám đốc nghiên cứu toàn cầu và Analysis Team (GReAT) tại Kaspersky Lab, đã phát biểu ý kiến của mình về cách tấn công APT sẽ phát triển trong năm tới và những thách thức mà họ có thể mang lại, dựa trên phân tích và quan sát các xu hướng trong năm nay.
Nhiều tội phạm mạng tham gia các cuộc chiến tranh mạng hơn
Ông dự đoán rằng nhóm APT lớn sẽ tách thành các nhóm nhỏ hơn, là kết quả của chiến thuật chỉ định và đóng giả các nước nạn nhân, với dẫn chứng trực tiếp là năm tin tặc có quốc tịch Trung Quốc của nhóm Comment Crew bị truy tố ở Mỹ vì phá hoại các mạng lưới của nhiều tổ chức ở Mỹ.
Các nhóm khác cũng được đề cập đến, Putter Panda, Energetic Bear, Turla hoặc Regin cũng nằm trong danh sách. Raiu cảnh báo rằng các thành phần này sẽ tiếp tục làm việc cho các nhà thầu và khởi động các cuộc tấn công tương tự và là một phần của một hoạt động lớn hơn.
Khi số lượng tội phạm tiến hành các chiến dịch phát triển, như vậy số lượng sự cố cũng tăng lên. Tuy nhiên, trong năm tới, điều này cũng có thể là do thực tế rằng nhiều quốc gia tham gia cuộc đua chiến tranh mạng.
Công cụ độc hại sẽ nâng cao hơn
Một trong những xu hướng rõ ràng nhận thấy trong năm 2014 là điều chỉnh các phần mềm độc hại cho các hệ thống 64-bit. Khi ứng dụng của nền tảng này tiếp tục phát triển, các tác giả phần mềm độc hại cũng sẽ điều chỉnh mã của họ để làm việc trong môi trường mới.
Sự phức tạp của các công cụ độc hại dự kiến cũng sẽ tăng, với các kỹ thuật bền bỉ cứng đầu sẽ không bị giới hạn trong một nền tảng duy nhất, nhưng mở rộng cho các thiết bị dựa trên một hệ điều hành nhúng chức năng mạng.
Raiu cũng lưu ý rằng một sự gia tăng trong việc sử dụng hệ thống tập tin ảo có thể xảy ra trong các cuộc tấn công APT năm tới, cùng với các kỹ thuật khác được thiết kế để ngăn chặn việc phân tích file.
Các phương pháp rò rỉ dữ liệu mới
Như đã thấy trong trường hợp của Regin, các tội phạm mạng đang cố gắng tránh bị phát hiện càng lâu càng tốt và dựa trên một proxy không thu hút sự chú ý đến việc rò rỉ thông tin từ mục tiêu và gửi các lệnh.
Với những phát hiện Inception/Cloud Atlas gần đây, các dữ liệu thu thập được từ các nạn nhân đã được lưu trữ trong tài khoản cho các dịch vụ lưu trữ trực tuyến CloudMe, cùng với các môđun cập nhật cho các phần mềm độc hại. Vì việc khóa các dịch vụ như vậy không phải là một lựa chọn của doanh nghiệp, nên vấn đề này là rất quan trọng.
Các phương pháp khác có thể sẽ được xem xét để loại bỏ thông tin từ các máy tính bị lây nhiễm, chẳng hạn như sử dụng các trang web đáng tin cậy bị xâm nhập, các giao thức WebDAV, các yêu cầu DNS, thông qua UDP hoặc ICMP.
Các nhà khai thác sẽ tìm mọi cách để khó bị nắm bắt hơn
Để lại dấu vết về nguồn gốc của kẻ tấn công trong mã của phần mềm độc hại là một xu hướng có thể thấy thường xuyên hơn trong các hoạt động APT năm tới. Điều này xảy ra với Cloud Atlas, nhưng Raiu cho biết những kẻ tấn công đã không làm tốt về nó và để lại một số gợi ý phía sau.
Các phương pháp khác gây nhầm lẫn cho các nhà nghiên cứu có thể bao gồm việc sử dụng nhiều ngôn ngữ trong các mã phần mềm độc hại (Cloud Atlas có rất nhiều flag sai).
Các Botnet có thể cũng đóng vai trò quan trọng trong năm tới, vì các nhóm APT có thể bắt đầu tạo ra chúng để hỗ trợ các hoạt động của họ. Raiu nêu ra Animal Farm và Darkhotel, những nhóm dựa vào mạng lưới của các hệ thống bị xâm nhập trong năm nay.
Ông cũng không quên các phần mềm độc hại hợp pháp tạo ra bởi các công ty như Gamma International và Hacking Team, những công ty có phần mềm gắn liền với các chiến dịch tình báo mạng và giám sát trong nước. Đây là loại hình kinh doanh “phần thưởng cao, rủi ro thấp”.
Điểm mấu chốt là các nhóm APT sẽ cố gắng tránh bị phát hiện và áp dụng kỹ thuật tiên tiến hơn để che giấu hành tung.
Nhiều tội phạm mạng tham gia các cuộc chiến tranh mạng hơn
Ông dự đoán rằng nhóm APT lớn sẽ tách thành các nhóm nhỏ hơn, là kết quả của chiến thuật chỉ định và đóng giả các nước nạn nhân, với dẫn chứng trực tiếp là năm tin tặc có quốc tịch Trung Quốc của nhóm Comment Crew bị truy tố ở Mỹ vì phá hoại các mạng lưới của nhiều tổ chức ở Mỹ.
Các nhóm khác cũng được đề cập đến, Putter Panda, Energetic Bear, Turla hoặc Regin cũng nằm trong danh sách. Raiu cảnh báo rằng các thành phần này sẽ tiếp tục làm việc cho các nhà thầu và khởi động các cuộc tấn công tương tự và là một phần của một hoạt động lớn hơn.
Khi số lượng tội phạm tiến hành các chiến dịch phát triển, như vậy số lượng sự cố cũng tăng lên. Tuy nhiên, trong năm tới, điều này cũng có thể là do thực tế rằng nhiều quốc gia tham gia cuộc đua chiến tranh mạng.
Công cụ độc hại sẽ nâng cao hơn
Một trong những xu hướng rõ ràng nhận thấy trong năm 2014 là điều chỉnh các phần mềm độc hại cho các hệ thống 64-bit. Khi ứng dụng của nền tảng này tiếp tục phát triển, các tác giả phần mềm độc hại cũng sẽ điều chỉnh mã của họ để làm việc trong môi trường mới.
Sự phức tạp của các công cụ độc hại dự kiến cũng sẽ tăng, với các kỹ thuật bền bỉ cứng đầu sẽ không bị giới hạn trong một nền tảng duy nhất, nhưng mở rộng cho các thiết bị dựa trên một hệ điều hành nhúng chức năng mạng.
Raiu cũng lưu ý rằng một sự gia tăng trong việc sử dụng hệ thống tập tin ảo có thể xảy ra trong các cuộc tấn công APT năm tới, cùng với các kỹ thuật khác được thiết kế để ngăn chặn việc phân tích file.
Các phương pháp rò rỉ dữ liệu mới
Như đã thấy trong trường hợp của Regin, các tội phạm mạng đang cố gắng tránh bị phát hiện càng lâu càng tốt và dựa trên một proxy không thu hút sự chú ý đến việc rò rỉ thông tin từ mục tiêu và gửi các lệnh.
Với những phát hiện Inception/Cloud Atlas gần đây, các dữ liệu thu thập được từ các nạn nhân đã được lưu trữ trong tài khoản cho các dịch vụ lưu trữ trực tuyến CloudMe, cùng với các môđun cập nhật cho các phần mềm độc hại. Vì việc khóa các dịch vụ như vậy không phải là một lựa chọn của doanh nghiệp, nên vấn đề này là rất quan trọng.
Các phương pháp khác có thể sẽ được xem xét để loại bỏ thông tin từ các máy tính bị lây nhiễm, chẳng hạn như sử dụng các trang web đáng tin cậy bị xâm nhập, các giao thức WebDAV, các yêu cầu DNS, thông qua UDP hoặc ICMP.
Các nhà khai thác sẽ tìm mọi cách để khó bị nắm bắt hơn
Để lại dấu vết về nguồn gốc của kẻ tấn công trong mã của phần mềm độc hại là một xu hướng có thể thấy thường xuyên hơn trong các hoạt động APT năm tới. Điều này xảy ra với Cloud Atlas, nhưng Raiu cho biết những kẻ tấn công đã không làm tốt về nó và để lại một số gợi ý phía sau.
Các phương pháp khác gây nhầm lẫn cho các nhà nghiên cứu có thể bao gồm việc sử dụng nhiều ngôn ngữ trong các mã phần mềm độc hại (Cloud Atlas có rất nhiều flag sai).
Các Botnet có thể cũng đóng vai trò quan trọng trong năm tới, vì các nhóm APT có thể bắt đầu tạo ra chúng để hỗ trợ các hoạt động của họ. Raiu nêu ra Animal Farm và Darkhotel, những nhóm dựa vào mạng lưới của các hệ thống bị xâm nhập trong năm nay.
Ông cũng không quên các phần mềm độc hại hợp pháp tạo ra bởi các công ty như Gamma International và Hacking Team, những công ty có phần mềm gắn liền với các chiến dịch tình báo mạng và giám sát trong nước. Đây là loại hình kinh doanh “phần thưởng cao, rủi ro thấp”.
Điểm mấu chốt là các nhóm APT sẽ cố gắng tránh bị phát hiện và áp dụng kỹ thuật tiên tiến hơn để che giấu hành tung.
Softpedia
Cách tấn công APT sẽ phát triển trong năm 2015
Reviewed by Unknown
on
05:10
Rating:
Reviewed by Unknown
on
05:10
Rating:
Không có nhận xét nào: