APT: Jak se bránit cíleným útokům

Cílem tohoto příspěvku je popsat, jak čelit APT útokům, především jak jim předcházet, jak je detekovat, jak se bránit, a jak postupovat v případě napadení.

Jestliže jsem v minulém příspěvku věnovanému popisu jednotlivých fází APT uvedl, že v první fázi, kdy dochází ke zjišťování informací a přípravě tohoto útoku, toho organizace nemůže mnoho dělat, tak bych chtěl nyní prohlásit, že už v této fázi jej lze detekovat a reagovat na něj.

Tento článek patří do prémiového obsahu a je přístupný pouze pro registrované uživatele, abyste si ho mohl přečíst celý, musíte se nejprve přihlásit.
Štítky: ,
celý článek

Na obzoru se objevují nové hrozby, třeste se! – 6. díl

Tento silně polymorfní a persistentní drive-by download malware zneužívá zero-day zranitelností a nezbavíte se ho ani zformátováním disku a reinstalací systému.

Činnost, kterou pak provádí, se odvíjí od toho, jaké instrukce obdrží z C&C serveru, a v jakém prostředí se nachází.

Štítky: , ,
celý článek

Máte červené tlačítko a koule ho stisknout?

red-buttonV souvislosti s APT útoky, které jsou už vedeny i na malé a střední podniky, roste poptávka po nejrůznějších bezpečnostních řešeních.

Ovšem bez zavedení nějakého systému řízení informační bezpečnosti a především pak odpovídajících procesů a vybavení odpovědných pracovníků příslušnými pravomocemi, není možné na tyto útoky dostatečně rychle reagovat a zabránit tomu nejhoršímu.

Štítky: ,
celý článek

Darkhotel aneb příběh jedné neobyčejné pohostinnosti

Darkhotel

Přečtěte si, jak po dobu posledních několika let probíhal sofistikovaný cílený útok, tzv. Darkhotel, na hosty ubytované ve vybraných luxusních hotelech a připojujících se přes hotelovou Wi-Fi.

Útok nebyl cílen na nějakou konkrétní firmu nebo jednotlivce, ale kohokoliv, kdo se ubytoval v blíže nejmenovaném luxusním hotelu nacházejícím se v Japonsku, Tchajwanu, Číně, Rusku, Korei, Hongkongu a některých dalších státech, byl pro útočníky dostatečně zajímavý a připojil se přes hotelovou Wi-Fi síť do internetu.

Štítky: , ,
celý článek

Na obzoru se objevují nové hrozby, třeste se! – 5. díl

Došlo k vylepšení některých vlastností a přibyly i nové funkce, obzvlášť u trojských koní, šířených mailem.

Kromě stále častěji používané steganografie, decentralizovaných P2P sítí, šifrované komunikace, kontroly podpisu staženého kódu, detekce sandboxu a dynamicky generovaných názvů domén, rychlé změny IP adresy pomocí techniky fast flux DNS, se v poslední době provádí i kontrola, odkud uživatel ke C&C serveru nebo webu s malwarem přistupuje.

Štítky: , ,
celý článek

Malware nacházející se na soukromých zařízeních zaměstnanců představuje pro firmy největší riziko

Firmy se nejvíce obávají malwaru, který se nachází na nezabezpečených soukromých mobilních zařízeních jejich zaměstnanců.

Ti je požívají v rámci plnění svých pracovních povinností v rámci program BYOD. Malware se na tato zařízení dostává prostřednictvím aplikací stažených z internetu a dále pak prostřednictvím zranitelností v aplikacích třetích stran, což potvrdil i poslední AV-TEST.

Štítky: , ,
celý článek

Anatomie útoku: cílený útok a jak se mu bránit

V tomto příspěvku si popíšeme, jak probíhá cílený útok, a jak se mu bránit.

V případě cíleného útoku, v současné době označovaného zkratkou APT, na konkrétní organizaci resp. osobu, hledá útočník jakoukoliv zranitelnost v systému, které by mohl zneužít. Poté co útočník pronikne do systému organizace, infikuje a ovládne určitý stroj pomocí RAT (Remote Access Tool) backdooru, který mu umožní vzdálený přístup, a následné vyhledávání dat, případně dalších cílů ve vnitřní síti organizace. Citlivá data, která ho zajímají, shromáždí, zašifruje a pošle na kompromitovaný stroj.

Štítky: , ,
celý článek

Na obzoru se objevují nové hrozby, třeste se! – 4. díl

Tenhle škodlivý kód mě začíná už vážně štvát, nejenže se rafinovaně maskuje, používá sofistikované kryptografické techniky, ale on dokonce kontroluje i prostředí, ve kterém je spouštěn.

A pokud zjistí, že je spuštěn ve virtuálním prostředí, nebo že probíhá jeho skenování, neprovádí žádnou škodlivou činnost. A i v případě, že žádný takový systém nedetekuje, počká si s dešifrováním svého obsahu na vhodnou příležitost, často i několik desítek minut.

Štítky: , ,
celý článek

APT: Jak probíhá cílený útok

cybercrimeCílem tohoto příspěvku je popsat jednotlivé fáze APT útoků a umožnit čtenáři pochopit, jak takový útok probíhá.

Následující jednoduchá infografika zachycuje jednotlivé fáze APT útoku, počínaje přípravou samotného útoku, pokračujíc napadením a ovládnutím zařízení mající přístup do sítě dané organizace, přes vyhledávání dalších cílů v této síti a jejich následnou kompromitaci, až po dosažení cíle útoku, který může být různý.

Štítky:
celý článek

Na obzoru se objevují nové hrozby, třeste se! – 3. díl

Tenhle nový polymorfní malware, využívaný v rámci APT, je vážně síla, aby ho nebylo možné tak snadno detekovat, využívá v podstatě stejnou kryptografickou techniku, jakou nasadili distributoři her, filmů a hudby k ochraně svých děl.

Samotný útok probíhá nám již známým způsobem, infiltrate – gather data – exfiltrate. Do počítače oběti se nejprve stáhne tzv. zavadeč (loader). Jedná o drive-by download malware, který momentálně zneužívá např. (zero day) zranitelnosti Flashe nebo Javy. A poté, co se stáhne a spustí, tak v tichosti čeká, až nebohá oběť navštíví webovou stránku, na které se nachází jeho hlavní část.

Štítky: , ,
celý článek