APT35 युक्त्या, तंत्रे आणि प्रक्रिया: ते कसे कार्य करतात आणि विंडोजचे संरक्षण कसे करावे

  • APT35 हे विश्वसनीय भाले फिशिंग, क्रेडेन्शियल चोरी आणि विंडोजवरील टिकाऊपणा यासाठी वेगळे आहे.
  • एपीटीजमध्ये घुसखोरी, बाजूकडील हालचाल आणि छद्मवेशित एक्सफिल्ट्रेशन हे गुप्त C2 सह एकत्रित केले जाते.
  • EDR/XDR, सेग्मेंटेशन, पॅचिंग आणि नेटवर्क/एंडपॉइंट टेलीमेट्री हे महत्त्वाचे अडथळे आहेत.
Pablo

11 मिनिटे

विंडोजवर APT35 सायबरसुरक्षा

आजच्या धोक्याच्या परिस्थितीत, APT35 इतके चिकाटीचे आणि गुप्तपणे वागणारे शत्रू फार कमी असतील. हेलिक्स किटन किंवा चार्मिंग किटन म्हणूनही ओळखले जाणारे हे अभिनेता[कंपनीचे नाव] ने चांगल्या प्रकारे संशोधन केलेल्या लक्ष्यित फिशिंग मोहिमा, ओळख चोरी आणि कॉर्पोरेट वातावरणात दीर्घकालीन टिकून राहण्यासाठी प्रतिष्ठा निर्माण केली आहे. जर तुम्ही एखाद्या संस्थेत विंडोजसोबत काम करत असाल, तर त्याच्या युक्त्या, तंत्रे आणि प्रक्रिया (TTPs) समजून घेणे हे [ऑपरेशनल सिक्युरिटी] ची गुरुकिल्ली आहे. आक्रमण पृष्ठभाग कमी करा आणि वेळेत प्रतिक्रिया द्या.

जरी अनेकदा "चित्रपटासारखे" हल्ले म्हणून पाहिले जात असले तरी, प्रगत सततचे धोके हे विज्ञानकथा नाहीत. ते पद्धतशीर, बहु-स्तरीय आणि रुग्ण ऑपरेशन्स आहेत.हे हल्ले घुसखोरी करण्यासाठी, शोधून न काढता येण्याजोग्या राहण्यासाठी आणि योग्य वेळी मौल्यवान डेटा बाहेर काढण्यासाठी डिझाइन केलेले आहेत. APT35 त्या प्रोफाइलमध्ये बसते: संभाव्य भाले फिशिंग मोहिमा, एक छद्म कमांड आणि नियंत्रण पायाभूत सुविधा आणि बळी त्याचे संरक्षण मजबूत करत असताना त्याच्या पद्धती अनुकूल करण्याची मजबूत क्षमता.

APT म्हणजे काय आणि APT35 विंडोजसाठी विशेष चिंतेचा विषय का आहे?

एक प्रगत सततचा धोका म्हणजे दीर्घकालीन हल्ला ज्यामध्ये शत्रू अनधिकृत प्रवेश मिळवतो आणि तो गुप्त ठेवतो माहिती चोरण्यासाठी, ऑपरेशन्सवर लक्ष ठेवण्यासाठी किंवा जेव्हा त्यांना अनुकूल असेल तेव्हा व्यत्यय आणण्यासाठी. "मोठ्या प्रमाणात" मालवेअरच्या विपरीत, APTs मोठ्या प्रमाणात काम करत नाहीत; ते विशिष्ट उद्दिष्टांना लक्ष्य करतात आणि स्थलांतर करण्यापूर्वी त्यांच्या वातावरणाबद्दल जाणून घेतात.

विंडोजवर, APT35 अनेकदा सोशल इंजिनिअरिंग वापरून दार उघडते: उत्तम प्रकारे तयार केलेले स्पियर फिशिंग ईमेलक्लोन केलेले क्रेडेन्शियल पेजकॉन्फरन्स किंवा शैक्षणिक कार्यक्रमांसाठी बनावट आमंत्रणे, आणि पीडिताला कोड चालवण्यास किंवा टोकन देण्यास फसवणारे घोटाळे. आत गेल्यावर, लक्ष केंद्रित केले जाते ते चिकाटीवर: मागच्या दाराने, ओळखपत्रांचा गैरवापर आणि गुप्तपणे बाजूकडील हालचाल.

APT च्या मागे कोण आहे आणि APT35 कसे बसते?

एपीटींना सहसा सुसंघटित कलाकारांचा पाठिंबा असतो. आपण तीन मुख्य ब्लॉक्स वेगळे करू शकतोराज्य-पुरस्कृत गट, संघटित गुन्हेगारी आणि हॅकटिव्हिस्ट समूह. अनेक विश्लेषकांच्या मते, इराणी हितसंबंधांशी जोडलेले APT35, आर्थिक, लष्करी आणि राजकीय उद्दिष्टांसह एरोस्पेस, दूरसंचार, वित्त, ऊर्जा, रसायने आणि आतिथ्य यासारख्या क्षेत्रांना लक्ष्य करते.

राज्य-संचालित गटांमध्ये, काही सुप्रसिद्ध प्रकरणे ठळकपणे दिसून येतात: लाजरस (उत्तर कोरिया), सोनी घटनेसारख्या आर्थिक चोरी आणि कारवायांमध्ये सहभागी; APT28/फॅन्सी बेअर आणि APT29/कोझी बेअर (रशिया)सरकारी, राजनैतिक आणि निवडणूक लक्ष्यांविरुद्ध मोहिमा चालवून; आणि APT40, विद्यापीठे आणि संरक्षण यांना लक्ष्य करणाऱ्या सायबर हेरगिरीशी जोडलेले. या कारवाया एपीटी नियोजनाची व्याप्ती दर्शवतात.

संघटित गुन्हेगारीमध्ये, आर्थिक नफा हा राजा असतो. कार्बानक/FIN7 बँकिंग आणि रिटेलवर हल्ला केला आहे; काळी बाजू कॉलोनियल पाइपलाइन घटनेमुळे तो प्रसिद्धीला आला. दुसरीकडे, हॅक्टिव्हिस्ट वैचारिक किंवा राजकीय प्रेरणांसाठी काम करतात: अनामित किंवा सीरियन इलेक्ट्रॉनिक सेना ही खऱ्या अर्थाने परिणाम करणाऱ्या निषेध कृती आणि प्रचाराची उदाहरणे आहेत.

हे विरोधक, राज्यांशी जोडलेल्यांसह, ते नफा किंवा धोरणात्मक फायदा शोधतात बौद्धिक संपत्ती चोरी, खंडणी (रॅन्समवेअर) किंवा गंभीर प्रणालींमध्ये प्रवेशाद्वारे.

ते कसे कार्य करतात: प्रमुख युक्त्या, तंत्रे आणि कार्यपद्धती

एक सामान्य APT अनेक स्तरांना एकत्र करते: घुसखोरी, चढाई आणि बाजूकडील हालचाल, आणि बाहेर काढणेघुसखोरी दरम्यान, APT35 वापरकर्त्याच्या मानसशास्त्राचा वापर करून पहिला क्लिक जबरदस्तीने करतो आणि शक्य असल्यास, शोषण किंवा अनपॅच केलेले सॉफ्टवेअर वापरून सिस्टममध्ये घुसखोरी करतो. विंडोजवर, कागदपत्रांमध्ये दुर्भावनापूर्ण मॅक्रो दिसणे, बनावट लॉगिन पृष्ठांच्या लिंक्स आणि सिस्टम टूल्सचा वापर न सापडणे हे सामान्य आहे.

आत गेल्यावर, हल्लेखोर त्याच्या कमांड अँड कंट्रोल (C2) इन्फ्रास्ट्रक्चरशी संपर्क स्थापित करतो. हे संवाद कायदेशीर वाहतुकीच्या रूपात लपवले जाऊ शकते.साध्या HTTP(S) विनंत्यांपासून ते सार्वजनिक सेवांद्वारे समर्थित अधिक सर्जनशील चॅनेलपर्यंत (असे TTP आहेत जे सोशल नेटवर्क्स किंवा क्लाउड दस्तऐवजांचा गैरवापर करतात). स्थिर संप्रेषणासह, मालमत्ता शोध आणि बाजूकडील हालचाल सुरू होते.

बचावकर्त्यांनी हे लक्षात ठेवले पाहिजे की आधुनिक एपीटी शोषणानंतरच्या सार्वजनिक चौकटी आणि साधनांचा वापर करा (उदाहरणार्थ, सुप्रसिद्ध फ्रेमवर्क) पण कस्टम-मेड घटक देखील. कधीकधी, हल्लेखोर डिस्कवर ट्रेस राहू नये म्हणून मेमरीमध्ये कोड लोड करतात आणि DLL साइडलोडिंग सारख्या तंत्रांवर अवलंबून असतात.

एक्सफिल्ट्रेशनमध्ये, डेटा ड्रिप किंवा बॅचमध्ये बाहेर येतो, नेटवर्कच्या आवाजाने झाकलेले किंवा एन्कॅप्स्युलेटेड (कॉम्प्रेस्ड फाइल्स, सामान्य प्रोटोकॉल, गुप्त चॅनेल). जर पीडित व्यक्तीला काहीतरी आढळले, तर APT खरी गळती लपवण्यासाठी DDoS हल्ल्यासारखे लक्ष विचलित करू शकते.

एपीटी हल्ल्याचे चरण-दर-चरण टप्पे

  1. ओळखते ईमेल पत्ते, सार्वजनिक प्रोफाइल, वापरलेले तंत्रज्ञान (कधीकधी नोकरीच्या जाहिरातींमध्ये उघड केले जाते) आणि इतर उपयुक्त तपशील गोळा करतात. वकिलासाठी हा एक मूक टप्पा आहे.
  2. अंतर्मुखताभाला फिशिंग भेद्यतेचा गैरफायदा घेणेकमकुवत पासवर्ड किंवा कागदपत्रांमध्ये एम्बेड केलेले मालवेअर हे एक मोठे धोका असू शकते. विंडोजवर, कोड कार्यान्वित करण्यासाठी फक्त "चुकीचे" अटॅचमेंट उघडणे पुरेसे असते.
  3. ओळख चोरीते वैध क्रेडेन्शियल्स (कुकीज, टोकन, पासवर्ड) शोधतात आणि कायदेशीर वापरकर्त्यांच्या ओळखीचा वापर करून डझनभर सिस्टममध्ये प्रवेश करतात. स्वाक्षरी-आधारित नियंत्रणे टाळणे.
  4. उपयुक्तता स्थापित करणेते गुप्त प्रशासन, पासवर्ड चोरी, देखरेख आणि बरेच काही करण्यासाठी साधने समाविष्ट करतात. एक लहान इम्प्लांट किंवा स्क्रिप्ट ते जास्त भारांसाठी स्प्रिंगबोर्ड म्हणून काम करू शकते.
  5. मागचे दरवाजे आणि विशेषाधिकारते बॅकडोअर तयार करतात, लपवलेले अकाउंट तयार करतात किंवा कॉन्फिगरेशन सुधारित करतात. जर त्यांना डोमेन अॅडमिनिस्ट्रेटर क्रेडेन्शियल्स मिळाले तर, त्यांच्याकडे राज्याच्या चाव्या आहेत बाजूने हालचाल करणे.
  6. एक्सफिल्ट्रेशनते HTTP/FTP किंवा इतर चॅनेल वापरून ईमेल, फाइल्स आणि डेटाबेस इंटरमीडिएट सर्व्हर किंवा क्लाउड स्टोरेजमध्ये पॅकेज करतात. ते DNS बोगद्यांचा देखील गैरवापर करू शकतात. जर वातावरण परवानगी देत ​​असेल तर.
  7. चिकाटीआंशिक शोधानंतरही ते राहण्याचा प्रयत्न करतात. ही हट्टीपणा ही एपीटीची ओळख आहे., महिन्यांच्या मुक्कामासह.

प्रगतीपथावर असलेल्या एपीटीचे निर्देशक आणि चिन्हे

रहदारीची उच्चांकी पातळी किंवा अंतर्गत उपकरणांमधून बाहेरील भागात असामान्य प्रवाह हे धोक्याचे आहे. त्याचप्रमाणे, व्यवसाय वेळेच्या बाहेर किंवा असामान्य ठिकाणांहून केलेले लॉगिन हे क्रेडेन्शियल्स धोक्यात असल्याचे दर्शवतात.

अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना वारंवार होणारे मालवेअर संक्रमण "स्वच्छता" नंतर मागचे दरवाजे पुन्हा उघडतात आणि पुन्हा दिसतात ही वस्तुस्थिती कायम राहते हे दर्शवते. शिवाय, जर कंपनी क्वचितच वापरत असलेल्या स्वरूपात मोठ्या किंवा संकुचित फायली आढळल्या तर चौकशीची आवश्यकता आहे.

अधिकारी किंवा संवेदनशील कर्मचाऱ्यांना मिळालेले असामान्य ईमेल, जे भाले फिशिंगसारखेच असतात, ते सहसा एपीटी साखळीतील पहिले पाऊल असतात.आणखी एक संकेत: मोठ्या प्रमाणात ऑपरेशन्स असलेल्या डेटाबेसमध्ये असामान्य क्रियाकलाप.

काही प्रदाते ईमेल कुठे उघडला आहे किंवा कोणत्या आयपी पत्त्यावरून आहे याची नोंद करतात; पत्रव्यवहारात असामान्य प्रवेश किंवा व्यत्यय पाहणे हे [काहीतरी] सूचित करू शकते. घुसखोर संप्रेषणांचे पुनरावलोकन करत आहेतएंडपॉइंट स्तरावर, हल्लेखोर कमकुवतपणाचा फायदा घेण्यासाठी धोरणे आणि अनुपालनातील तफावत शोधतो.

वस्तुनिष्ठ आणि उदाहरणात्मक उदाहरणांद्वारे APT चे प्रकार

  • तोडफोड किंवा व्यत्ययपीडितेला इशारा न देता औद्योगिक प्रक्रियांमध्ये फेरफार करणारे अत्यंत गुंतागुंतीचे ऑपरेशन. आदर्श उदाहरण: स्टक्सनेट, ज्याचा परिणाम इराणी सेंट्रीफ्यूजवर झाला.
  • खंडणी: आर्थिक फायद्यासाठी असलेल्या मोहिमा, जसे की रॅन्समवेअर. Ryuk महत्त्वाच्या मालमत्तेचे कूटबद्धीकरण करणारे आणि जास्त खंडणी मागणारे लक्ष्यित हल्ले यातून वेगळे दिसून आले.
  • घुसखोरी आणि बहिष्कारडेटा टिकवून ठेवणे आणि सतत काढणे हे ध्येय आहे. मोहिमांना श्रेय दिले गेले आहे APT32 y APT37 आर्थिक आणि राजकीय हेरगिरीसाठी.
  • पुरवठा साखळीपुरवठादार त्यांच्या ग्राहकांपर्यंत पोहोचण्यासाठी वचनबद्ध आहेत. माध्यमांचे उदाहरण होते सोलरविंड्स (फोरममध्ये APT29 ला श्रेय दिलेले), आणि नोटपेट्या ते एका हॅक झालेल्या अपडेटद्वारे पसरले, ज्यामुळे जागतिक नुकसान झाले.

धडा शिकवणारे वास्तविक जीवनातील प्रसंग

वर हल्ला रॅम स्क्रॅपरसह लक्ष्य त्याने एका पुरवठादाराच्या कमकुवतपणाचा फायदा घेत त्याच्या इकोसिस्टममध्ये प्रवेश मिळवला. तो अभिनेता आठवड्यांपर्यंत पॉइंट-ऑफ-सेल टर्मिनल्समध्ये घुसखोरी करत होता, क्रेडिट कार्ड डेटा चोरत होता आणि एकाच वेळी प्रचंड प्रमाणात बाहेर काढणे.

संशोधकांनी एका उपसमूहाने मोहिमा शोधल्या लाजर ज्याने सुप्रसिद्ध डीट्रॅक मालवेअरमध्ये बदल केले आणि माउई रॅन्समवेअर वापरले. विंडोजवर इन-मेमरी लोड्स अंमलात आणले गेले.डीट्रॅकने सिस्टम डेटा आणि ब्राउझर इतिहास गोळा केला आणि राहण्याचा कालावधी महिन्यांचा होता.

लकीमाऊस मॅकओएस, विंडोज आणि लिनक्स विरुद्ध बॅकडोअरसाठी मिमी मेसेजिंग सेवेचा ट्रोजन प्रकार तैनात केला, तैवान आणि फिलीपिन्समधील सहभागी संस्थाहे APT ची विशिष्ट क्रॉस-प्लॅटफॉर्म सुसंगतता दर्शवते.

गट सीबोर्जियमरशियन हितसंबंधांशी जोडलेले, वर्षानुवर्षे युरोपमध्ये हेरगिरी करत होते, OneDrive आणि LinkedIn मध्ये प्रवेश मिळविण्यासाठी स्पियर फिशिंगचा गैरवापर करणेकायदेशीर क्लाउड सेवांचा गैरवापर केल्याने शोध घेणे गुंतागुंतीचे होते.

टीटीपीमधील अलीकडील ट्रेंड: काय बदलत आहे आणि काय नाही

अलिकडच्या उन्हाळी तिमाहीत, विश्लेषकांनी खेळाडूंमध्ये स्पष्ट फरक पाहिला: काही त्यांनी त्यांचे टूलकिट मॉड्यूलर फ्रेमवर्ककडे विकसित केले खूप चिकाटीने, तर इतरांनी दीर्घकालीन संसर्ग साखळ्यांसह ध्येये साध्य केली, हे दाखवून दिले की "साधे आणि सिद्ध" अजूनही कार्य करते.

सर्वात धक्कादायक निष्कर्षांपैकी एक म्हणजे संसर्ग UEFI बूटकिट, मोजॅक रेग्रेसर म्हणून ओळखल्या जाणाऱ्या टप्प्याटप्प्याने बनवलेल्या फ्रेमवर्कचा भाग, ज्यामुळे इम्प्लांट अत्यंत टिकाऊ आणि निर्मूलन करणे कठीण झाले. UEFI महत्वाचे आहेते संक्रमित केल्याने ऑपरेटिंग सिस्टमच्या खाली टिकून राहते.

ते देखील पाहिले गेले आहेत स्टेग्नोग्राफी तंत्रे साइडलोडिंगसह: के३चांगला श्रेय दिलेल्या मोहिमेत ओक्रम बॅकडोअरची एक आवृत्ती वापरली गेली जी मुख्य पेलोड लपविण्यासाठी स्वाक्षरी केलेल्या विंडोज डिफेंडर बायनरीचा वापर करते, वैध डिजिटल स्वाक्षरी राखणे शोध कमी करण्यासाठी.

इतर गट, जसे की गढुळ पाणीत्यांनी बहु-चरण फ्रेमवर्कची पुनरावृत्ती केली आहे, तर डीट्रॅक अधिक प्रकारचे पेलोड कार्यान्वित करण्यासाठी त्यात नवीन क्षमता समाविष्ट केल्या. समांतरपणे, डेथस्टॉकर ते शोध टाळण्यासाठी डिझाइन केलेल्या साध्या पण अत्यंत केंद्रित साखळ्या राखते, हे दाखवून देते की यशासाठी नेहमीच परिष्कृतता आवश्यक नसते.

APT35 वर लक्ष केंद्रित: वैशिष्ट्यपूर्ण TTP आणि लक्ष्ये

APT35 साठी ओळखले जाते अत्यंत विश्वासार्ह स्पियर फिशिंग ईमेल आणि बनावट कागदपत्रे जे शैक्षणिक आमंत्रणे किंवा संस्थांकडून येणाऱ्या संवादांची नक्कल करते. लॉगिन स्पूफिंग, लहान लिंक्सचा गैरवापर आणि क्रेडेन्शियल कॅप्चर पेजेस निर्दोष दिसणे हे सामान्य आहे.

विंडोजमध्ये, हा गट मूळ स्क्रिप्ट आणि साधनांवर अवलंबून रहा शोधून न काढता, C2 स्थापित करा आणि बाजूने हलवा. सामाजिक अभियांत्रिकीचे संयोजन आणि अनपॅच केलेल्या सॉफ्टवेअरचा संधीसाधू वापर. त्याचा उच्च यश दर स्पष्ट करतो पुरेसे वर्तनात्मक आणि विभाजन नियंत्रणे नसताना.

APT35 आणि इतर APTs पासून विंडोजचे संरक्षण कसे करावे

ईडीआर आणि एक्सडीआर. आधुनिक उपाय वास्तविक वेळेत असामान्य वर्तन शोधतातते प्रक्रिया, नेटवर्क आणि मेमरीची टेलीमेट्री प्रदान करतात आणि जलद प्रतिसाद (उपकरणे वेगळे करणे, प्रक्रिया नष्ट करणे, बदल पूर्ववत करणे) प्रदान करतात.

पॅचिंग आणि कडक करणे. विंडोज अद्यतनित करा, ब्राउझर आणि ऑफिस सुट्सहे पृष्ठभागाचे क्षेत्रफळ कमी करण्याचे नियम लागू करते, पॉवरशेल मर्यादित करते, डीफॉल्टनुसार मॅक्रो अक्षम करते आणि स्वाक्षरी न केलेल्या बायनरीजच्या अंमलबजावणीवर नियंत्रण ठेवते.

अनुप्रयोग आणि डोमेन नियंत्रण. परवानगी यादी धोका कमी करतेपरंतु त्यासाठी कठोर अद्यतन धोरणे आणि सतत पुनरावलोकन आवश्यक आहे: "विश्वसनीय" डोमेन देखील धोक्यात येऊ शकतात.

WAF आणि अनुप्रयोग सुरक्षा. वेब अॅप्लिकेशन फायरवॉल हे अॅप्लिकेशन लेयरवरील हल्ले वेगळे करण्यास आणि RFI किंवा SQL इंजेक्शन प्रयत्नांना थांबविण्यास मदत करते; अंतर्गत रहदारीचे निरीक्षण केल्याने असामान्य नमुने आढळतात.

प्रवेश आणि डेटा प्रशासन. नेटवर्कचे विभाजन करा, कमीत कमी विशेषाधिकार लागू कराहे MFA ला बळकटी देते आणि संवेदनशील संसाधनांच्या प्रवेशाचे निरीक्षण करते. ते फाइल शेअरिंग नियंत्रित करते आणि शक्य असल्यास काढता येण्याजोग्या डिव्हाइसेसना ब्लॉक करते.

टेलीमेट्री आणि डीएनएस. DNS बोगद्यांकडे निर्देशित करणारे नमुने पहा. किंवा इतर गुप्त एक्सफिल्ट्रेशन मार्ग; असामान्य कॉम्प्रेशन आणि मोठ्या प्रमाणात डेटा हालचालींबद्दल अलर्ट तयार करते.

जागरूकता, पण अंधश्रद्धेशिवाय. प्रशिक्षण मदत करते. जरी प्रशिक्षित कर्मचारी देखील पडू शकतातहे तांत्रिक नियंत्रणे, वॉचलिस्ट आणि वर्तन शोधण्याद्वारे पूरक आहे.

प्रतिसाद कसा द्यावा: पहिल्या संकेतापासून ते सतत सुधारणा होईपर्यंत

  • ओळख आणि मूल्यांकन. प्रगत देखरेख आणि न्यायवैद्यक विश्लेषण साधने वापरा घटना आणि फायलींचे. लॉग आणि आर्टिफॅक्ट्सचे पुनरावलोकन करून प्रत्यक्ष व्याप्ती, वेक्टर आणि प्रभावित खाती निश्चित करते.
  • नियंत्रण. धोक्यात आलेल्या सिस्टीम वेगळ्या करासत्रे आणि टोकन रद्द करा, क्रेडेन्शियल्स बदला आणि तातडीने विभागणी करा. हल्लेखोराला सतत हालचाल करण्यापासून किंवा बाहेर पडण्यापासून रोखा.
  • निर्मूलन आणि पुनर्प्राप्ती. हल्ला साधने काढून टाकते, भेद्यता दुरुस्त करते y ज्ञात बॅकअपमधून पुनर्संचयित करा अवशिष्ट क्रियाकलाप शोधण्यासाठी वाढीव देखरेख ठेवा.
  • विश्लेषण आणि सुधारणा. घटनेचे दस्तऐवजीकरण करा, धोरणे अपडेट कराशोध नियम समायोजित करा आणि भागधारकांशी पारदर्शकपणे संवाद साधा. या टप्प्यामुळे भविष्यातील उल्लंघनांचा खर्च कमी होतो.

साधने आणि बुद्धिमत्ता: काय फरक पडतो

अंमलबजावणीपूर्वी मालवेअर आणि रॅन्समवेअर बायनरी शोधणारे एआय-आधारित दृष्टिकोन, सक्रिय धोका शोध सेवा आणि एमडीआर द्वारे एसओसीचे दररोजचे मजबुतीकरण हे उदयोन्मुख टीटीपींपेक्षा पुढे राहण्यासाठी महत्त्वाचे घटक आहेत.

धोक्याची गुप्तचर पोर्टल ज्यांच्याकडे प्रवेश आहे जवळजवळ रिअल-टाइम तांत्रिक आणि संदर्भित माहिती ते तुम्हाला मोहिमांचा अंदाज घेण्यास, शोध अपडेट करण्यास आणि वॉचलिस्ट भरण्यास अनुमती देतात. ते संपूर्ण कव्हरेजसाठी एंडपॉइंट्स आणि नेटवर्क सेन्सर्सवर EDR/XDR ला पूरक आहेत.

विंडोजमध्ये तडजोडीची सामान्य चिन्हे जी तुम्ही दुर्लक्ष करू नयेत

  • कामाच्या तासांनंतरचे जास्त लॉगिन आणि उच्च-विशेषाधिकार खात्यांमध्ये; डेटा स्पाइक्स आणि रिमोट अॅक्सेसमधील सहसंबंध.
  • वारंवार येणारे कलाकार किंवा मागच्या दाराचे पुनरागमन: ट्रोजन क्लोन जे कथित "साफसफाई" नंतर परत येतात.
  • मेल इंटरसेप्शन किंवा मेलबॉक्समध्ये विचित्र लॉगिन; विशेषतः कार्यकारी अधिकारी किंवा वित्त विभागांना लक्ष्य करणारे स्पेअर फिशिंग.
  • इतर विसंगती: सर्व्हरचा असामान्य मंदावणे, रजिस्ट्रीमध्ये बदल, अज्ञात खाती तयार करणे किंवा स्टार्टअपवर विचित्र सेवा.

खर्च आणि प्रेरणा: एपीटीला मोठ्या बजेटची आवश्यकता का नाही

जरी ते तुम्हाला आश्चर्यचकित करत असले तरी, काही एपीटी मोहिमांचा ऑपरेटिंग खर्च माफक असू शकतो.व्यावसायिक प्रवेश चाचणी साधने आणि काही पायाभूत सुविधा सेवा खर्चाचा मोठा भाग असतात, परंतु आक्रमणकर्त्याला मिळणारा परतावा (आर्थिक किंवा धोरणात्मक) सहसा गुंतवणुकीला न्याय्य ठरवतो.

Preguntas frecuentes

  • एपीटी आणि "अ‍ॅडव्हान्स्ड टार्गेटेड अटॅक" (एटीए) मध्ये काय फरक आहे? प्रत्यक्षात, ATA हे सुस्थापित गटांनी वापरलेल्या पद्धतीचे वर्णन करते; जेव्हा ती क्रियाकलाप सतत चिकाटी आणि अनुकूलनाने टिकून राहते, तेव्हा आपण APT बद्दल बोलतो. ते युक्त्या, पायाभूत सुविधा, कोड पुनर्वापर आणि उद्दिष्टांच्या प्रकाराने ओळखले जातात.
  • APT35 चे विशिष्ट लक्ष्य आणि कार्यपद्धती काय आहेत? ते धोरणात्मक क्षेत्रे आणि शैक्षणिक संस्थांना लक्ष्य करतात, ज्यात खूप विश्वासार्ह भाला फिशिंग, क्रेडेन्शियल चोरी, क्लाउड सेवांचा गैरवापर आणि विंडोजमध्ये नेटिव्ह टूल्स आणि प्रच्छन्न C2 वापरून टिकून राहणे.
  • जर एपीटी जवळजवळ कोणताही मागमूस सोडत नसेल तर मी ते कसे शोधू? शोध असामान्य वर्तन: आउट-ऑफ-पॅटर्न लॉगिन, मोठ्या कॉम्प्रेस केलेल्या फायली, विचित्र आउटबाउंड ट्रॅफिक, असामान्य कनेक्शन सुरू करणाऱ्या प्रक्रिया आणि साफसफाईनंतर मालवेअर पुनरावृत्ती.
  • अँटीव्हायरस आणि प्रशिक्षण पुरेसे आहे का? क्रमांक तुम्हाला EDR/XDR, टेलीमेट्री, सेग्मेंटेशनची आवश्यकता आहे.अनुप्रयोग नियंत्रण आणि सुव्यवस्थित प्रतिसाद. जागरूकता मदत करते, परंतु ऑटोमेशन आणि दृश्यमानता आवश्यक आहे.

APT35 आणि इतर APTs विरुद्ध विंडोज मजबूत करण्यासाठी देखरेख, तंत्रज्ञान आणि प्रक्रियांचे संयोजन आवश्यक आहे. मजबूत प्रवेश नियंत्रणे, EDR/XDR, धोक्याची बुद्धिमत्ता आणि चांगल्या प्रकारे तैलबद्ध प्रतिसादासहतुम्ही शत्रूच्या संधीची खिडकी खूपच कमी करू शकता आणि त्यांना पहिला क्लिक मिळाल्यावरही त्यांचा प्रभाव कमी करू शकता.

संबंधित लेख:
विंडोजमध्ये वाढीव बॅकअप कसे घ्यावे यासाठी संपूर्ण मार्गदर्शक