¿Qué es una APT? 11 Jun 2013 Brian Donohue Featured Post, Post, Malware 6 comentarios APT son las siglas del trmino ingls Ad!anced Persistent Threat "Amena#a A!an#ada Persistente$, conce%to &ue salt' a la (ama tras la di!ulgaci'n, %or %arte de The )ew *or+ *or+ Times, del ata&ue reali#ado %or una unidad militar china "conocida como APT1$ contra las redes de di(erentes medios mediante una cam%aa de s%ear %hishing - malware.
/as APT tienen tienen dos caras el conce%to conce% to - las %ersonas. Por una %arte, % arte, esta amena#a es un ti%o so(isticado de cierata&ue. n camio, tamin %uede re(erirse a a&uellos gru%os, normalmente %atrocinados %or los estados, &ue son los res%onsales del lan#amiento de dichas cam%aas maliciosas. uando %ensamos en la ma-or4a de ciercriminales - sus ata&ues, creemos &ue su o5eti!o es in(ectar tantos e&ui%os como sea %osile a tra!s de un so(tware malicioso, una red de otnets o el roo de credenciales. uanto ma-or es la ed, m7s o%ortunidades e8isten %ara roar dinero, recursos in(orm7ticos, etc. n camio, las ATP ATP no atacan de (orma aleatoria, sino &ue tienen un o5eti!o es%ec4(ico. As4, su (in es com%rometer un e&ui%o en concreto, el cual contiene con tiene in(ormaci'n de !alor. 9er4a todo un 8ito si un atacante lograra cargar un +e-logger o instalar un ac+door en el
ordenador de un alto directi!o de una com%a4a im%ortante. Pero, a(ortunadamente, no es tan sencillo. 8isten muchos %ro(esionales &ue traa5an %ara &ue esto no ocurra. n otras %alaras, es realmente di(4cil hac+ear a este ti%o de indi!iduos. As4 &ue, en !e# de dirigir sus ata&ues contra un :, los gru%os APT suelen escoger otros o5eti!os m7s sencillos, como em%leados de menor rango, los cuales no almacenan tanta in(ormaci'n !aliosa en sus e&ui%os %ero utili#an la misma red - %ueden con!ertirse en el tram%ol4n &ue les haga llegar a los ordenadores &ue desean. s decir, los ata&ues se dirigen a em%leados corrientes %ara llegar al e&ui%o del gran 5e(e. sta t7ctica tamin resulta com%licada %or&ue las com%a4as siguen in!irtiendo recursos en %roductos de seguridad in(orm7tica - en la educaci'n de sus em%leados. /os hac+ers APT cada !e# eligen o5eti!os m7s oscuros %ara sincroni#ar una cadena com%le5a de in(ecciones &ue les ara camino hasta la in(ormaci'n de !alor. Por e5em%lo, si eres un ingeniero &ue traa5a %ara una com%a4a &ue disea %ie#as %ara el modelo Boeing; ser7s el o5eti!o inicial de los gru%os APT %ara hacerse con el secreto me5or guardado. <u7l es la conclusi'n= )o es necesario ser un : %ara con!ertirse en el o5eti!o de una APT; cual&uiera %uede ser la cone8i'n %er(ecta en un ata&ue dirigido. /a semana %asada, nuestros amigos de 9ecurelist descurieron una cam%aa de cieres%iona5e, estilo APT, llamada >)etTra!eler ?. ntre sus o5eti!os se encontraan di%lom7ticos, sucontratas militares - agencias guernamentales %rocedentes de @0 %a4ses. ste ata&ue, como otros muchos APT, comen#' con una cam%aa de s%ear %hishing &ue e8%lotaa un %ar de !ulnerailidades de Microso(t. Al (inal, los atacantes utili#aron una herramienta ca%a# de e8traer la in(ormaci'n del sistema mediante un malware de +e-logging roando documentos ord, 8cel - Power Point - modi(icando las con(iguraciones %ara aduearse de diseos orel Draw, archi!os AutoAD - otro ti%o de documentos usados en los c4rculos de de(ensa. 9e deer4a considerar este ata&ue una amena#a a!an#ada %ersistente %or&ue no solo se dirig4a a indi!iduos es%ec4(icos sino a organi#aciones cu-os e&ui%os conten4an secretos !aliosos. /os in!estigadores de as%ers+/a han a(irmado &ue &uien ha-a lan#ado el ata&ue )etTra!eler %uede ser el res%onsale, tamin, de los ata&ues Titan ain - Chost)et.
http://blog.kaspersky.es/que-es-una-apt/966/
¿Qué son las APTs? Las advanced persistent threats (APTs) son una categoría e malware que se encuentra total!ente or"entao atacar ob#et"$os e!presar"ales o polít"cos. Toos los APTs t"enen algunas característ"cas en co!%n& pero s"n uas una e las !ayores característ"cas es la capac"a e oculta!"ento por parte e este t"po e a!ena'as. Al ser a!ena'as alta!ente s"g"losas& estas logran perurar entro e la re aectaa por largos per"oos e t"e!po s"n ser etectaas. "n e!bargo& en su no!bre en n"ng%n !o!ento aparece la palabra *s"g"losa+ (en "ngl,s tealth)& advanced persistent threat hace reerenc"a a tres característ"cas !uy "!portantes en este t"po e malware s"n "!portar la "erenc"a que pu"era e"st"r en toas las en"c"ones que poe!os encontrar en nternet. e les lla!a avanzadas (en "ngl,s A$ance)& ya que este t"po e a!ena'as cuentan no con uno& s"no con $ar"os !,toos e ataque& propagac"0n u oculta!"ento en el s"ste!a. Así !"s!o& se conoce que este t"po e a!ena'as son generaas por grupos e proes"onales& qu"enes t"enen el t"e!po& el conoc"!"ento& la pac"enc"a y los recursos para generar una p"e'a %n"ca& s"n preceentes& generaas ese la naa !"s!a& e$"tano herra!"entas e construcc"0n e malware. Por e#e!plo& en el caso e Stuxnet se han lograo "ent"car al !enos 12 t"pos e co"cac"0n "st"nta& e$"tano la pos"b"l"a e obtener un perl e su progra!aor. e les lla!a persistentes (en "ngl,s Pers"stent) ya que sus creaores to!an !uy en ser"o su ob#et"$o. 3u"enes t"enen la tarea e esarrollar una APT& no buscan un r,"to "n!e"ato& s"no que esperan pac"ente!ente entro e su ob#et"$o& !on"toreano s"g"losa!ente y con un perl ba#o. Por e#e!plo& se supo que la botnet mariposa se encontr0 res""eno entro e algunas e!presas por !4s e un a5o. e les lla!a amenazas (en "ngl,s Threat) eb"o al n"$el e coor"nac"0n hu!ana "n$olucraa en el ataque. A "erenc"a e otras p"e'as e c0"go total!ente carentes e "ntel"genc"a y auto!4t"cas& los operaores e una APT cuentan con un ob#et"$o claro& s"eno qu"enes est4n etr4s e este t"po e c0"gos& personas capac"taas& !ot"$aas& organ"'aas y sobre too& b"en pagas.
¿Cómo ingresa una APT dentro de la empresa?
Las APTs logran "ngresar entro e las e!presas a tra$,s e "st"ntos $ectores e "necc"0n& "ncluso en aquellos escenar"os proteg"os con buenas estrateg"as e segur"a. Al !enos pueen "st"ngu"rse tres granes grupos o $ectores e "ntroucc"0n e una APT en una organ"'ac"0n:
necc"0n e !alare pro$en"ente e nternet
o
o
7onloa ers Arch"$os a#untos en correos electr0n"cos
necc"0n e !alare por !e"os *ís"cos+
o
o
o o
Arch"$os co!part"os o rees P1P
o
o
otare p"rata o uso e 8eygens Ph"sh"ng n$enena !"ento e 7& etc.
=7s o 7>7s Tar#etas e !e!or"a
o
o
o
o o
o
Penr"$ es o t"cks ;<
necc"0n por eplo"t eterno
o
Appl"an ces
?ackers proes"onale s >ulnerab"l "aes ngreso por @" Ataque a la nube
qu"po s e tecnología con backoors
A pesar e contar e "nnu!erables casos e APTs entro e las tres categor"as !ostraas anter"or!ente& e"sten reg"stros en one el "ngreso e la APT no correspone con estas. s necesar"o& cuano se habla e ATPs& contar cn la pos"b"l"a e un *contacto "nterno+ en la organ"'ac"0n. Las *a!ena'as "nternas+ o *cone"0n e conan'a+ son aquellos e!pleaos e las organ"'ac"ones que s"r$en para *plantar+ la APT e !anera "nterna& s"n neces"a e tener que quebrar la barrera per"!etral e segur"a e la re. ste %lt"!o actor& es un "ngre"ente
cla$e en !uchas APTs. "entras que aquellas organ"'ac"ones que son ob#et"$o e este t"po e a!ena'as e!plean tecnolog"as sost"caas en pre$en"r el acceso no autor"'ao& los responsables e las APTs ut"l"'an creenc"ales e e!pleaos o pro$eeores a tra$,s e oc"nas re!otas& !enos seguras y logran e esta !anera recolectar la "nor!ac"on necesar"a para lan'ar el ataque. ;na parte $"tal e la APT es la capac"a e una APT e per!anecer oculta entro e la organ"'ac"0n por !ucho t"e!po& ya que presentan un perl e ataque lento y ba#o& !o$"enose e !anera s"g"losa entre un host y otro. Sin embargo, a pesar de permanecer totalmente ocultas a nivel de host, las APTs necesitan comunicarse con su servidor de Command Control, siendo este tipo de comunicación dentro del tr!"co de red, el unico sintoma perceptible de su precencia# http://ant"$"rus.co!.ar/tech"eblog/12BB/29/C=1C