Manapság egyre többet beszélünk a Zero-Day támadásokról, vagy más néven APT-kről (Advanced Persistent Threat), megszülettek az első mérvadó teszt is a gyártók teljesítményéről, de tudjuk, hogy mit jelent pontosan ez a mozaik szó?

Az APT, mint fogalom már 2006-ban megjelent, de gyakori használata és elterjedése 2011-re tehető. Az APT-k azonban sokkal régebb óta jelen vannak. Első nevesített változata a Stuxnet számítógépes féreg volt, ami az iráni nukleáris program rendszerét veszélyeztette. A hírek szerint legutoljára felfedezett APT-t Careto névre keresztelték, amely hivatali és államtitkok gyűjtésére ill. a célszemélyek megfigyelésére lett kifejlesztve. De ne higgyük, hogy az APT-k csak a nagyvállalatokat veszélyeztetik. Mindenkire, kezdve a kis és középvállalkozásoktól, a hírességeket vagy államok szervezeteit is egyaránt érintheti.

Az APT akronim szó értelmezése:

A, mint Advanced: a támadás kivitelezése olyan fejlett technikákat alkalmaznak, ami nem egyetlen támadási formával valósul meg, hanem tipikusan 2-3, vagy több részlépésből, külön technikai megoldásokból is állhat. Az egyes lépések kivitelezéséhez fejlett módszereket használnak, ami által felfedezésük és későbbi kivizsgálásuk meglehetősen nehéz feladat. A támadás sikerességének összessége az egyes lépésekből tevődik össze, azok egymásra épülnek, ill. az egyes lépések alatt szerzett információkat a többi lépésben aktívan használják.

P, mint Persistent: a támadási forma folyamatosan jelen van, több különböző forrásból gyűjtik az információt, amit a tervezési szakaszban használnak. Ez lehet spammelés, telefonos megkeresés, de akár a célszemély személyes hulladékából történő gazdálkodás is. A támadók egészen addig – lassan de biztosan – végzik az adatgyűjtést, amíg elegendő információt nem gyűjtöttek a következő lépés kivitelezéséhez.

T, mint Threat: veszélyt jelentenek, mert a támadók célirányosan, meghatározott háttérrel – általában pénzszerzés céljából – végzik el az információ, adat és személyiség lopásokat, amivel az áldozatokat hatalmas károk érhetik.

A felmérések szerint az APT-k terjedése – habár nehéz számszerűsíteni – a technikák fejlődésével egyetemben rohamosan növekszik. Azt csak találgatni lehet, hogy hány fajta és mire szakosodott APT van napjainkban is jelen…

Mit tehetünk ellenük?

A tradícionális védelmi technikák itt már sajnos nem rúgnak labdába. Felmérések szerint az újonnan megjelenő kártékony kódok 80%-a valamely már meglévő vírus modifikációjával állítódik elő, ami – heurisztikus és viselkedés vizsgálati módszerek hiányában – szignatúra alapon nem detektálható.

De, ahogy azt már korábbi cikkeinkben is kifejtettük, a Zero-Day támadások ellen az IT biztonsági gyártók is rendelkeznek specializált védelmi megoldásokkal. Ezek mindegyike egy alapelven működik: a fertőzés terjesztésére használt fájlokat egy elkülönített rendszerben kell vizsgálni és az ott tapasztalt viselkedésmintákból következtetni a fájl rosszindulatú tevékenységeire. Az alkalmazott vizsgálati módszerekben viszont nagy eltérés mutatkozik. A Sandbox technikák alkalmazásával az APT fejlesztők is javítják működésüket. Ezek közé tartozik a speciális környezetek felismerése: ha a malware tudja, hogy vizsgálják (Sandbox környezetben van), módosítja működését, amíg az izolációs teszt időkorlátja le nem jár. Így esélyt kaphat arra, hogy észrevétlen maradjon és elérje célját. Az ezt megvalósító technikák és alkalmazott vizsgálati módszerek száma egyre tágasabb: registry értékek vizsgálata, egér mozgás figyelése, stb… A biztonsági gyártók is törekednek arra, hogy az APT-k ne tudják kijátszani védelmüket. Igyekeznek olyan specializált környzeteket építeni, amiből az APT-k nem jönnek rá, hogy Sandbox környezetben futnak.

Ahogy a bevezetőben is elhangzott, már megtörtént az első független tesztelés eredményének publikációja is. Ebben a Trend Micro Deep Discovery és a Fortinet FortiSandbox megoldása mutatott kiemelkedő találati eredményeket. De a további gyártók – pl. Check Point ill. a nemrég megjelent WatchGuard APT védelme – is okozhatnak meglepetést a következő teszteken.

-VJ