Os APT’s e ataques direcionados são construídos especificamente para cada empresa, contudo, eles costumam seguir um processo de seis estágios que demonstraremos a seguir:

 

1 – Pesquisa Aprofundada

Os criminosos iniciam o processo com uma pesquisa extensa. Utilizando qualquer informação pública disponível, ferramentas de scanning de rede, mídias sociais e outras fontes, eles identificam pontos de entrada promissores e removem a cobertura da estrutura de suas defesas. O plano de ataque é baseado na inteligência que reuniram.

 

2 – Ponto de Entrada

Em uma tática comum, chamada de “spear-phishing”, um empregado recebe um email aparentemente legítimo com um arquivo com aparência de normal anexado, ou contendo algum link malicioso no corpo do email.

Outra tática, chamada de “watering-hole”, o criminoso compromete um site legítimo que é do interesse de alguma pessoa em sua empresa, que faz o download do malware inadvertidamente.

Outras técnicas podem incluir:

  • Diretamente hackear o sistema alvo
  • Invadir a rede de um parceiro e conseguir movimentação lateral para a sua através de tráfego legítimo
  • utilizar redes inseguras como de hóteis, cafés, aeroportos e outras
  • Entregar o código de ataque via USB ou outra forma de armazenamento removível

 

3 – Comando & Controle (C&C)

Uma vez dentro do dispositivo alvo, o malware se comunica com um servidor de C&C para entregar informação, receber instruções e realizar o download de outros malwares. Isso permite ao atacante responder ativamente aos seus esforços de segurança. O tráfego de C&C pode ocorrer de/para um endereço IP confiável ou um host malicioso, utilizando vários protocolos de comunicação e encriptação.

 

4 – Movimento Lateral

A partir do ponto inicial de entrada, os criminosos precisam identificar outros ativos em sua rede e se mover de sistema para sistema. Eles buscam outros diretórios, email, servidores de administração de forma a mapear a infraestrutura interna de sua rede e obter as credenciais para acessar esses sistemas.

 

5 – Descoberta de ativos e dados

Ao escanear portas selecionadas, monitorar tráfego interno e outras técnicas, os atacantes então buscam identificar os servidores e serviços específicos que contenham seus dados mais valiosos.

 

6 – Exfiltração de Dados

No último estágio, os atacantes copiam os dados que desejam extrair e monetizar. Eles utilizam encriptação, compressão e outras técnicas para se disfarçarem no processo. então, eles transmitem isso para locações externas sob seu controle. Mais comumente, eles colocam informações e dados à venda no mercado negro.