APT35 रणनीतियाँ, तकनीकें और प्रक्रियाएँ: वे कैसे काम करती हैं और विंडोज़ की सुरक्षा कैसे करें

  • APT35 विश्वसनीय स्पीयर फ़िशिंग, क्रेडेंशियल चोरी और विंडोज़ पर दृढ़ता के लिए जाना जाता है।
  • एपीटी में घुसपैठ, पार्श्व गति, तथा गुप्त सी2 के साथ छद्म रूप से घुसपैठ को सम्मिलित किया गया है।
  • ईडीआर/एक्सडीआर, सेगमेंटेशन, पैचिंग और नेटवर्क/एंडपॉइंट टेलीमेट्री महत्वपूर्ण बाधाएं हैं।
Pablo

11 मिनट

विंडोज़ पर APT35 साइबर सुरक्षा

आज के खतरे के परिदृश्य में, कुछ ही दुश्मन APT35 की तरह लगातार और गुप्त रूप से सक्रिय हैं। यह अभिनेता, जिसे हेलिक्स किटन या चार्मिंग किटन के नाम से भी जाना जाता है[कंपनी का नाम] ने अच्छी तरह से शोध किए गए लक्षित फ़िशिंग अभियानों, पहचान की चोरी और कॉर्पोरेट वातावरण में दीर्घकालिक स्थिरता के लिए एक प्रतिष्ठा बनाई है। यदि आप किसी संगठन में विंडोज़ के साथ काम करते हैं, तो इसकी रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) को समझना [ऑपरेशनल सुरक्षा] के लिए महत्वपूर्ण है। हमले की सतह को कम करना और समय पर प्रतिक्रिया करें.

यद्यपि इन्हें प्रायः "फिल्मी" हमलों के रूप में देखा जाता है, लेकिन उन्नत सतत खतरे कोई विज्ञान कथा नहीं हैं। वे व्यवस्थित, बहु-स्तरीय और धैर्यपूर्ण ऑपरेशन हैंये हमले घुसपैठ करने, बिना पकड़े जाने और सही मौके पर मूल्यवान डेटा चुराने के लिए डिज़ाइन किए गए हैं। APT35 इस प्रोफ़ाइल में फिट बैठता है: विश्वसनीय स्पीयर फ़िशिंग अभियान, एक छद्म कमांड और नियंत्रण ढाँचा, और पीड़ित द्वारा अपनी सुरक्षा मज़बूत करने के साथ-साथ अपने तरीकों को बदलने की एक मज़बूत क्षमता।

APT क्या है और APT35 विंडोज़ के लिए विशेष चिंता का विषय क्यों है?

एक उन्नत लगातार खतरा एक लंबी अवधि का हमला है जिसमें विरोधी अनधिकृत पहुँच प्राप्त करता है और इसे गुप्त रखता है जानकारी चुराने, गतिविधियों पर नज़र रखने, या जब उन्हें सुविधा हो तब व्यवधान पैदा करने के लिए। "बल्क" मैलवेयर के विपरीत, APTs बड़ी संख्या में काम नहीं करते; वे विशिष्ट उद्देश्यों को लक्षित करते हैं और आगे बढ़ने से पहले अपने परिवेश के बारे में जानकारी प्राप्त करते हैं।

विंडोज़ पर, APT35 अक्सर सोशल इंजीनियरिंग का उपयोग करके दरवाजा खोलता है: बारीकी से तैयार किए गए स्पीयर फ़िशिंग ईमेलक्लोन किए गए क्रेडेंशियल पृष्ठसम्मेलनों या शैक्षणिक कार्यक्रमों के लिए फर्जी निमंत्रण, और ऐसे घोटाले जो शिकार को कोड चलाने या टोकन देने के लिए उकसाते हैं। एक बार अंदर घुस जाने पर, ध्यान दृढ़ता पर केंद्रित होता है: पिछले दरवाजे, क्रेडेंशियल का दुरुपयोग, और गुप्त पार्श्व गतिविधि।

एपीटी के पीछे कौन है और एपीटी35 इसमें कैसे फिट बैठता है?

ए.पी.टी. को आमतौर पर सुव्यवस्थित अभिनेताओं का समर्थन प्राप्त होता है। हम तीन मुख्य ब्लॉकों में अंतर कर सकते हैंराज्य-प्रायोजित समूह, संगठित अपराध और हैक्टीविस्ट समूह। कई विश्लेषकों के अनुसार, ईरानी हितों से जुड़ा APT35, आर्थिक, सैन्य और राजनीतिक उद्देश्यों के साथ एयरोस्पेस, दूरसंचार, वित्त, ऊर्जा, रसायन और आतिथ्य जैसे क्षेत्रों को लक्षित करता है।

राज्य द्वारा संचालित समूहों में कुछ प्रसिद्ध मामले सामने आते हैं: लाज़ारस (उत्तर कोरिया), सोनी घटना जैसे वित्तीय चोरी और संचालन में शामिल; APT28/फैंसी बियर और APT29/कोज़ी बियर (रूस)सरकारी, राजनयिक और चुनावी लक्ष्यों के विरुद्ध अभियान चलाना; और APT40विश्वविद्यालयों और रक्षा क्षेत्र को निशाना बनाकर साइबर जासूसी से जुड़े ये ऑपरेशन APT की योजना की व्यापकता को दर्शाते हैं।

संगठित अपराध में वित्तीय लाभ ही सर्वोपरि है। कार्बानाक/FIN7 बैंकिंग और खुदरा क्षेत्र पर हमला किया है; Darkside कोलोनियल पाइपलाइन घटना के कारण उन्हें प्रसिद्धि मिली। दूसरी ओर, हैक्टीविस्ट वैचारिक या राजनीतिक उद्देश्यों से काम करते हैं: गुमनाम ओ ला सीरियाई इलेक्ट्रॉनिक सेना ये वास्तविक प्रभाव वाले विरोध कार्यों और प्रचार के उदाहरण हैं।

इन विरोधियों में, राज्यों से जुड़े विरोधी भी शामिल हैं, वे लाभ या रणनीतिक लाभ चाहते हैं बौद्धिक संपदा की चोरी, जबरन वसूली (रैंसमवेयर) या महत्वपूर्ण प्रणालियों तक पहुंच के माध्यम से।

वे कैसे काम करते हैं: प्रमुख रणनीतियाँ, तकनीकें और प्रक्रियाएँ

एक सामान्य APT कई परतों को जोड़ता है: घुसपैठ, चढ़ाई और पार्श्व आंदोलन, और बहिर्गमनघुसपैठ के दौरान, APT35 उपयोगकर्ता के मनोविज्ञान का फायदा उठाकर पहला क्लिक करने के लिए मजबूर करता है और, यदि संभव हो, तो सिस्टम में एक्सप्लॉइट या बिना पैच वाले सॉफ़्टवेयर के ज़रिए घुसपैठ करता है। विंडोज़ पर, दस्तावेज़ों में दुर्भावनापूर्ण मैक्रोज़, नकली लॉगिन पृष्ठों के लिंक और बिना पकड़े रहने के लिए सिस्टम टूल्स का इस्तेमाल आम बात है।

एक बार अंदर घुसने के बाद, हमलावर इसके कमांड और कंट्रोल (C2) बुनियादी ढांचे के साथ संचार स्थापित करता है। इस संचार को वैध ट्रैफ़िक के रूप में प्रच्छन्न किया जा सकता है।साधारण HTTP(S) अनुरोधों से लेकर सार्वजनिक सेवाओं द्वारा समर्थित अधिक रचनात्मक चैनलों तक (ऐसे TTP भी रहे हैं जो सोशल नेटवर्क या क्लाउड दस्तावेज़ों का दुरुपयोग करते हैं)। स्थिर संचार के साथ, परिसंपत्ति खोज और पार्श्व गति शुरू होती है।

रक्षकों को यह ध्यान रखना चाहिए कि एक आधुनिक ए.पी.टी. सार्वजनिक पोस्ट-एक्सप्लॉइटेशन फ्रेमवर्क और उपकरणों का लाभ उठाना (उदाहरण के लिए, जाने-माने फ्रेमवर्क) बल्कि कस्टम-निर्मित घटक भी। कभी-कभी, हमलावर डिस्क पर कोई निशान छोड़ने से बचने के लिए कोड को मेमोरी में लोड कर देते हैं और DLL साइडलोडिंग जैसी तकनीकों का सहारा लेते हैं।

एक्सफ़िलट्रेशन में डेटा बूंद-बूंद करके या बैचों में बाहर आता है, नेटवर्क के शोर से छिपा हुआ या संपुटित (संपीड़ित फ़ाइलें, सामान्य प्रोटोकॉल, गुप्त चैनल)। यदि पीड़ित को कुछ पता चल जाता है, तो APT वास्तविक लीक को छिपाने के लिए DDoS हमले जैसे विकर्षण उत्पन्न कर सकता है।

APT हमले के चरण-दर-चरण चरण

  1. मान्यतावे ईमेल पते, सार्वजनिक प्रोफ़ाइल, इस्तेमाल की गई तकनीकें (कभी-कभी नौकरी की पोस्टिंग में बताई गई जानकारी) और अन्य उपयोगी जानकारी इकट्ठा करते हैं। यह वकील के लिए एक शांत मंच होता है।
  2. अतिक्रमणस्पीयर फ़िशिंग कमजोरियों का शोषणकमज़ोर पासवर्ड या दस्तावेज़ों में एम्बेडेड मैलवेयर एक बड़ा ख़तरा हो सकता है। विंडोज़ पर, कोड निष्पादित करने के लिए अक्सर सिर्फ़ "गलत" अटैचमेंट खोलना ही काफ़ी होता है।
  3. पहचान की चोरीवे वैध क्रेडेंशियल्स (कुकीज़, टोकन, पासवर्ड) की खोज करते हैं और वैध उपयोगकर्ताओं की पहचान का उपयोग करके दर्जनों सिस्टम तक पहुंच बनाते हैं। हस्ताक्षर-आधारित नियंत्रणों से बचना.
  4. उपयोगिताएँ स्थापित करनावे गुप्त प्रशासन, पासवर्ड चोरी, निगरानी और अन्य के लिए उपकरण शामिल करते हैं। एक छोटा प्रत्यारोपण या स्क्रिप्ट यह बड़े भार के लिए स्प्रिंगबोर्ड के रूप में काम कर सकता है।
  5. पिछले दरवाजे और विशेषाधिकारवे बैकडोर, छिपे हुए खाते बनाते हैं या कॉन्फ़िगरेशन में बदलाव करते हैं। अगर वे डोमेन एडमिनिस्ट्रेटर क्रेडेंशियल हासिल कर लेते हैं, उनके पास राज्य की चाबियाँ हैं पार्श्व में गति करना।
  6. निष्कासनवे HTTP/FTP या अन्य चैनलों का उपयोग करके ईमेल, फ़ाइलें और डेटाबेस को मध्यवर्ती सर्वर या क्लाउड स्टोरेज पर पैकेज करते हैं। वे DNS सुरंगों का दुरुपयोग भी कर सकते हैं यदि पर्यावरण इसकी अनुमति देता है।
  7. हठआंशिक पहचान के बाद भी वे बने रहने का प्रयास करते हैं। यह हठ APT की पहचान है।, महीनों तक रुकना पड़ता है।

प्रगति पर चल रहे APT के संकेतक और संकेत

यातायात चरम या आंतरिक उपकरणों से बाहरी उपकरणों की ओर असामान्य प्रवाह ये एक ख़तरे की घंटी हैं। इसी तरह, व्यावसायिक घंटों के बाहर या असामान्य स्थानों से लॉगिन करना भी ख़तरे की निशानी है।

लास आवर्ती मैलवेयर संक्रमण यह तथ्य कि "सफाई" के बाद बैकडोर फिर से खुल जाते हैं और फिर से दिखाई देते हैं, दृढ़ता का संकेत देता है। इसके अलावा, अगर बड़ी या संपीड़ित फ़ाइलें ऐसे प्रारूपों में सामने आती हैं जिनका कंपनी द्वारा शायद ही कभी उपयोग किया जाता है, तो जाँच ज़रूरी है।

अधिकारियों या संवेदनशील कर्मियों द्वारा प्राप्त असामान्य ईमेल, जो स्पीयर फ़िशिंग के विशिष्ट लक्षण हैं, वे आम तौर पर APT श्रृंखला में पहला कदम होते हैंएक और सुराग: बड़े पैमाने पर परिचालन वाले डेटाबेस में असामान्य गतिविधि।

कुछ प्रदाता यह लॉग करते हैं कि ईमेल कहां खोला गया है या किस आईपी पते से; पत्राचार की असामान्य पहुंच या अवरोधन का अवलोकन [कुछ] संकेत दे सकता है। घुसपैठिए संचार की समीक्षा कर रहे हैंअंतिम बिंदु स्तर पर, हमलावर कमजोरियों का फायदा उठाने के लिए नीतियों और अनुपालन अंतरालों का पता लगाता है।

वस्तुनिष्ठ और उदाहरणात्मक उदाहरणों द्वारा APT के प्रकार

  • तोड़फोड़ या व्यवधानअत्यधिक जटिल ऑपरेशन जो पीड़ित को सचेत किए बिना औद्योगिक प्रक्रियाओं में हेरफेर करते हैं। प्रतिमानात्मक मामला: Stuxnet, जिससे ईरानी सेंट्रीफ्यूज प्रभावित हुए।
  • जबरन वसूलीवित्तीय लाभ के उद्देश्य से चलाए जाने वाले अभियान, जैसे रैनसमवेयर। Ryuk यह उन लक्षित हमलों के लिए जाना जाता है जो महत्वपूर्ण परिसंपत्तियों को एन्क्रिप्ट करते हैं और उच्च फिरौती की मांग करते हैं।
  • घुसपैठ और निष्कासनलक्ष्य डेटा को निरंतर बनाए रखना और निकालना है। अभियानों को इसके लिए जिम्मेदार ठहराया गया है APT32 y APT37 आर्थिक और राजनीतिक जासूसी के लिए।
  • आपूर्ति श्रृंखलाआपूर्तिकर्ता अपने ग्राहकों तक पहुँचने के लिए प्रतिबद्ध हैं। मीडिया का उदाहरण था ओरियन (फोरमों में APT29 को जिम्मेदार ठहराया गया), और NotPetya यह एक समझौता किए गए अपडेट के माध्यम से फैला, जिससे वैश्विक क्षति हुई।

वास्तविक जीवन के मामले जो सबक सिखाते हैं

पर हमला RAM स्क्रैपर से लक्ष्य उसने एक आपूर्तिकर्ता की कमज़ोरी का फ़ायदा उठाकर उसके इकोसिस्टम तक पहुँच बनाई। यह अभिनेता हफ़्तों तक पॉइंट-ऑफ़-सेल टर्मिनलों में घुसपैठ करता रहा, क्रेडिट कार्ड का डेटा चुराता रहा और एक साथ बहुत बड़ी मात्रा में बाहर निकालना.

शोधकर्ताओं ने एक उपसमूह द्वारा चलाए गए अभियानों का पता लगाया लाजास्र्स जिन्होंने प्रसिद्ध डीट्रैक मैलवेयर को संशोधित किया और माउई रैनसमवेयर का उपयोग किया। इन-मेमोरी लोड विंडोज़ पर निष्पादित किए गएडीट्रैक ने सिस्टम डेटा और ब्राउज़र इतिहास एकत्र किया, तथा इसमें महीनों का समय लगा।

भाग्यशाली व्यक्ति मैकओएस, विंडोज और लिनक्स के खिलाफ बैकडोर के लिए मिमी मैसेजिंग सेवा के ट्रोजन संस्करण को तैनात किया, ताइवान और फिलीपींस में संगठनों को शामिल करनायह APT की विशिष्ट क्रॉस-प्लेटफॉर्म संगतता को प्रदर्शित करता है।

समूह सीबोर्गियमरूसी हितों से जुड़े, वर्षों तक यूरोप में जासूसी करते रहे, वनड्राइव और लिंक्डइन तक पहुंच प्राप्त करने के लिए स्पीयर फ़िशिंग का दुरुपयोग करनावैध क्लाउड सेवाओं का दोहन पता लगाने को जटिल बना देता है।

टीटीपी में हालिया रुझान: क्या बदल रहा है और क्या नहीं

हाल ही की ग्रीष्मकालीन तिमाही के दौरान, विश्लेषकों ने खिलाड़ियों के बीच स्पष्ट अंतर देखा: कुछ उन्होंने अपने टूलकिट को मॉड्यूलर फ्रेमवर्क की ओर विकसित किया बहुत दृढ़, जबकि अन्य ने दीर्घकालिक संक्रमण श्रृंखलाओं के साथ लक्ष्य हासिल किया, यह प्रदर्शित करते हुए कि "सरल और सिद्ध" अभी भी काम करता है।

सबसे चौंकाने वाली खोजों में से एक संक्रमण था UEFI बूटकिटयह मोज़ेक रिग्रेसर नामक चरणबद्ध ढांचे का हिस्सा है, जिसने इम्प्लांट को अत्यधिक टिकाऊ बना दिया है और इसे नष्ट करना कठिन बना दिया है। UEFI महत्वपूर्ण हैइसे संक्रमित करने से ऑपरेटिंग सिस्टम के नीचे स्थायित्व प्राप्त होता है।

उन्हें भी देखा गया है स्टेग्नोग्राफ़ी तकनीक साइडलोडिंग के साथ: के3चांग से संबंधित एक अभियान ने ओकरम बैकडोर के एक संस्करण का उपयोग किया, जिसने मुख्य पेलोड को छिपाने के लिए हस्ताक्षरित विंडोज डिफेंडर बाइनरी का लाभ उठाया, एक वैध डिजिटल हस्ताक्षर बनाए रखना पता लगाने को कम करने के लिए.

अन्य समूह, जैसे कीचड़युक्त जलउन्होंने बहु-चरणीय रूपरेखाओं को दोहराया है, जबकि डीट्रैक इसमें अधिक प्रकार के पेलोड निष्पादित करने की नई क्षमताएँ शामिल की गईं। साथ ही, बिच्छू की एक प्रजाति यह सरल लेकिन अत्यधिक केंद्रित श्रृंखलाओं को बनाए रखता है, जिन्हें पता लगाने से बचने के लिए डिज़ाइन किया गया है, जो दर्शाता है कि सफलता के लिए परिष्कार हमेशा आवश्यक नहीं होता है।

APT35 पर ध्यान केंद्रित: विशिष्ट TTP और लक्ष्य

APT35 के लिए जाना जाता है अत्यधिक विश्वसनीय स्पीयर फ़िशिंग ईमेल और नकली दस्तावेज़ जो शैक्षणिक निमंत्रणों या संगठनों से आने वाले संचारों की नकल करता है। लॉगिन स्पूफिंग, संक्षिप्त लिंक का दुरुपयोग, और त्रुटिहीन दिखने वाले क्रेडेंशियल कैप्चर पेज देखना आम बात है।

विंडोज़ में, यह समूह मूल स्क्रिप्ट और उपकरणों पर निर्भर रहें पकड़े न जाने के लिए, C2 स्थापित करें और पार्श्विक रूप से आगे बढ़ें। सोशल इंजीनियरिंग और पैच न किए गए सॉफ़्टवेयर के अवसरवादी शोषण का संयोजन। इसकी उच्च सफलता दर की व्याख्या करता है पर्याप्त व्यवहारिक और विभाजन नियंत्रण के बिना।

विंडोज़ को APT35 और अन्य APT से कैसे सुरक्षित रखें

ईडीआर और एक्सडीआर. आधुनिक समाधान वास्तविक समय में असामान्य व्यवहार का पता लगाते हैंवे प्रक्रिया, नेटवर्क और मेमोरी की टेलीमेट्री प्रदान करते हैं, और तीव्र प्रतिक्रिया (उपकरणों को अलग करना, प्रक्रियाओं को समाप्त करना, परिवर्तनों को पूर्ववत करना) की अनुमति देते हैं।

पैचिंग और सख्तीकरण. विंडोज अपडेट करें, ब्राउज़र और ऑफिस सुइट्सयह सतह क्षेत्र न्यूनीकरण नियम लागू करता है, PowerShell को सीमित करता है, मैक्रोज़ को डिफ़ॉल्ट रूप से अक्षम करता है, तथा अहस्ताक्षरित बाइनरीज़ के निष्पादन को नियंत्रित करता है।

अनुप्रयोग और डोमेन नियंत्रण. अनुमति सूची जोखिम कम करता हैलेकिन इसके लिए सख्त अद्यतन नीतियों और निरंतर समीक्षा की आवश्यकता होती है: यहां तक ​​कि "विश्वसनीय" डोमेन से भी समझौता किया जा सकता है।

WAF और अनुप्रयोग सुरक्षा. एक वेब अनुप्रयोग फ़ायरवॉल यह अनुप्रयोग स्तर पर हमलों को अलग करने और RFI या SQL इंजेक्शन प्रयासों को रोकने में मदद करता है; आंतरिक ट्रैफ़िक की निगरानी से असामान्य पैटर्न का पता चलता है।

पहुंच और डेटा शासन। नेटवर्क को विभाजित करें, न्यूनतम विशेषाधिकार लागू करेंयह MFA को मज़बूत बनाता है और संवेदनशील संसाधनों तक पहुँच की निगरानी करता है। यह फ़ाइल शेयरिंग को नियंत्रित करता है और यदि संभव हो तो हटाने योग्य उपकरणों को ब्लॉक करता है।

टेलीमेट्री और डीएनएस. DNS सुरंगों की ओर इशारा करने वाले पैटर्न पर नज़र रखें या अन्य गुप्त निष्कासन मार्गों के बारे में अलर्ट उत्पन्न करता है; असामान्य संपीड़न और बड़ी मात्रा में डेटा मूवमेंट के बारे में अलर्ट उत्पन्न करता है।

जागरूकता, लेकिन अंधविश्वास के बिना। प्रशिक्षण मदद करता है। हालांकि प्रशिक्षित कर्मचारी भी गिर सकते हैंयह तकनीकी नियंत्रण, निगरानी सूची और व्यवहार पहचान द्वारा पूरित है।

कैसे प्रतिक्रिया दें: पहले संकेत से लेकर निरंतर सुधार तक

  • पहचान और मूल्यांकन. उन्नत निगरानी और फोरेंसिक विश्लेषण उपकरणों का उपयोग करें घटनाओं और फ़ाइलों का। लॉग और आर्टिफ़ैक्ट की समीक्षा करके वास्तविक दायरा, वेक्टर और प्रभावित खातों का निर्धारण करता है।
  • रोकथाम. समझौता किए गए सिस्टम को अलग करेंसत्र और टोकन रद्द करें, क्रेडेंशियल बदलें, और सेगमेंट को तुरंत बंद करें। हमलावर को आगे बढ़ने या घुसपैठ करने से रोकें।
  • उन्मूलन और पुनर्प्राप्ति. आक्रमणकारी उपकरणों को हटाता है, कमजोरियों को ठीक करता है y ज्ञात बैकअप से पुनर्स्थापित करें शेष गतिविधि का पता लगाने के लिए उन्नत निगरानी बनाए रखें।
  • विश्लेषण और सुधार. घटना का दस्तावेजीकरण करें, नीतियों को अद्यतन करेंपहचान नियमों को समायोजित करें और हितधारकों के साथ पारदर्शी तरीके से संवाद करें। यह चरण भविष्य में उल्लंघनों की लागत को कम करता है।

उपकरण और बुद्धिमत्ता: क्या अंतर पैदा करता है

एआई-आधारित दृष्टिकोण जो निष्पादन से पहले मैलवेयर और रैंसमवेयर बाइनरी का पता लगाते हैं, सक्रिय खतरा शिकार सेवाएँ और एमडीआर के माध्यम से एसओसी का दैनिक सुदृढ़ीकरण उभरते टीटीपी से आगे रहने के लिए महत्वपूर्ण लीवर हैं।

ख़तरा ख़ुफ़िया पोर्टल जिन तक पहुँच है लगभग वास्तविक समय की तकनीकी और प्रासंगिक जानकारी ये आपको अभियानों का पूर्वानुमान लगाने, पहचानों को अपडेट करने और वॉचलिस्ट भरने की सुविधा देते हैं। ये पूर्ण कवरेज के लिए एंडपॉइंट्स और नेटवर्क सेंसर्स पर EDR/XDR का पूरक हैं।

विंडोज़ में समझौता के सामान्य संकेत जिन्हें आपको नज़रअंदाज़ नहीं करना चाहिए

  • काम के घंटों के बाद उच्च लॉगिन और उच्च-विशेषाधिकार वाले खातों में; डेटा स्पाइक्स और दूरस्थ पहुंच के बीच सहसंबंध।
  • आवर्ती अभिनेता या पिछले दरवाजों का पुनः प्रकट होना: ट्रोजन क्लोन जो कथित "सफाई" के बाद वापस लौटते हैं।
  • मेल अवरोधन या मेलबॉक्स में अजीब लॉगिन; विशेष रूप से अधिकारियों या वित्त विभागों को लक्ष्य करके की जाने वाली स्पीयर फिशिंग।
  • अन्य विसंगतियाँ: असामान्य सर्वर धीमापन, रजिस्ट्री में परिवर्तन, अज्ञात खातों का निर्माण, या स्टार्टअप पर अजीब सेवाएं।

लागत और प्रेरणा: APT को बड़े बजट की आवश्यकता क्यों नहीं होती

यद्यपि यह आपको आश्चर्यचकित कर सकता है, कुछ एपीटी अभियानों की परिचालन लागत मामूली हो सकती है।वाणिज्यिक प्रवेश परीक्षण उपकरण और कुछ बुनियादी ढांचा सेवाओं पर व्यय का एक बड़ा हिस्सा खर्च होता है, लेकिन हमलावर के लिए लाभ (आर्थिक या रणनीतिक) आमतौर पर निवेश को उचित ठहराता है।

अक्सर पूछे जाने वाले प्रश्न

  • एपीटी और “उन्नत लक्षित हमले” (एटीए) के बीच क्या अंतर है? व्यवहार में, ATA सुस्थापित समूहों द्वारा प्रयुक्त कार्यप्रणाली का वर्णन करता है; जब वह गतिविधि निरंतर दृढ़ता और अनुकूलन के साथ जारी रहती है, तो हम APT कहते हैं। इन्हें कार्यनीति, अवसंरचना, कोड पुन: उपयोग और उद्देश्यों के प्रकार के आधार पर पहचाना जाता है।
  • APT35 के विशिष्ट लक्ष्य और कार्यप्रणाली क्या हैं? वे रणनीतिक क्षेत्रों और शैक्षणिक जगत को लक्ष्य बनाते हैं, बहुत विश्वसनीय स्पीयर फ़िशिंग, क्रेडेंशियल चोरी, क्लाउड सेवाओं का दुरुपयोग और विंडोज़ में देशी उपकरणों और प्रच्छन्न C2 का उपयोग करते हुए दृढ़ता।
  • यदि APT लगभग कोई निशान नहीं छोड़ता है तो मैं उसका पता कैसे लगाऊं? खोजें असामान्य व्यवहार: पैटर्न से बाहर के लॉगिन, बड़ी संपीड़ित फ़ाइलें, अजीब आउटबाउंड ट्रैफ़िक, असामान्य कनेक्शन शुरू करने वाली प्रक्रियाएं, और सफाई के बाद मैलवेयर की पुनरावृत्ति।
  • क्या एंटीवायरस और प्रशिक्षण पर्याप्त है? नहीं. आपको EDR/XDR, टेलीमेट्री, सेगमेंटेशन की आवश्यकता हैअनुप्रयोग नियंत्रण और व्यवस्थित प्रतिक्रिया। जागरूकता मददगार है, लेकिन स्वचालन और दृश्यता भी ज़रूरी है।

एपीटी35 और अन्य एपीटी के विरुद्ध विंडोज़ को मजबूत करने के लिए निगरानी, ​​प्रौद्योगिकी और प्रक्रियाओं को संयोजित करने की आवश्यकता होती है। मजबूत एक्सेस नियंत्रण, EDR/XDR, खतरे की खुफिया जानकारी और एक सुव्यवस्थित प्रतिक्रिया के साथआप प्रतिद्वंद्वी के लिए अवसर की अवधि को काफी हद तक कम कर सकते हैं तथा प्रभाव को न्यूनतम कर सकते हैं, भले ही उन्हें पहला क्लिक मिल जाए।

संबंधित लेख:
विंडोज़ में वृद्धिशील बैकअप बनाने के लिए संपूर्ण मार्गदर्शिका