Anatomía de una operación APT

Cuando escuchamos acerca de una APT, Amenaza Persistente Avanzada, sabemos que una persona u organización ha sido el blanco específico de una entidad maliciosa, un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales. Por lo tanto, lo mejor es conocer la anatomía de una operación APT, para saber como identificarla y poner más cuidado en las acciones que realizamos a diario.

Reconoce el blanco: El primer paso de un ataque APT se basa en buscar datos públicos disponibles sobre empleados específicos. Para este fin las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
Intrusión inicial: Contando con la información de las redes sociales sobre la persona elegida los atacantes suelen enviar a ese usuario un correo electrónico de Spear Phishing. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero puede dar consejos sobre controles regulatorios.
Ingresa por la puerta trasera: El siguiente paso en una APT, es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
Gana mayor acceso: Con el paso anterior logra configurar el acceso remoto el atacante, y entonces empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
Realiza exfiltración de datos: El paso siguiente se reconoce cuando, el atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso.
Echa raíces: Para cerrar el proceso el atacante instalará más RATs y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.

Conociendo esto, cada organización debe contar con una política de seguridad definida y personalizada, ya que debe estar hecha a la medida de las necesidades de la compañía. Con esto se puede bloquear el acceso dentro de la organización, así mismo la compañía debe tener seguridad en capas profunda y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP. Para más información visita infochannel.com.mx Realizado por Nataly Mejía Marketing

Tags:

Lo más nuevo

escrito porGrupo Smartekh
22/04/13 10:04

Ciberseguridad estratégica para líderes que quieren crecer sin miedo. En este espacio compartimos ideas, aprendizajes y alertas que importan. Desde hacks reales hasta errores evitables, todo explicado en lenguaje claro y con enfoque de negocio. Somos un equipo apasionado por hacer que la ciberseguridad no solo sea técnica, sino también útil, humana y accionable. Aquí no solo hablamos de firewalls y vulnerabilidades: hablamos de decisiones inteligentes, riesgos bajos y estrategias que permiten a las empresas mexicanas avanzar con confianza.