APT-hackers zijn zeer kundig en hebben dankzij hun baan het grote voordeel dat zij niet worden opgepakt en dus ongeremd aan de gang kunnen gaan. Hierdoor zijn zij gemiddeld succesvoller dan menig andere hacker en kunnen zij zich makkelijker verschuilen achter hun opdrachtgever. Meestal doen zij hun werk door achterdeuren te plaatsen zodat zij het netwerk van hun slachtoffers kunnen infiltreren wanneer zij willen.

Uiteraard doen zij er van alles aan hom niet opgemerkt te worden en gaan daarom "traag, maar gestaag" te werk. Goede APT'ers breken in op het netwerk, grijpen wat ze nodig hebben en gaan er daarna stilletjes vandoor. Zij willen vooral zo min mogelijk foutmeldingen, events en netwerkvertragingen genereren om maar niet op te hoeven vallen.

De Meeste APT's gebruiken eigen code voor hun activiteiten, maar misbruiken nog liever bestaande lekken en kwetsbaarheden om hun werk te doen. Als hun activiteiten worden opgemerkt, kan het slachtoffer moeilijker zien of het om een APT-aanval gaat of gewoon een minder serieus malware-pakketje.

Al deze trucs zorgen ervoor dat het herkennen en blokkeren van zulke aanvallen moeilijker wordt, maar er zijn gelukkig manieren APT-aanvallen te herkennen.

APT-hackers laten andere tekenen achter dan gewone hackers en wij hebben de afgelopen jaren een aantal typische signalen gezien waarmee je kan herkennen of zo'n aanval wordt uitgevoerd op jouw systemen. De signalen zouden kunnen worden gezien als legitieme acties binnen het bedrijf, maar de onverwachte manier waarop deze worden uitgevoerd kunnen een reken zijn dat je het slachtoffer bent vaneen APT-aanval.

Toename van het aantal elevated log-ins 's avonds

APTs groeien vaak snel uit van een kleine aanval op een enkele computer naar meerdere computers en zelfs de hele omgeving. Dit gebeurt meestal binnen enkele uren en zij krijgen dat meestal voor elkaar door de authenticatie-database uit te lezen, credentials te stelen en te hergebruiken. Ze komen er uiteindelijk achter welke gebruiker (of service)-accounts hoge privileges en permissies hebben en gebruiken deze om doelen binnen de omgeving te hacken.

Het grote aantal log-ins van accounts met veel privileges gebeurt meestal 's nachts omdat de aanvallers veelal aan de andere kant van de wereld leven. Als je veel log-ins op verschillende servers of high-value-computers op vreemde tijden ziet terwijl er maar weinig mensen aan het werk zijn, onderneem dan actie.

Wijdverspreide backdoor trojans

APT-hackers installeren op gekraakte computers binnen de omgeving vaak backdoor Trojans. Ze doen dit om ervoor te zorgen dat ze altijd weer in kunnen loggen, zelfs als de inloginformatie wordt veranderd omdat het slachtoffer vermoedt dat er iets mis is. Een andere gerelateerde bedreiging: Zodra ze ontdekt worden, haken APT-hackers niet direct af. Waarom zouden ze? Ze hebben enkele computers binnen je omgeving in handen en ze lopen een zeer geringe kans opgepakt te worden.

Tegenwoordig worden veel Trojans via social engineering-technieken geplaatst. Je ziet ze in elke omgeving terugkomen - meestal is het een aanwijzing voor een APT-aanval.

Onverwachte datastromen

Als we een beste manier zouden moeten aanwijzen om APT-aanvallen te detecteren zou dit het analyseren van ongebruikelijke datastromen binnen je eigen omgeving of naar externe computers zijn. Hierbij gaat het om server naar server, server naar client of netwerk naar netwerk verkeer.

Deze dataflows zijn beperkt, maar gericht, je merkt bijvoorbeeld dat iemand vanuit het buitenland een flinke hoeveelheid e-mail ophaalt. Wij zouden willen dat iedere e-mailclient de mogelijkheid zou hebben om te zien waar recent is ingelogd en vanaf welke locatie het laatste bericht is opgehaald. Gmail en een aantal andere clouddiensten bieden die mogelijkheid al.

Om een mogelijke APT te detecteren, moet je weten hoe je datastromen eruit zien voordat je gehackt wordt. Begin daarom nu en doe een nulmeting.

Het aantreffen van verdachte databundels

Bij APT's wordt data vaak geaggregeerd voordat ze naar buiten worden verplaatst. Wees op je hoede voor grote (we hebben het over gigabytes, geen megabytes) grote pakketten die opduiken op plaatsen waar ze niet zouden moeten staan, vooral als ze verpakt zijn in archiefbestanden die normaal gesproken niet door je bedrijf gebruikt worden (denk aan .7z of ACE).

Het opduiken van pass-the-hash hacking tools

Hoewel APTs niet altijd gebruikmaken van pass-the-hash tools, zien we ze vaak terug. Opvallend genoeg vergeten veel hackers ze na gebruik te verwijderen. Als je deze tools op je werkstations of servers terugvindt, is dit aanleiding om een grootschalig onderzoek af te kondigen.

Als we een zesde indicator zouden moeten noemen, dan zoudden we de phishingcampagnes tegen werknemers richten gebruikmakend van aangepaste PDF-bestanden kiezen. Dit is een bekende dader in vele APT-aanvallen. Ik noem het niet in de vijf tekenen, omdat Adobe Acrobat-exploits overal te vinden zijn. Maar als blijkt dat een aantal bestuurders bij je bedrijf een fake PDF-bestand toegestuurd hebben gekregen (en daarop hebben geklikt), dan zou ik snel op zoek gaan naar de vijf andere tekenen.

Lees ook: Wat is een APT?