Sfetcu, Nicolae (2024), Metode, tehnici și modele ale amenințărilor persistente avansate, IT & C, 3:1, 20-39, DOI: 10.58679/IT18363, https://www.internetmobile.ro/metode-tehnici-si-modele-ale-amenintarilor-persistente-avansate-ciclul-de-viata-al-apt/

Methods, Techniques and Patterns of Advanced Persistent Threats – APT Lifecycle

Abstract

Advanced persistent threats use a variety of methods and techniques, the most commonly used being phishing and spear-phishing, social engineering, drive-by-download, zero-day exploits, malware and backdoors, and watering hall). In APTs, it is difficult to identify who the attacker is, as they often use the concept of false flag, impersonating someone else, to camouflage their operations. In addition to state actors, there are privately funded and non-governmental cybercriminal groups using various methods of propagation. In general, the cyber espionage carried out by these actors targets diplomatic organizations and the information technology industry.

Keywords: advanced persistent threats, phishing, spear-phishing, social engineering, drive-by-download, exploit zero-day, malware, backdoor, watering hole

Rezumat

Amenințările persistente avansate folosesc o varietate de metode și tehnici, cele mai utilizate fiind phishing și spear-phishing, inginerie socială, descărcare neintenționată (drive-by-download), exploit zero-day, programe malware și backdoor, și gura de apă (watering hole). În APT, este dificil de identificat cine este atacatorul, întrucât aceștia folosesc adesea conceptul de steagul fals, identificându-se drept altă persoană, pentru a-și camufla operațiunile. Pe lângă actorii statali, există grupuri de criminali cibernetici cu finanțare privată și care nu răspund intereselor guvernamentale, folosind diferite metode de propagare. În general spionajul cibernetic realizat de acești actori au ca ținte organizațiile diplomatice și industria tehnologiei informației.

Cuvinte cheie: amenințările persistente avansate, phishing, spear-phishing, inginerie socială, drive-by-download, exploit zero-day, malware, backdoor, watering hole

IT & C, Volumul 3, Numărul 1, Martie 2024, pp. 20-39
ISSN 2821 – 8469, ISSN – L 2821 – 8469,
URL: https://www.internetmobile.ro/metode-tehnici-si-modele-ale-amenintarilor-persistente-avansate-ciclul-de-viata-al-apt/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.

Metode, tehnici și modele ale amenințărilor persistente avansate – Ciclul de viață al APT

Ing. fiz. Nicolae SFETCU[1], MPhil

nicolae@sfetcu.com

[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973

Introducere

Amenințările persistente avansate (APT) folosesc o varietate de metode și tehnici, cele mai utilizate fiind[1]:

1. Phishing și spear-phishing (phishing prin email direcționat punctual): Actorii APT își inițiază adesea atacurile prin campanii de e-mail înșelătoare, păcălind angajații să facă clic pe linkuri rău intenționate sau să descarce atașamente infectate[2].
2. Inginerie socială: Determinarea unui utilizator cu permisiuni specifice în rețea să acționeze astfel încât va compromite sistemele informaționale[3].
3. Descărcare neintenționată (drive-by-download): Determină descărcarea și executarea neintenționată (fără știrea utilizatorilor) de software rău intenționat de pe Internet[4], folosindu-se în acest scop de pluginuri integrate precum ActiveX, Java/JavaScript sau Adobe Flash player[5].

4. Exploit zero-day (vulnerabilități necunoscute de victime): APT exploatează frecvent vulnerabilități nedezvăluite (zero-day) în software și hardware pentru a obține acces neautorizat.
5. Programe malware și backdoor: APT-urile folosesc programe malware sofisticate și backdoor pentru a menține o prezență persistentă în sistemele compromise, permițând exfiltrarea datelor și controlul continuu.

1. Gura de apă (watering hole): Atacul este similar cu spear-phishing, adaptat la nevoile victimelor[6].

Ingineria socială este un instrument principal în fazele inițiale ale APT[7]. „În general, atacurile de inginerie socială sunt exploatări de securitate care exploatează atributele vulnerabile ale oamenilor mai degrabă decât tehnologie”[8]. SRI International definește ingineria socială ca: „practici înșelătoare de a obține informații de la oameni care folosesc discursul social, de afaceri sau tehnic”[9]. Taxonomia de inginerie socială prezentată de Krombholz et al.[10] sugerează patru aspecte cruciale de luat în considerare în atacurile de inginerie socială: canal, tip, operator și vectori de atac. Ca vectori de atac se utilizează de obicei emailul, mesageria instantanee, Skype, Dropbox, LinkedIn, Lync etc. Conform lui Radha Gulati[11], ingineria socială vizează anumite atribute ale comportamentului uman, cum ar fi încrederea, dorința de a fi de ajutor, dorința de a obține ceva pentru nimic, curiozitatea, frica de necunoscut sau de a pierde ceva (ca atunci când răspunde la ferestre pop-up), ignoranță și nepăsare[12]. Căutările în gunoi fac parte din ingineria socială, fiind folosite pentru a crea profiluri personalizate despre victime. Ingineria socială inversă[13] folosește sabotajul, publicitatea și asistența pentru a obține acces la informațiile dorite, prin intermediul, de exemplu, a unei unități USB care poate conține un cal troian[14]. Un alt atac comun considerat ca făcând parte din ingineria socială este click jacking (deturnarea clicurilor), cunoscut și ca ”Ul-redressing”[15], prin care utilizatorii ajung în zone periculoase crezând că au făcut clic pe un buton legitim.

În APT, este dificil de identificat cine este atacatorul, întrucât aceștia folosesc adesea conceptul de steagul fals, identificându-se drept altă persoană, pentru a-și camufla operațiunile. Principalele țări din care provin aceste atacuri, care se desfășoară în cadrul unor campanii minuțios planificate, cu metode și tehnici personalizate, sunt[16]:

• China: Atacuri concentrate pe spionajul industrial. APT1 a fost cea mai persistentă amenințare cibernetică a acestui actor[17].
• Statele Unite ale Americii: A desfășurat cele mai sofisticate atacuri cibernetice, în special pentru a-și impune interesele geopolitice. Un exemplu clasic este operațiunea Stuxnet[18], care a vizat sistemele SCADA (Control de supraveghere și achiziție de date) pentru a întârzia programul nuclear al Iranului.
• Rusia: Foarte multe atacuri sponsorizate de stat[19]. Atacuri spear-phishing APT28 au fost detectate de Microsoft; având ca ținte angajații guvernului german[20].
• Iran: Identificat ca actorul din Orientul Mijlociu cu cele mai multe atacuri[21], precum operațiunile APT33. Atacurile au vizat ținte industriale mari, dar și organizații din Statele Unite, Orientul Mijlociu și Asia[22].
• Coreea de Nord: Numeroase operațiuni de spionaj, financiare și atacuri distructive, precum ransomware-ul WannaCry[23].
• Israel: Posibil coautor al atacului Stuxnet[24]]. Unitatea 8200[25] a armatei israeliene, echivalentul agenției de informații americane NSA, este unul din agenții deosebit de competenți în APT, precum atacul Duqu 2.0[26] care a infectat numeroase sisteme din mai multe țări în ultimii ani folosind vulnerabilități zero-day.

Pe lângă actorii statali, există grupuri de criminali cibernetici cu finanțare privată și care nu răspund intereselor guvernamentale, folosind diferite metode de propagare. În general spionajul cibernetic realizat de acești actori au ca ținte organizațiile diplomatice și industria tehnologiei informației[27].

Există cinci pași majori de modelare a amenințărilor[28]: definirea cerințelor de securitate; crearea unei diagrame de aplicație; identificarea amenințărilor; atenuarea amenințărilor și validarea faptului că amenințările au fost atenuate.

Microsoft afirmă că „instrumentul de modelare a amenințărilor” permite oricărui dezvoltator sau arhitect software să:

1. Comunice despre designul de securitate al sistemelor lor.
2. Analizeze modelele c pentru potențiale probleme de securitate utilizând o metodologie dovedită.
3. Sugereze și gestioneze măsuri de atenuare a problemelor de securitate[29][30].

Modelul PASTA[31] ia în considerare șapte etape, care includ definirea obiectivelor de afaceri, definirea domeniului tehnic, descompunerea aplicației, analiza amenințărilor, detectarea vulnerabilelor, enumerarea atacurilor și analiza impactului[32].

Ciclul de viață al APT

Au fost studiate mai multe variante pentru ciclurile de viață ale APT, cu etape diferite dar metode și tehnici similare[33]. Fiecare etapă din ciclul de viață poate fi divizată la rândul ei în mai multe sub-etape, pentru aprofundarea înțelegerii funcționării APT. Fiecare etapă este caracterizată de tactici, tehnici și proceduri (TTP) specifice. Primii pași sunt, în general, studiul și analiza țintei. Apoi are loc o exploatare a vulnerabilităților, urmată de extragerea discretă a datelor pe un server de comandă și control (C&C). Ciclul de viață Mandiant descrie curățarea ca o etapă finală, pentru a evita detectarea atacului. Fiecare atacator poate planifica etapele în orice ordine și poate folosi TTP adaptate pentru a îndeplini obiectivele.

ATP în trei etape

Ussath et. al.[34] a discutat un model de ciclu de viață al atacului APT în 3 etape care se concentrează numai pe caracteristicile reprezentative ale unui atac, bazat pe analiza diferitelor metode și tehnici a 22 de campanii APT:

1. Compromiterea inițială: atacatorii încearcă să acceseze sistemul țintă. Tehnici utilizate: spear-phishing , watering-hole, atacuri la serverul exploatând vulnerabilitățile acestuia sau forța brută, și medii de stocare infectate (USB, CD, DVD).
2. Mișcarea laterală: compromiterea altor servicii colaterale din sistem sau rețea folosind acreditările obținute. Tehnici utilizate: RDP, PsExec, Powershell, și exploatatarea vulnerabilităților prin, de ex., exploatarea zero-day.

1. Comanda și control: stabilirea unei conexiuni externe pentru a exfiltra datele. Servicii utilizate: HTTP, HTTPS sau FTP, și tehnici de conectare la distanță precum VNC (Virtual Network Computing) sau RDP.

În cazul rețelelor IoT, atacurile APT sunt dificil de contracarat datorită combinării mai multor tehnici[35]. Botnetul APT este una dintre cele mai critice atacuri din rețelele IoT, folosind programe malware pentru a prelua controlul asupra echipamentelor conectate la serviciile web. Rețeaua de botnet este controlată de botmaster, computerul principal capabil să injecteze o activitate la scară largă[36]. Ciclul de viață al unui atac botnet poate fi format din: răspândire/injectare, control, și aplicare[37].

ATP în patru etape

Lanțul de distrugere prin intruziune (IKC) este un model care identifică comportamentele și scopurile unui atac APT[38], în patru etape[39]:

1. Colectarea informațiilor: cu instrumente de scanare sau prin inginerie socială.
2. Intruziunea: folosind tehnici de spear-phishing sau backdoor pentru a obține accesul.
3. Extinderea latentă: menținerea controlului și extinderea în rețea.
4. Furtul de informații: stabilirea unei conexiuni externe pentru transferul datelor, folosind eventual tehnici de criptare pentru a camufla datele extrase.

Wang et al.[40] propun o altă abordare a ciclului de viață în patru etape:

1. Compromiterea inițială: tehnicile utilizate sunt ingineria socială și spear-phishing.
2. Comanda și control: crearea unui canal de comunicare între un server și țintă.
3. Mișcarea laterală: colectarea de informații, deplasarea între gazde cu vulnerabilități.
4. Atacul: finalizat, începe furtul de informații.

ATP în cinci etape

Sexton, Storlie, și Neil[41] propun un model în cinci etape; denumit lanț de atac:

1. Livrare: se folosește spear-phishing prin mesaje rău intenționate.
2. Exploit: exploatarea vulnerabilităților.
3. Instalarea: programe malware, precum RAT (instrumente de acces la distanță).
4. Comanda și control: accesul de la distanță la ținta compromisă.
5. Acțiuni: utilizarea accesului pentru a extrage informații.

Jeun, Lee, și Won[42] descriu un alt model în cinci etape:

1. Renumărare: se selectează ținta și se obțin informațiile necesare de atac.
2. Incursiune: obținerea accesului prin acreditări furate cu tehnici precum injecția SQL sau programe malware.
3. Descoperirea: se caută date confidențiale în sistemul țintă.
4. Captura: instalarea unui rootkit pentru a colecta datele pe o perioadă prelungită.
5. Exfiltrarea: datele colectate sunt trimise către serverele de comandă și control.

Alshamrani et al.[43] consideră că APT în 5 etape ar putea reprezenta fiecare atac APT, indiferent de obiectiv, arătând în același timp cum obiectivul poate schimba etapele implicate:

1. Recunoașterea: marchează începutul oricărui atac, pentru cunoașterea țintei.
2. Stabilirea punctului de sprijin: reprezintă intrarea cu succes a atacatorilor în computerul și/sau rețeaua țintei. prin exploatarea vulnerabilităților, malware, spear phishing, exploit zero-day, descărcare web și atacuri de tip phishing.
3. Mișcarea laterală: atacatorii ar trebui să se miște lateral în rețeaua țintei pentru căutarea altor componente sau date.
4. Exfiltrarea/Daune: preluarea și trimiterea datelor către centrul de comandă și control, sau dezactivarea sau distrugerea componentelor critice ale organizației țintă.
5. Post-exfiltrare/post-daune: continuarea exfiltrării sau dezactivarea altor componente importante, sau ștergerea dovezilor pentru o ieșire curată.

Primele 2 etape sunt necesare pentru succes. Celelalte 3 etape sunt aplicabile în funcție de obiectivul atacatorilor.

APT în șase etape

Ghafir și Prenosil[44] au propus un model în care atacatorii trebuie să păcălească o persoană să ruleze programe malware și să exploateze orice vulnerabilitate de tip zero-day:

1. Colectarea informațiilor: informații despre structura țintei prin profilurile din rețele sociale publice.
2. Punctul de intrare: folosind inginerie socială, spear-phishing și exploit zero-day pentru a obține accesul.
3. Server de comandă și control: se stabilește o conexiune între gazda compromisă și serverul C&C, folosind criptarea Secure Sockets Layer (SSL) pentru a trimite trafic către server.
4. Mișcarea laterală: deplasarea prin rețea pentru a găsi și alte gazde vulnerabile.
5. Date: identificarea informațiilor critice de interes.
6. Server extern: datele sunt transmise către serverele C&C.

Ping Chen, Lieven Desmet, și Christophe Huygens au adoptat un ciclu de viață pe modelul lanțului de distrugere a intruziunii[45]:

1. Recunoașterea și dotarea: studiul și colectarea de informații tehnice despre țintă și despre personalul cheie, folosind tehnici precum ingineria socială, și colectarea de informații din surse disponibile public (OSINT) prin agregarea de informații despre profilul personal al unui angajat sau configurațiile hardware și software dintr-o organizație. Se elaborează un plan de atac și se pregătesc instrumentele necesare, pentru diferiți vectori de atac pentru flexibilizarea tacticilor.

1. Livrare: transmiterea exploit-urilor către ținte, direct (de ex., prin inginerie socială – spear-phishing, cu exploit-uri drive-by-download sau tehnici watering hole[46] sau indirect (ascuns) prin compromiterea și utilizarea resurselor unei terțe părți (precum  un furnizor de software/hardware).

3. Intruziunea inițială: cu ajutorul acreditărilor obținute se accesează ținta și se execută cod rău intenționat exploatând vulnerabilitățile. Acreditările de acces se pot obține prin inginerie socială sau executarea unui cod rău intenționat transmis în etapa de livrare care exploatează o vulnerabilitate. Atacatorii exploatează adesea vulnerabilități din Adobe PDF, Adobe Flash, Microsoft Office, și Internet Explorer. Deși e de preferat ca în această etapă să se folosească exploit-uri zero-day[47], se pot utiliza și exploit-uri mai vechi pentru aplicații instalate neactualizate. După instalarea malware backdoor se realizează conexiunea cu ținta, generând trafic de rețea înregistrat în jurnale, cu riscul unei posibile detectări.

1. Comanda și control: se stabilește un mecanism pentru a prelua controlul țintelor compromise; evitând detectarea, prin postări în site-uri de rețele sociale[48], rețele de anonimat TOR sau folosind instrumente de acces la distanță (RAT)[49].

5. Mișcare laterală: deplasarea în rețea pentru informații utile scopului propus și pentru a obține accesul și la alte sisteme, prin activități precum recunoașteri interne pentru a mapa rețeaua și a obține informații; colectarea de acreditări prin compromiterea sistemelor suplimentare, și identificarea și colectarea datelor de interes. Această etapă este mult mai mare decât celelalte, pentru a maximiza volumul de informații rulând într-un ritm nedetectabil scăzut și lent.

1. Exfiltrarea datelor: transmiterea informațiilor criptate către servere. Exfiltrarea este un pas critic pentru atacatori, în care datele sunt comprimate și adesea criptate intern pentru a fi transmise în locații externe, folosind adesea protocoale sigure, precum SSL/TLS, sau funcția de anonimat a rețelei Tor[50].

În cadrul matematic al algoritmilor relevanți utilizați de sistemul de predicție propus (lanțul Markov, modelul Markov ascuns, algoritmul Viterbi și algoritmul Baum-Welch), Ghafir et al.[51] evidențiază următorul ciclu de viață al APT:

1. Colectarea informațiilor: se obțin informații cu privire la organizația țintă (structura, mediul IT, angajații, etc.), folosind surse publice (rețele sociale, pagini web, etc.) și inginerie socială. Informațiile permit crearea de mesaje email de tip spear phishing.
2. Compromisul inițial (Punctul de intrare): prin utilizarea ingineriei sociale și spear phishing sau prin exploatarea vulnerabilităților software, sau instalând un program malware pe un site web vizitat de angajații victimei.
3. Comunicare de comandă și control (C&C): comunicarea între gazda infectată și serverul C&C pentru comenzi, de obicei protejate de Secure Sockets Layer (SSL), sau/și folosind tehnica fluxului de domeniu[52] prin care o gazdă exploatată poate încerca să se conecteze la un număr mare de nume de domenii dintre care toate sunt false cu excepția serverului C&C, astfel încât devine dificilă sau chiar imposibilă închiderea tuturor acestor nume de domenii.
4. Mișcarea laterală: deplasarea lateral prin rețeaua țintei pentru noi gazde de infectat, folosind forța brută sau date legitime de acces. O altă tehnică este atacul hash, folosind o autentificare criptată de victimă pentru a păcăli sistemul de autentificare să creeze o nouă sesiune în aceeași rețea[53].
5. Identificarea activelor: găsirea datelor de interes pentru exfiltrarea lor, folosind eventual scanarea portului[54].
6. Exfiltrarea datelor: datele sunt transmise pe servere externe controlate de atacator, prin transferul de fișiere încorporat, FTP, HTTP, rețeaua de anonimat Tor sau alte metode.

Ciclul de viață propus de Ghafir et al.[55], pe baza modelului Markov, ascuns în șase etape. Traducere și adaptare Nicolae Sfetcu

Chen et al.[56] propun următoarele șase etape pentru un atac APT:

1. Recunoașterea: colectarea de informații (sociale, hobby-uri și din rețelele sociale utilizate[57]) pentru atacul APT și dezvoltarea de strategii de atac. Informațiile despre infrastructura rețelei țintă includ modele de comutatoare de rețea, routere și protocoale de comunicație utilizate în rețea.
2. Compromisul inițial: se folosesc informațiile colectate pentru a ataca rețeaua sau a exploata vulnerabilitățile acesteia pentru a obține privilegiile de administrator. Compromisul inițial vizează utilizatorii[58] (prin mesaje de phishing sau linkuri) și vulnerabilitățile rețelei (inclusiv vulnerabilități zero-day pentru a obține privilegii de root[59]).
3. Mișcarea laterală: se folosește dispozitivul compromis pentru a obține acreditările legitime la alte computere din rețea, prin tehnici precum pass-the-hash, pass-the-ticket și protocolul desktop la distanță[60].
4. Pivotarea: utilizarea subrețelelor cu controlerele de domeniu conectate printr-un canal de comunicare, ca de ex. un VPN[61].
5. Exfiltrarea datelor: se folosește sesiunea stabilită de atac pentru transmiterea fișierelor. eventual fragmentând fișierele înainte de transfer, posibil cu transmiterea de diferite fragmente pe servere DNS diferite, conectându-le ulterior[62].
6. Etape post-atac: după finalizarea atacului, este utilă curățareas urmele atacului pentru a preveni investigațiile ulterioare[63].

APT în șapte etape

Vukalovic și Delija[64] prezintă o abordare generală a unui atac APT în șapte etape:

1. Cercetare: se caută informații disponibile public despre victimă.
2. Pregătire: se planifică atacul inițial prin exploatarea vulnerabilitățile folosind scanarea rețelei pentru exploit-uri personalizate.
3. Intruziune: se lansează primul atac, de obicei prin spear-phishing.
4. Cucerirea rețelei: se folosesc instrumentele de acces de la distanță sau backdoor pentru a controla sistemul.
5. Ascunderea prezenței: atacatorul rămâne ascuns și posibil inactiv în rețea pentru o perioadă lungă de timp.
6. Colectarea datelor: se caută date de interes și se transmit într-un ritm lent ca trafic legitim.

1. Menținerea accesului: se modifică sau se dezvoltă noi exploit-uri, instrumente de acces la distanță și servere C&C, pentru a prelungi accesul la rețea.

În 2013, Mandiant[65] a discutat despre modelul ciclului de viață din 7 etape pe baza cercetării lor privind presupusele atacuri chineze folosind metoda APT între 2004 și 2013:

1. Compromis inițial: prin ingineria socială și phishing prin email, cu exploit zero-day, sau plantarea de programe malware pe un site web unde ajung angajații victimei.
2. Stabilirea punctului de sprijin: instalarea de software rău intenționat în rețeaua victimei, backdoor și tuneluri de rețea pentru acces.
3. Escaladarea privilegiilor: utilizarea de exploit și spargerea parolelor pentru privilegii de administrator.
4. Recunoașterea internă: colectarea de informații despre infrastructură, relațiile de încredere, structura domeniului.
5. Mișcarea laterală: extinderea controlului la alte stații de lucru, servere și elemente de infrastructură, și colectarea datelor.
6. Menținerea prezenței: control continuu al canalelor de acces și acreditărilor deja obținute.
7. Finalizarea misiunii: în funcție de intențiile atacatorului,

etapele 3-6 putându-se desfășura în orice ordine dorește atacatorul[66].

Compania Lockheed Martin a propus un ciclu de viață în șapte etape numit cyber kill chain (CKC)[67]:

1. Recunoașterea: o recunoaștere preliminară a rețelei folosind tehnici spear-phishing, scanare porturi și inginerie socială.
2. Înarmarea: o sarcină utilă este trimisă victimei, de obicei un exploit pentru o livrare RAT/troian.
3. Livrarea: sarcina utilă este trimisă victimei prin e-mail, site-uri web sau alte metode.
4. Exploatarea: se execută exploit-ul care a fost trimis victimei.
5. Instalarea: se instalează un troian și/sau RAT.
6. Comanda și control: conectarea la serverul C&C al atacatorului.

1. Acționarea: exfiltrarea datelor compromițând integritatea și disponibilitatea datelor. Această etapă poate dura săptămâni, luni sau chiar ani.

{5} Modelul de atac Intrusion Kill Chain (IKC)[68] propune un cadru în șapte etape pentru detectarea și analiza atacurilor cibernetice, cu o arhitectură de securitate stratificată și un sistem de colectare și analiză a evenimentelor de securitate:

1. Colectarea informațiilor: selectarea țintelor, colectarea informațiilor, identificarea potențialelor vulnerabilități.
2. Înarmarea: dezvoltarea de cod rău intenționat pentru explorarea vulnerabilităților prin fișiere documente PDF și PPT.
3. transferarea datelor din mediul țintă.
4. Exploatarea: executarea unui cod rău intenționat.
5. Instalarea: acces la distanță RAT permite persistența în mediul vizat.
6. Comanda și control: canal de comunicare pentru controlul programelor malware și conectarea la un server C&C.
7. Acțiuni: după finalizarea obiectivelor prin exfiltrarea datelor[69].

US Air Force a descris un atac APT în 7 etape [70][71]:

1. Selectarea unei organizații țintă: atacurile APT sunt inițiate, de obicei, de organizații guvernamentale care încearcă să fure secretele guvernamentale ale altor națiuni[72].
2. Colectarea de informații: se ia în considerare cea mai slabă verigă, factorul uman ca vulnerabilitate în acea organizație[73].
3. Obținerea accesului: este folosit un malware, de obicei zero-day, pentru a accesa rețeaua țintă. Alternativ, se poate apela la spear-phishing, atacul wtaering hole, USB etc.[74][75]
4. Exploatarea: stabilirea unei conexiuni cu un server de comandă și control (C&C), folosind, de ex., portul 443[76]. În această etapă se folosesc instrumente și servicii legitime pentru a reduce posibila detectare. Comenzile sunt date de  la distanță[77], folosind în principiu, ca tehnică, DNS cu flux rapid, împiedecând detecția de trafic neobișnuit către sau de la o singură destinație[78].
5. Operațiunea: se scanează sistemele vulnerabile[79] pentru a obține acces la informații de interes. În această etapă programul malware se modifică și își schimbă în mod continuu locația pentru a nu fi detectat, furând acreditările de acces și escaladând privilegiile sistemelor[80].
6. Descoperirea și colectarea datelor: Mișcarea laterală creează un canal de transmitere a datelor localizate și colectate în cât mai puține locații pentru o exfiltrare ușoară[81][82].
7. Exfiltrarea datelor: datele sunt transferate folosind canale securizate, în principal SSL/TLS, pentru a evita detectarea și pentru a ascunde procesul de transmisie[83].

APT în opt etape

Mandiant (acum FireEye), a propus un model în opt etape după analiza campaniei APT1[84], astfel:

1. Recunoaștere inițială: din afara rețelei,
2. Compromisul inițial: prin, de exemplu, spear-phishing.
3. Stabilirea unui punct de sprijin: asigurarea controlului,  de exemplu prin serverele C&C.
4. Escaladarea privilegiilor: obținerea de acreditări pentru accesul la resurse.
5. Recunoaștere internă: colectarea de toate informații despre victimă.
6. Mutarea laterală: utilizarea acreditărilor legitime pentru extindere.
7. Menținerea prezenței: acțiuni pentru a rămâne nedetectat o perioadă îndelungată.
8. Finalizarea misiunii: informațiile sunt comprimate și eventual fragmentate și criptate pentru a fi trimise către serverele C&C.

APT în unsprezece etape

În modelul cu unsprezece etape unele etape pot fi dezvoltate în paralel cu principalele etape ale ciclului pentru a menține persistența și pentru extragerea informațiilor[85]. Analizele ATT și CK ale tacticilor pot fi considerate ca etape distincte ale unui ciclu de viață APT pentru a îndeplini obiectivul strategic[86]:

1. Accesul inițial: căutarea ”pacientului zero”.
2. Persistența: obținerea accesului.
3. Escaladarea privilegiilor: instalarea de programe malware.
4. Descoperirea: obținerea de informații de interes.
5. Mișcarea laterală: extinderea în rețea.
6. Colectarea: colectarea de informații de interes.
7. Exfiltrarea: extragerea datelor. Următoarele etape pot fi executate în paralel cu cele șapte etape anterioare.
8. Execuția: activarea malware prin conexiuni la distanță (între etapa de acces inițial și mișcarea laterală).
9. Ascunderea: evitarea apărării și detectării (firewall, jurnale, etc.).
10. Accesul la acreditări: accesarea sistemului cu acreditări valide.
11. Comanda și control: crearea unui canal C&C pentru comunicare la distanță.

Consecințele atacurilor APT

Principalele consecințe negative ale atacurilor APT:

1. Scurgeri de date: APT pot duce la furturi masive de date, expunând informații sensibile și provocând daune reputației organizațiilor.
2. Impact economic: Consecințele economice ale atacurilor APT pot fi severe, ducând la pierderi financiare, procese și amenzi de reglementare.
3. Amenințare la securitatea națională: APT care vizează infrastructura critică sau instituțiile guvernamentale pot reprezenta o amenințare semnificativă la adresa securității naționale.

Datorită numărului mare de atacuri APT din ultimul timp asupra organizațiilor, bugetele IT ajung să crească semnificativ[87]. Conform cercetărilor Trend, cea mai vizată industrie pentru atacurile APT prin spear phishing sunt guvernele, cu o rată de atac de 65%, care este aproape dublu față de a doua industrie țintă clasificată cu o rată de atac de 35%[88]. Majoritatea APT sunt create de guverne din cauza complexității, timpului, rafinamentului și resurselor necesare[89].

Concluzie

Conform EC-Council, „Modelarea amenințărilor poate fi definită ca un proces structurat în care profesioniștii IT și experții în securitate cibernetică pot detecta vulnerabilitățile și amenințările de securitate probabile, pot măsura severitatea fiecărui impact potențial și pot prioritiza metodele de a proteja infrastructura IT și de a atenua atacurile.”[90][91]. În plus, metodologiile de modelare a amenințărilor pot fi aplicate pentru a dezvolta:

1. O colecție de amenințări probabile care pot apărea
2. O abstractizare a sistemului
3. Profilurile atacatorilor probabili rău intenționați, obiectivele și tehnicile acestora [92].

Conform lui Microsoft, „Modelarea amenințărilor este un element de bază al ciclului de viață al dezvoltării securității Microsoft (SDL). Este o tehnică de inginerie pe care o poate folosi pentru a ajuta la identificarea amenințărilor, atacurilor, vulnerabilităților și contramăsurilor care ar putea afecta aplicația cuiva. Modelarea amenințărilor este folosită pentru a modela designul aplicației cuiva, pentru a îndeplini obiectivele de securitate ale companiei și pentru a reduce riscul”[93][94].

Bibliografie

• Adams, Chris. 2018. „Learning the lessons of WannaCry”. Computer Fraud & Security 2018 (9): 6–9. https://doi.org/10.1016/S1361-3723(18)30084-8.
• Adelaiye, Oluwasegun, Aminat Ajibola, și Faki Silas. 2019. „Evaluating Advanced Persistent Threats Mitigation Effects: A Review”, februarie.
• Aleroud, Ahmed, și Lina Zhou. 2017. „Phishing environments, techniques, and countermeasures: A survey”. Computers & Security 68 (iulie): 160–96. https://doi.org/10.1016/j.cose.2017.04.006.
• Alshamrani, Adel, Sowmya Myneni, Ankur Chowdhary, și Dijiang Huang. 2019. „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities”. IEEE Communications Surveys & Tutorials 21 (2): 1851–77. https://doi.org/10.1109/COMST.2019.2891891.
• Apruzzese, Giovanni, Fabio Pierazzi, Michele Colajanni, și Mirco Marchetti. 2017. „Detection and Threat Prioritization of Pivoting Attacks in Large Networks”. IEEE Transactions on Emerging Topics in Computing PP (octombrie): 1–1. https://doi.org/10.1109/TETC.2017.2764885.
• Ask, M. 2013. „Advanced Persistent Threat ( APT ) Beyond the hype Project report in IMT 4582 Network security at Gjøvik University College during spring 2013”. În . https://www.semanticscholar.org/paper/Advanced-Persistent-Threat-(-APT-)-Beyond-the-hype-Ask/a140cd962b136474685db82de60bb15f4fe1d7e1.
• Bere, Mercy, Fungai Bhunu Shava, Attlee Gamundani, și Isaac Nhamu. 2015. „How Advanced Persistent Threats Exploit Humans”. IJCSI, noiembrie.
• Bhatt, Parth, Edgar Toshiro Yano, și Per Gustavsson. 2014. „Towards a Framework to Detect Multi-stage Advanced Persistent Threats Attacks”. În 2014 IEEE 8th International Symposium on Service Oriented System Engineering, 390–95. https://doi.org/10.1109/SOSE.2014.53.
• Brewer, Ross. 2014. „Advanced persistent threats: Minimising the damage”. Network Security 2014 (aprilie): 5–9. https://doi.org/10.1016/S1353-4858(14)70040-6.
• Chaitanya, Krishna  T., HariGopal Ponnapalli, Dylan Herts, și Juan Pablo. 2012. „Analysis and Detection of Modern Spam Techniques on Social Networking Sites”. 2012 Third International Conference on Services in Emerging Markets, decembrie, 147–52. https://doi.org/10.1109/ICSEM.2012.28.
• Chen, Ping, Lieven Desmet, și Christophe Huygens. 2014. „A Study on Advanced Persistent Threats”. În Communications and Multimedia Security, ediție de Bart De Decker și André Zúquete, 63–72. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer. https://doi.org/10.1007/978-3-662-44885-4_5.
• Chen, Zhiyan, Jinxin Liu, Yu Shen, Murat Simsek, Burak Kantarci, H.T. Mouftah, și Petar Djukic. 2022. „Machine Learning-Enabled IoT Security: Open Issues and Challenges Under Advanced Persistent Threats”. ACM Computing Surveys 55 (aprilie). https://doi.org/10.1145/3530812.
• Cobb, Stephen. 1996. The NCSA Guide to PC and LAN Security. McGraw-Hill.
• CSS. 2019. „Trend Analysis – The Israeli Unit 8200 An OSINT-based study”. CSS CYBER DEFENSE PROJECT. https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/pdfs/Cyber-Reports-2019-12-Unit-8200.pdf.
• EC-Council. 2023. „What Is Cyber Threat Modeling | Importance of Threat Modeling”. EC-Council (blog). 2023. https://www.eccouncil.org/threat-modeling/.
• ETDA. 2023. „Threat Group Cards: A Threat Actor Encyclopedia”. 2023. https://apt.etda.or.th/cgi-bin/aptgroups.cgi.
• Falliere, Nicolas, Liam O Murchu, și Eric Chien. 2011. „W32.Stuxnet Dossier”. Symantec. https://www.wired.com/images_blogs/threatlevel/2011/02/Symantec-Stuxnet-Update-Feb-2011.pdf.
• Fortinet. 2023. „What Is a Watering Hole Attack?” Fortinet. 2023. https://www.fortinet.com/resources/cyberglossary/watering-hole-attack.
• Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, și Diab M. Diab. 2019. „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”. IEEE Access 7: 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
• Ghafir, Ibrahim, și Vaclav Prenosil. 2014. „Advanced Persistent Threat Attack Detection: An Overview”. International Journal Of Advances In Computer Networks And Its Security, decembrie, 154.
• ———. 2016. „Proposed Approach for Targeted Attacks Detection”. În Advanced Computer and Communication Engineering Technology, ediție de Hamzah Asyrani Sulaiman, Mohd Azlishah Othman, Mohd Fairuz Iskandar Othman, Yahaya Abd Rahim, și Naim Che Pee, 73–80. Lecture Notes in Electrical Engineering. Cham: Springer International Publishing. https://doi.org/10.1007/978-3-319-24584-3_7.
• Guerra-Manzanares, Alejandro, Sven Nõmm, și Hayretdin Bahsi. 2019. „Towards the Integration of a Post-Hoc Interpretation Step into the Machine Learning Workflow for IoT Botnet Detection”. În 2019 18th IEEE International Conference On Machine Learning And Applications (ICMLA), 1162–69. https://doi.org/10.1109/ICMLA.2019.00193.
• Gulati, Radha. 2003. „The Threat of Social Engineering and Your Defense Against It | SANS Institute”. 2003. https://www.sans.org/white-papers/1232/.
• Hachem, Nabil, Yosra Ben Mustapha, Gustavo Gonzalez Granadillo, și Herve Debar. 2011. „Botnets: Lifecycle and Taxonomy”. În 2011 Conference on Network and Information Systems Security, 1–8. https://doi.org/10.1109/SAR-SSI.2011.5931395.
• Hejase, Hussin, Hasan Kazan, și Imad Moukadem. 2020. Advanced Persistent Threats (APT): An Awareness Review. https://doi.org/10.13140/RG.2.2.31300.65927.
• Hutchins, Eric, Michael Cloppert, și Rohan Amin. 2011. „Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. Leading Issues in Information Warfare & Security Research 1 (ianuarie).
• IC Espionage. 2010. „Shadows In The Cloud: Investigating Cyber Espionage 2.0”. https://www.nartv.org/mirror/shadows-in-the-cloud.pdf.
• Jeun, Inkyung, Youngsook Lee, și Dongho Won. 2012. „A Practical Study on Advanced Persistent Threats”. În Computer Applications for Security, Control and System Engineering, ediție de Tai-hoon Kim, Adrian Stoica, Wai-chi Fang, Thanos Vasilakos, Javier García Villalba, Kirk P. Arnett, Muhammad Khurram Khan, și Byeong-Ho Kang, 144–52. Communications in Computer and Information Science. Berlin, Heidelberg: Springer. https://doi.org/10.1007/978-3-642-35264-5_21.
• Johnson, John, și Emilie Hogan. 2013. A graph analytic metric for mitigating advanced persistent threat. Vol. 129. https://doi.org/10.1109/ISI.2013.6578801.
• Kaspersky. 2015. „The Duqu 2.0”. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07205202/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf.
• ———. 2023. „Targeted Cyberattacks Logbook”. APT Kaspersky Securelist. 2023. https://apt.securelist.com.
• Kaushik, Atul, Emmanuel Pilli, și R. Joshi. 2010. Network Forensic System for Port Scanning Attack. https://doi.org/10.1109/IADCC.2010.5422935.
• Krombholz, Katharina, Heidelinde Hobel, Markus Huber, și Edgar Weippl. 2015. „Advanced social engineering attacks”. Journal of Information Security and Applications, Special Issue on Security of Information and Networks, 22 (iunie): 113–22. https://doi.org/10.1016/j.jisa.2014.09.005.
• Lee, Bernard, Manmeet (Mandy) Mahinderjit Singh, și Azizul Rahman Mohd Shariff. 2019. „APTGuard : Advanced Persistent Threat (APT) Detections and Predictions using Android Smartphone: 5th ICCST 2018, Kota Kinabalu, Malaysia, 29-30 August 2018”. În , 545–55. https://doi.org/10.1007/978-981-13-2622-6_53.
• Lemay, Antoine, Joan Calvet, François Menet, și José M. Fernandez. 2018. „Survey of publicly available reports on advanced persistent threat actors”. Computers & Security 72 (ianuarie): 26–59. https://doi.org/10.1016/j.cose.2017.08.005.
• Lockheed Martin. 2023. „Cyber Kill Chain®”. Lockheed Martin. 2023. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html.
• Mandiant. 2013. „APT1 | Exposing One of China’s Cyber Espionage Units”. Mandiant. 2013. https://www.mandiant.com/resources/reports/apt1-exposing-one-chinas-cyber-espionage-units.
• Marchetti, Mirco, Fabio Pierazzi, Michele Colajanni, și Alessandro Guido. 2016. „Analysis of high volumes of network traffic for Advanced Persistent Threat detection”. Computer Networks 109 (iunie). https://doi.org/10.1016/j.comnet.2016.05.018.
• McAfee. 2010. „Protecting Your Critical Assets”. https://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf.
• Microsoft. 2022. „Threats – Microsoft Threat Modeling Tool – Azure – STRIDE”. 25 august 2022. https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats.
• Mitnick, Kevin D., și William L. Simon. 2011. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons.
• Nar, Kamil, și S. Shankar Sastry. 2018. „An Analytical Framework to Address the Data Exfiltration of Advanced Persistent Threats”. În 2018 IEEE Conference on Decision and Control (CDC), 867–73. https://doi.org/10.1109/CDC.2018.8619834.
• Nicho, Mathew, și Christopher D. McDermott. 2019. „Dimensions of ‘Socio’ Vulnerabilities of Advanced Persistent Threats”. În 2019 International Conference on Software, Telecommunications and Computer Networks (SoftCOM), 1–5. https://doi.org/10.23919/SOFTCOM.2019.8903788.
• Nick. 2018. „Turla APT Group’s Espionage Campaigns Now Employs Adobe Flash Installer and Ingenious Social Engineering”. Cyber Defense Magazine (blog). 16 ianuarie 2018. https://www.cyberdefensemagazine.com/turla-apt-groups-espionage-campaigns-now-employs-adobe-flash-installer-and-ingenious-social-engineering/.
• Paganini, Pierluigi. 2019. „Iran-Linked APT33 Updates Infrastructure Following Its Public Disclosure”. Security Affairs. 1 iulie 2019. https://securityaffairs.com/87784/apt/apt33-updates-infrastructure.html.
• Parrish, Jr, James L., Janet L. Bailey, și James F. Courtney. 2009. „A Personality Based Model for Determining Susceptibility to Phishing Attacks”. http://www.swdsi.org/swdsi2009/papers/9J05.pdf.
• Quintero-Bonilla, Santiago, și Angel Martín del Rey. 2020. „A New Proposal on the Advanced Persistent Threat: A Survey”. Applied Sciences 10 (11): 3874. https://doi.org/10.3390/app10113874.
• Rowe, Mark. 2013. „Advanced Persistent Threats: How to Manage the Risk to Your Business”. Professional Security. 11 octombrie 2013. https://professionalsecurity.co.uk/reviews/advanced-persistent-threats-how-to-manage-the-risk-to-your-business/.
• Sexton, Joseph, Curtis Storlie, și Joshua Neil. 2015. „Attack Chain Detection”. Statistical Analysis and Data Mining: The ASA Data Science Journal 8 (5–6): 353–63. https://doi.org/10.1002/sam.11296.
• Shevchenko, Nataliya, Timothy A. Chick, Paige O’Riordan, și Thomas Patrick Scanlon. 2018. „Threat Modeling: A Summary of Available Methods”. https://apps.dtic.mil/sti/citations/AD1084024.
• Sriram, S., R. Vinayakumar, Mamoun Alazab, și Soman KP. 2020. „Network Flow based IoT Botnet Attack Detection using Deep Learning”. În IEEE INFOCOM 2020 – IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS), 189–94. https://doi.org/10.1109/INFOCOMWKSHPS50562.2020.9162668.
• Swisscom. 2019. „Report on the threat situation | SME | Swisscom”. 2019. https://www.swisscom.ch/en/business/sme/downloads/report-threat-situation-switzerland-2019.html.
• Tanaka, Yasuyuki, Mitsuaki Akiyama, și Atsuhiro Goto. 2017. „Analysis of malware download sites by focusing on time series variation of malware”. Journal of Computational Science 22 (septembrie): 301–13. https://doi.org/10.1016/j.jocs.2017.05.027.
• Trend. 2012. „Spear-Phishing Email: Most Favored APT Attack Bait”. https://documents.trendmicro.com/assets/wp/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf.
• Ussath, Martin, David Jaeger, Feng Cheng, și Christoph Meinel. 2016. „Advanced persistent threats: Behind the scenes”. 2016 Annual Conference on Information Science and Systems (CISS), martie, 181–86. https://doi.org/10.1109/CISS.2016.7460498.
• Villeneuve, Nart, și James Bennett. 2012. „Detecting APT Activity with Network Traffic Analysis”. https://documents.trendmicro.com/assets/wp/wp-detecting-apt-activity-with-network-traffic-analysis.pdf.
• Villeneuve, Nart, și James T. Bennett. 2014. „XtremeRAT: Nuisance or Threat?” Mandiant. 2014. https://www.mandiant.com/resources/blog/xtremerat-nuisance-or-threat.
• Vukalovic, J., și Damir Delija. 2015. Advanced Persistent Threats – detection and defense. https://doi.org/10.1109/MIPRO.2015.7160480.
• Wang, Xu, Kangfeng Zheng, Xinxin Niu, Bin Wu, și Chunhua Wu. 2016. „Detection of command and control in advanced persistent threat based on independent access”. În 2016 IEEE International Conference on Communications (ICC), 1–6. https://doi.org/10.1109/ICC.2016.7511197.
• Waqas, Muhammad, Kamlesh Kumar, Asif Ali Laghari, Umair Saeed, Muhammad Malook Rind, Aftab Ahmed Shaikh, Fahad Hussain, Athaul Rai, și Abdul Qayoom Qazi. 2022. „Botnet Attack Detection in Internet of Things Devices over Cloud Environment via Machine Learning”. Concurrency and Computation: Practice and Experience 34 (4): e6662. https://doi.org/10.1002/cpe.6662.
• Yadav, Sandeep, Ashwath Kumar Krishna Reddy, A. L. Narasimha Reddy, și Supranamaya Ranjan. 2012. „Detecting Algorithmically Generated Domain-Flux Attacks With DNS Traffic Analysis”. IEEE/ACM Transactions on Networking 20 (5): 1663–77. https://doi.org/10.1109/TNET.2012.2184552.
• Zhang, Ru, Yanyu Huo, Jianyi Liu, și Fangyu Weng. 2017. „Constructing APT Attack Scenarios Based on Intrusion Kill Chain and Fuzzy Clustering”. Security and Communication Networks 2017 (decembrie): e7536381. https://doi.org/10.1155/2017/7536381.
• Zimba, Aaron, Hongsong Chen, Zhaoshun Wang, și Mumbi Chishimba. 2020. „Modeling and detection of the multi-stages of Advanced Persistent Threats attacks based on semi-supervised learning and complex networks characteristics”. Future Generation Computer Systems 106 (mai): 501–17. https://doi.org/10.1016/j.future.2020.01.032.

[1] (Quintero-Bonilla și Martín del Rey 2020)

[2] (Aleroud și Zhou 2017)

[3] (Krombholz et al. 2015)

[4] (Tanaka, Akiyama, și Goto 2017)

[5] (Nick 2018)

[6] (Fortinet 2023)

[7] (Adelaiye, Ajibola, și Silas 2019)

[8] (Parrish, Jr, Bailey, și Courtney 2009)

[9] (Cobb 1996)

[10] (Krombholz et al. 2015)

[11] (Gulati 2003)

[12] (Bere et al. 2015)

[13] (Mitnick și Simon 2011)

[14] (Krombholz et al. 2015)

[15] (Chaitanya et al. 2012)

[16] (Quintero-Bonilla și Martín del Rey 2020)

[17] (Mandiant 2013)

[18] (Falliere, Murchu, și Chien 2011)

[19] (Lemay et al. 2018)

[20] (ETDA 2023)

[21] (Lemay et al. 2018)

[22] (Paganini 2019)

[23] (Adams 2018)

[24] (Falliere, Murchu, și Chien 2011)

[25] (CSS 2019)

[26] (Kaspersky 2015)

[27] (Kaspersky 2023)

[28] (Hejase, Kazan, și Moukadem 2020)

[29] (Microsoft 2022)

[30] (Hejase, Kazan, și Moukadem 2020)

[31] (Z. Chen et al. 2022)

[32] (Shevchenko et al. 2018)

[33] (Quintero-Bonilla și Martín del Rey 2020)

[34] (Ussath et al. 2016)

[35] (Sriram et al. 2020)

[36] (Waqas et al. 2022)

[37] (Hachem et al. 2011)

[38] (Zhang et al. 2017)

[39] (Quintero-Bonilla și Martín del Rey 2020)

[40] (Wang et al. 2016)

[41] (Sexton, Storlie, și Neil 2015)

[42] (Jeun, Lee, și Won 2012)

[43] (Alshamrani et al. 2019)

[44] (Ghafir și Prenosil 2016)

[45] (P. Chen, Desmet, și Huygens 2014)

[46] (Trend 2012)

[47] (McAfee 2010)

[48] (IC Espionage 2010)

[49] (Villeneuve și Bennett 2014)

[50] (IC Espionage 2010)

[51] (Ghafir et al. 2019)

[52] (Yadav et al. 2012)

[53] (Johnson și Hogan 2013)

[54] (Kaushik, Pilli, și Joshi 2010)

[55] (Ghafir et al. 2019)

[56] (Z. Chen et al. 2022)

[57] (Zimba et al. 2020)

[58] (Lee, Mahinderjit Singh, și Mohd Shariff 2019)

[59] (Nicho și McDermott 2019)

[60] (Alshamrani et al. 2019)

[61] (Apruzzese et al. 2017)

[62] (Nar și Sastry 2018)

[63] (Guerra-Manzanares, Nõmm, și Bahsi 2019)

[64] (Vukalovic și Delija 2015)

[65] (Mandiant 2013)

[66] (Alshamrani et al. 2019)

[67] (Lockheed Martin 2023)

[68] (Hutchins, Cloppert, și Amin 2011)

[69] (Bhatt, Yano, și Gustavsson 2014)

[70] (Ask 2013)

[71] (Adelaiye, Ajibola, și Silas 2019)

[72] (Rowe 2013)

[73] (Brewer 2014)

[74] (P. Chen, Desmet, și Huygens 2014)

[75] (Ghafir și Prenosil 2014)

[76] (Ghafir și Prenosil 2014)

[77] (Marchetti et al. 2016)

[78] (Ask 2013)

[79] (Ghafir și Prenosil 2014)

[80] (P. Chen, Desmet, și Huygens 2014)

[81] (Ghafir și Prenosil 2014)

[82] (Villeneuve și Bennett 2012)

[83] (P. Chen, Desmet, și Huygens 2014)

[84] (Mandiant 2013)

[85] (Quintero-Bonilla și Martín del Rey 2020)

[86] (Swisscom 2019)

[87] (Swisscom 2019)

[88] (Mandiant 2013)

[89] (P. Chen, Desmet, și Huygens 2014)

[90] (EC-Council 2023)

[91] (Hejase, Kazan, și Moukadem 2020)

[92] (EC-Council 2023)

[93] (Microsoft 2022)

[94] (Hejase, Kazan, și Moukadem 2020)

Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).