Las APT requieren atacantes sofisticados e implican grandes esfuerzos, por lo que generalmente se lanzan contra estados nacionales, grandes corporaciones u otros objetivos muy valiosos.
Los indicadores comunes de una presencia APT incluyen:
- Creación de una nueva cuenta: la P en Persistente proviene de un atacante que crea una identidad o credencial en la red con privilegios elevados.
- Actividad anormal : las cuentas de usuario legítimas suelen funcionar en patrones. La actividad anormal en estas cuentas puede indicar que se está produciendo un APT, incluida la observación de una cuenta obsoleta que se creó y luego se dejó sin usar durante un tiempo que de repente está activa.
- Malware de puerta trasera/caballo de Troya : el uso extensivo de este método permite a las APT mantener el acceso a largo plazo.
- Actividad extraña de la base de datos : por ejemplo, un aumento repentino en las operaciones de la base de datos con cantidades masivas de datos.
- Archivos de datos inusuales : la presencia de estos archivos puede indicar que los datos se han agrupado en archivos para ayudar en un proceso de exfiltración.