Bij gerichte aanvallen is het aanvallers steeds vaker om PKI-gerelateerde informatie te doen, zoals inloggegevens voor VPN en private sleutels om SSL-verkeer te ontsleutelen. Dat staat in een rapport over Advanced Persistent Threats (APT) van het Amerikaanse beveiligingsbedrijf. Dit zijn goed voorbereide aanvallen waarbij aanvallers over ruime kennis, tijd en middelen beschikken om een bedrijfsnetwerk te compromitteren.

De meeste van deze aanvallen beginnen met een gerichte aanval of het gebruik van een veel eerder besmet systeem dat al die tijd onopgemerkt is gebleven. Eenmaal actief zoeken de aanvallers lokale Windows Exchange e-mailbestanden (PST) of "oogsten" ze meerdere mailboxen van de e-mailserver, zoals Exchange of Lotus Notes.

Het afgelopen jaar was volgens Mandiant steeds vaker PKI-gerelateerde informatie het doelwit. PKI-gegevens worden gebruikt voor Virtuele Private Netwerken (VPN) en SSL-verkeer. Met deze gestolen gegevens kan een aanvaller zich als het slachtoffer authenticeren of SSL-verkeer ontsleutelen. Daarbij zijn VPN-gegevens in het PKCS7 of PKCS12 formaat een eenvoudig doelwit. Hardware-gebaseerde PKI-technologie biedt dan ook een betere bescherming merkt de beveiliger op, maar is niet waterdicht. Ook bij het gebruik van smartcards en tokens is het nog steeds mogelijk om toegang tot een achtergelegen systemen te krijgen.

Veel van de APT-malware verstopt zich als Windows services op het systeem, maar ook het gebruik van Windows register run keys komt voor. De malware gebruikt in veel gevallen de Taakplanner om een service te starten of te vervangen.

Sociale netwerken
Met name bedrijven die in Azië actief zijn of advocatenkantoren die bedrijven ondersteunen die in Azië overnames plannen, lopen risico om door een APT getroffen te worden. Van de ongeveer 120 slachtoffers die in het rapport beschreven worden, zijn er 42% in de commerciële sector en 31% als defensiebedrijf actief. Mandiant waarschuwt verder dat virusscanners en beveiligingssoftware niet in staat is om dit soort geavanceerde dreigingen te detecteren.

Een ander punt dat de beveiliger opmerkte is dat APT-malware steeds vaker via sociale netwerken wordt aangestuurd. Het gaat dan om bijvoorbeeld backdoors die MSN en Google Chat als command & control-kanaal gebruiken. Bedrijven moeten echter accepteren dat als ze het doelwit van APT-malware zijn, de aanvallers vroeger of later toegang tot het netwerk zullen krijgen. Het "winnen" van een APT bestaat dan ook voornamelijk uit het beperken van de schade.