Security Know-how

Advanced Persistent Threats (APTs) erklärt

16.10.2019
Von 


Thomas Ehrlich ist Regional Director DACH bei Netskope. Davor verantwortete er als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region.
Ist jeder ausgeklügelte Angriff eine Advanced-Persistent-Threats-Attacke? Was zeichnet "fortgeschrittene, andauernde Bedrohungen" aus und was lässt sich gegen sie unternehmen?

Sechs Jahre - so lange konnte die Malware "Slingshot" erfolgreich in angegriffenen Routern und Computern ihr Unwesen treiben, bevor sie schließlich im März 2018 entdeckt wurde. Damit ist die Schadsoftware ein ideales Beispiel für eine erfolgreiche Advanced Persistent Threat ("fortgeschrittene, andauernde Bedrohung") oder kurz: APT-Attacke.

Advanced Persistent Threats sind langfristige Angriffe, die zum Ziel haben, so viele Daten wie möglich über das ausgewählte Objekt zu sammeln und damit einen entsprechenden Angriff zu starten.
Advanced Persistent Threats sind langfristige Angriffe, die zum Ziel haben, so viele Daten wie möglich über das ausgewählte Objekt zu sammeln und damit einen entsprechenden Angriff zu starten.
Foto: Profit_Image - shutterstock.com

Im Gegensatz zu konventionellen Angriffen, sind APTs langfristige Operationen, die darauf abzielen, so viele wertvolle Daten wie möglich zu infiltrieren und/oder zu exfiltrieren, ohne entdeckt zu werden. Derzeit ist noch nicht abzusehen, auf wie viele Daten die Angreifer mit Hilfe von Slingshot zugreifen konnten. Gemäß den Informationen von Kaspersky waren rund 100 Ziele in Afrika und dem Nahen Osten betroffen. Wie bei Stuxnet weist vieles darauf hin, dass hier Hacker im staatlichen Auftrag am Werk waren. Und das offensichtlich erfolgreich: Sechs Jahre unentdeckt zu bleiben, ist selbst für einen APT-Angriff ein herausragender Wert.

Der APT-Lebenszyklus

Stuxnet gilt zu Recht als Paradebeispiel für solch eine Attacke. Der Computerwurm führte einen strategischen Angriff auf ein hochwertiges Ziel: Die Programmierer schrieben Code, um ein bestimmtes Kontrollboard eines bestimmten Herstellers anzugreifen, mit dem der Iran Uran anreicherte. Und dieser Code wurde so entwickelt, dass er schwer zu finden war und auf diese Weise viel Zeit hatte, so viel Schaden wie möglich anzurichten.

Die Phasen eines APT-Angriffs im Überblick.
Die Phasen eines APT-Angriffs im Überblick.
Foto: Varonis Systems

Der Lebenszyklus eines APT ist entsprechend wesentlich länger und komplizierter als bei anderen Arten von Angriffen. Die startegische Vorgehensweise eines APT-Angriffes sieht wie folgt aus:

  1. Ziel definieren: Bestimmen, wen man im Visier hat, was man erreichen will – und warum.

  2. Komplizen finden und organisieren: Teammitglieder auswählen, erforderliche Fähigkeiten identifizieren und Insider-Zugriff erlangen.

  3. Tools entwickeln oder erwerben: Finden von aktuell verfügbaren Programmen oder Entwicklung neuer Anwendungen, um die richtigen Tools für die Aufgabe zur Verfügung zu haben.

  4. Ziel auskundschaften: Herausfinden, wer den benötigten Zugriff hat, welche Hard- und Software das Opfer verwendet und wie der Angriff am besten ausgeführt werden kann.

  5. Erkennung testen: Einsetzen einer kleinen Aufklärungsversion der Software, Testen von Kommunikation und Alarmen, Identifikation von Schwachstellen.

  6. Einsatz: Es geht los! Die komplette Suite in Betrieb nehmen und mit der Infiltration beginnen.

  7. Erstes Eindringen: Sobald man sich im Netzwerk befindet, herausfinden, welche Schritte notwendig sind, um das Ziel zu finden.

  8. Verbindung nach außen initiieren: Ist das Ziel erfasst, wird Tunnel errichtet, um mit dem Senden von Daten aus dem Ziel zu beginnen.

  9. Zugriff erweitern und Zugangsdaten generieren: Erstellen eines „Geister-Netzwerks“ innerhalb des Zielnetzwerks, das vom Angreifer kontrolliert wird und Nutzung des eigenen Zugriffs, um einen größeren Bewegungsradius zu erhalten.

  10. Stand stärken: Nutzen von anderen Schwachstellen, um mehr Zombies einzurichten oder den Zugang zu anderen interessanten Zielen zu erweitern.

  11. Daten exfiltrieren: Wenn das Gesuchte gefunden wurde,, wird es zurück zur Basis gebracht.

  12. Spuren verwischen und unentdeckt bleiben: Die gesamte Operation hängt von der Fähigkeit ab, im Netzwerk verborgen zu bleiben. Weiterhin an der Tarnung arbeiten und sicherstellen, dass man hinter sich aufräumt.

Die Werkzeugkiste eines APT-Angriffs

APT-Operationen mit vielen Schritten und beteiligten Personen erfordern einen enormen Koordinationsaufwand. So wird vermutet, dass der Personalaufwand bei der Stuxnet-Entwicklung mindestens fünf bis zehn Hauptentwickler sowie zusätzliches Personal für Qualitätssicherung und Management betrug und rund 50 Millionen USD gekostet hat. Hierbei gibt es einige bewährte Taktiken, die bei verschiedenen APT-Operationen immer wieder auftauchen:

Social Engineering: Die älteste und zugleich erfolgreichste aller Infiltrationsmethoden ist klassisches Social Engineering. Es ist viel einfacher, jemanden zu überzeugen, Ihnen den benötigten Zugang zu verschaffen als ihn selbst zu stehlen oder zu entwickeln. Die meisten APT-Angriffe haben eine Social-Engineering-Komponente, entweder am Anfang während der Zielerforschungsphase oder gegen Ende, um die Spuren zu verwischen.

Spear Phishing: Spear Phishing ist ein gezielter Versuch, einer bestimmten Person die Zugangsdaten zu entwenden. Das Zielobjekt wird typischerweise während der Zielforschung ausgekundschaftet und als möglicher "Türöffner" für die Infiltration identifiziert. Wie bei "normalen", weit gestreuten Phishing-Angriffen verwenden Spear Phishing-Versuche Malware, Keylogger oder E-Mail, um den Einzelnen dazu zu bringen, die Anmeldeinformationen weiterzugeben.

Rootkits: Da Rootkits im Herzen der Computersysteme leben, sind sie schwer zu erkennen. Rootkits verstecken sich gut und gewähren Zugang zum infizierten System. Einmal installiert, können die Angreifer über das Rootkit auf das Zielunternehmen zugreifen. Sobald sie sich im Netzwerk befinden, können sie zudem noch andere Systeme infiltrieren, was es für Sicherheitsteams wesentlich schwieriger macht, die Bedrohung einzudämmen.

Exploits: Ein einfaches Ziel für APTs sind Zero-Day- oder andere bekannte Sicherheitslücken. Ein nicht gepatchtes Sicherheitsproblem ließ beispielsweise den APT-Angriff bei Equifax mehrere Monate unentdeckt weiterlaufen.

Andere Tools: Während die oben genannten Ansätze am verbreitetsten sind, gibt es eine scheinbar endlose Menge von potenziellen Tools: Infizierte Downloads, DNS-Tunneling, Rogue WiFi und vieles mehr. Und wer weiß, was die nächste Generation von Hackern entwickeln wird bzw. was bereits unentdeckt im Einsatz ist?

Wer steckt hinter APTs?

Die Akteure, die APT-Angriffe durchführen, sind in der Regel hoch motiviert, engagiert und verfügen über entsprechende finazielle Mittel. Sie haben ein bestimmtes Ziel vor Augen und sind gut organisiert, kompetent und entschlossen, dieses Ziel zu erreichen. In aller Regel werden diese Operationen von einer größeren Organisation (dies kann ein Staat bzw. Geheimdienst, aber auch ein Unternehmen sein) durchgeführt oder initiiert. Diese Gruppen betreiben Cyber-Spionage mit dem Ziel, Informationen zu sammeln oder bestimmte Ziele zu sabotieren.

Zu den bekannten APT-Gruppen zählen etwa:

  • APT28 (auch bekannt als Fancy Bear)

  • APT29 (alias Cosy Bear)

  • Deep Panda (wird China zugerechnet)

  • OilRig (wird dem Iran zugerechnet)

Die Motivationen hinter APT-Angriffen reichen von Industriespionage über (politisch motivierten) Informationsdiebstahl bis zur Sabotage. Einige weniger ausgefeilte APTs dienen in erster Linie dazu, Geld zu stehlen. Letztere sind deutlich die am weitesten verbreiteten APT-Angriffe, jedoch sind sie in Aufwand und Raffinesse nicht mit staatlich geförderten Angriffen zu vergleichen.

Was sind typische Ziele für APT-Angriffe?

Im Allgemeinen zielen APTs auf höherwertige Ziele wie beispielsweise andere Nationalstaaten oder konkurrierende Unternehmen. Jedoch kann letztlich jede Person Ziel eines solchen Angriffs sein. Die entscheidenden Merkmale einer APT-Attacke sind dabei ein längerer Zeitraum des Angriffs und konsequente Verschleierungsversuche durch die Angreifer.

Im Grunde sind alle sensiblen Daten ein mögliches Ziel für einen Angriff, ebenso wie Bargeld oder Bargeldäquivalente (wie Bankkontodaten oder Bitcoin-Wallet-Schlüssel).

Mögliche Ziele sind u.a.:

  • Geistiges Eigentum (z.B. Erfindungen, Geschäftsgeheimnisse, Patente, Designs, Verfahren)

  • Vertrauliche Daten

  • Persönlich identifizierbare Informationen (PII)

  • Infrastrukturdaten (d.h. Aufklärungsdaten)

  • Zugangsdaten

  • Sensible oder belastende Kommunikation (z.B. Sony)

Was kann man gegen APTs unternehmen?

Nur mit einem mehrschichtigen Sichereitsansatz kann man sich vor APTs schützen.
Nur mit einem mehrschichtigen Sichereitsansatz kann man sich vor APTs schützen.
Foto: Varonis Systems

Um sich vor APT-Angriffen zu schützen, bedarf es eines mehrschichtigen Sicherheitsansatzes:

Perimeterschutz: Beschränken und kontrollieren Sie den Zugriff auf die Firewall und den physischen Zugang. Alle Access Points sind potentielle Einstiegspunkte für einen APT-Angriff. Ungepatchte Server, offene WiFi-Router, unverschlossene Serverraumtüren und unsichere Firewalls bieten die Möglichkeit zur Infiltration. Kümmern Sie sich zuerst um die Sicherheitsgrundlagen.

Effektives Monitoring: Sammeln Sie alles über Ihre wertvollen Daten: Wo sind Ihre Daten gespeichert? Wer hat Zugriff auf diese Daten? Wer nimmt Änderungen an der Firewall vor? Wer nimmt Änderungen an den Zugangsdaten vor? Wer greift auf sensible Informationen zu? Wer greift auf das Netzwerk zu und von woher? Sie sollten alles wissen, was in Ihrem Netzwerk und mit Ihren Daten geschieht. Die Dateien selbst sind das Ziel. Wenn Sie wissen, was mit Ihren Dateien geschieht, können Sie darauf reagieren und verhindern, dass APTs in Ihrem Unternehmen Schaden anrichten.

Datensicherheitsanalyse: Vergleichen Sie Datei- und Benutzeraktivitäten mit dem Ausgangsverhalten, damit Sie wissen, was normal und was verdächtig ist. Verfolgen und analysieren Sie potenzielle Sicherheitslücken und verdächtige Aktivitäten, um Angriffe stoppen zu können, bevor es zu spät ist. Erstellen Sie einen Aktionsplan, um Bedrohungen zu bekämpfen, sobald Sie die Warnungen erhalten. Unterschiedliche Bedrohungen erfordern unterschiedliche Reaktionen: Ihre Teams müssen wissen, wie sie im jeweiligen Fall vorgehen müssen.

Ohne effektives Monitoring ist es schwierig bzw. nahezu unmöglich, APT-Attacken zu identifizieren. Die Angreifer setzen alles daran, unentdeckt zu bleiben und dabei ihrem Ziel entsprechend zu operieren. Sobald sie sich innerhalb des Perimeters befinden, können sie wie jeder andere Remote-Benutzer aussehen. Das Sammeln, Analysieren und Korrelieren von Sicherheitsinformationen aus verschiedenen Quellen - etwa DNS, VPN oder Web Proxy - kann entscheidende Hinweise auf APT-Aktivitäten geben. Darüber hinaus kommt der intelligenten Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) eine Schlüsselrolle zu, um abnormales Verhalten zu identifizieren und zu stoppen. (hal)