Advanced Persistent Threat (APT)
APT-Attacken zielen häufig darauf ab, Informationen zu stehlen und weniger das Netzwerk der angegriffenen Organisation zu schädigen. Das Ziel vieler APT-Angriffe (Advanced Persistent Threat) ist es, dauerhaften Zugang zum Zielnetzwerk zu erlangen und aufrechtzuerhalten und nicht, so schnell wie möglich hinein- und hinauszukommen.
Da die Durchführung von APT-Angriffen häufig viel Aufwand und Ressourcen erfordert, sind die Ziele oft entsprechend bedeutend wie Nationalstaaten, Behörden oder große Unternehmen. Die Absicht der Angreifer ist häufig, über einen langen Zeitraum Informationen zu stehlen.
Um sich Zugang zu Systemen und Netzwerken zu verschaffen, verwenden APT-Gruppen häufig fortschrittliche Angriffsmethoden. Dazu gehört die Ausnutzung von Zero-Day-Schwachstellen, Spear Phishing und anderen Social-Engineering-Techniken. Um den Zugriff auf das Zielnetzwerk aufrechtzuerhalten, ohne entdeckt zu werden, verändern die Bedrohungsakteure ihren Schadcode über Zeit häufig und wenden andere ausgeklügelte Umgehungstechniken an. Einige APTs sind so komplex, dass Vollzeitadministratoren vonnöten sind, um die kompromittierten Systeme und Software im Zielnetzwerk zu warten.
Die Motive der Akteure hinter APTs sind vielfältig. Von Nationalstaaten unterstützte Angreifer können es beispielsweise auf geistiges Eigentum abgesehen haben, um sich in bestimmten Branchen einen Wettbewerbsvorteil zu verschaffen. Andere Ziele können Infrastrukturen wie Energieversorger oder Telekommunikationsunternehmen sein und politische Motive haben. Gruppen des organisierten Verbrechens können APTs sponsern, um an Informationen zu gelangen, die sie zur Durchführung krimineller Handlungen nutzen können.
Auch wenn APT-Angriffe schwierig zu identifizieren sind, hinterlässt Datendiebstahl häufig Spuren. Der Akt der Exfiltration von Daten aus einem Unternehmen kann jedoch der einzige Hinweis für Verteidiger sein, dass ihre Netzwerke angegriffen werden. Security-Experten konzentrieren sich häufig auf die Erkennung von Anomalien in ausgehende Daten, um festzustellen, ob das Netzwerk das Ziel eines APT-Angriffs war.
So funktioniert ein APT-Angriff
In der Regel gehen APT-Angreifer nach folgendem Schema vor, um sich Zugang zu einem Ziel zu verschaffen und diesen aufrechtzuerhalten:
Zugang erlangen. APT-Gruppen verschaffen sich Zugang zu einem Ziel, indem sie von außen über das Internet auf Systeme zugreifen. Normalerweise gelangen sie an Daten und Zugang durch Spear-Phishing-Mails oder Softwareschwachstelle und können dann Schadsoftware einschleusen.
Sich im Ziel etablieren. Nachdem sie sich Zugang zum Ziel verschafft haben, nutzen Bedrohungsakteure ihren Zugang, um weitere Erkundungen durchzuführen. Sie nutzen die von ihnen installierte Malware, um Netzwerke mit Hintertüren und Tunneln zu schaffen, durch die sie sich unbemerkt bewegen können. Dabei setzen APTs auch fortgeschrittene Malware-Techniken ein, wie das kontinuierliche Verändern von Code, um ihre Spuren zu verwischen.
Den Zugang ausbauen und erweitern. Sobald sie in das Zielnetzwerk eingedrungen sind, können APT-Akteure Methoden wie das Knacken von Passwörtern anwenden, um sich administrative Rechte zu verschaffen. Dadurch erhalten sie mehr Kontrolle über das System und können noch weitreichenderen Zugang erlangen.
Seitwärts bewegen. Sobald Bedrohungsakteure in ihre Zielsysteme eingedrungen sind und sich Administratorrechte verschafft haben, können sie sich nahezu beliebig im Netzwerk bewegen. Sie versuchen, auf andere Server sowie auf andere sichere Bereiche des Netzwerks zuzugreifen.
Den Angriff inszenieren. Zu diesem Zeitpunkt sammeln, verschlüsseln und komprimieren die Hacker die Daten, damit sie sie exfiltrieren können.
Abziehen der Daten. Die Angreifer sammeln die Daten und übertragen sie auf ihre eigenen Systeme.
Bis zur Entdeckung im System bleiben. Cyberkriminelle können diesen Vorgang über lange Zeiträume wiederholen, bis sie entdeckt werden. Oder sie legen eine Hintertür an, um später erneut auf das System zugreifen zu können.
Typische Merkmale von Advanced Persistent Threats
APTs weisen häufig bestimmte Merkmale auf, die den hohen Grad an Koordination widerspiegeln, der notwendig ist, um in hochwertige Ziele einzudringen.
Die meisten APT-Angriffe werden in mehreren Phasen durchgeführt, die den gleichen grundlegenden Ablauf widerspiegeln: sich Zugang verschaffen, den Zugang aufrechterhalten und erweitern und versuchen unentdeckt zu bleiben, bis die Ziele des Angriffs erreicht sind.
APT-Bedrohungen zeichnen sich dadurch aus, dass sich darauf konzentrieren, mehrere Angriffspunkte zu schaffen. In der Regel versuchen die Angreifer, mehrere Zugangspunkte zu den anvisierten Netzwerken einzurichten, so dass sie den Zugang selbst dann aufrechterhalten können, wenn die böswilligen Aktivitäten entdeckt werden und eine Reaktion auf den Vorfall ausgelöst wird.
APT-Angriffe erkennen
Advanced Persistent Threats sind normalerweise schwer zu erkennen, aber es gibt bestimmte Warnzeichen, die auf entsprechende Angriffe hindeuten. Wenn ein Unternehmen einem entsprechenden Angriff ausgesetzt ist, können bestimmte Symptome bemerkt werden:
- ungewöhnliche Aktivitäten von Benutzerkonten;
- Verwendung von Backdoor-Trojaner-Schadsoftware, die es den Angreifern ermöglichen sollen, den Zugang aufrechtzuerhalten;
- merkwürdige oder untypische Datenbankaktivitäten, wie beispielsweise eine plötzliche Zunahme von Datenbankoperationen mit großen Datenmengen, und
- das Vorhandensein ungewöhnlicher Dateien, die auf Daten hindeuten können, die in Dateien gebündelt werden, um den Exfiltrationsprozess zu unterstützen.
Die Erkennung von Anomalien und ungewöhnlichem Verhalten in ausgehenden Daten ist für Security-Experten vermutlich der beste Ansatz, um festzustellen, ob ein Netzwerk das Ziel eines APT-Angriffs war.
