Haben Sie wertvolle Daten in Ihrem Netzwerk gespeichert? Und haben Sie in letzter Zeit eher ungewöhliches Netzwerkverhalten bemerkt? Dann könnten Sie Opfer eines APT-Angriffs geworden sein. [...]
Definition einer Advanced Persistent Threat
Eine fortgeschrittene andauernde Bedrohung (Advanced Persistent Threat, APT) ist eine Form des Cyberangriffs, die von Kriminellen oder Nationalstaaten mit der Absicht ausgeführt wird, Daten zu stehlen oder Systeme über einen längeren Zeitraum hinweg zu überwachen. Der Angreifer hat ein bestimmtes Ziel und eine bestimmte Absicht; er hat Zeit und Ressourcen aufgewendet, um die notwendige Schwachstelle zu identifizieren, die er für den Zugriff nutzen kann, und einen Angriff zu entwerfen, der wahrscheinlich lange Zeit unentdeckt bleibt. Bei diesem Angriff wird häufig benutzerdefinierte Malware verwendet.
Das Motiv für eine APT kann entweder finanzieller Gewinn oder politische Spionage sein. APTs wurden ursprünglich hauptsächlich mit nationalstaatlichen Akteuren in Verbindung gebracht, die Regierungs- oder Betriebsgeheimnisse stehlen wollten. Cyber-Kriminelle verwenden ATPs heute, um Daten oder geistiges Eigentum zu stehlen, die sie verkaufen oder anderweitig monetarisieren können.
APT-Hacker und Malware sind mittlerweile wesentlich häufiger und ausgefeilter als je zuvor. Für so manchen professionellen Hacker, der entweder für seine Regierung oder für eine der relevanten Branchen arbeitet, besteht die Vollzeitbeschäftigung darin, ganz bestimmte Unternehmen und Ziele zu attackieren. Solche Angreifer führen Aktionen durch, die ausschließlich für die Interessen ihres Sponsors relevant sind. Dazu zählen der Zugriff auf vertrauliche Informationen, das Einfügen von destruktivem Code oder das Platzieren von versteckten Backdoor-Programmen, die es ihnen ermöglichen, sich nach Belieben Zugriff zum Zielnetzwerk oder dem jeweiligen Computer zu verschaffen.
APT-Hacker sind sehr geschickt und haben den großen operativen Vorteil, dass sie niemals verhaftet werden. Stellen Sie sich nur mal vor, wie viel erfolgreicher und beständiger ein anderer Dieb arbeiten könnte, wenn er dieselbe Garantie erhalten könnte.
Trotzdem wollen Sie natürlich nicht, dass ihre illegalen Aktivitäten sofort von ihren Zielen bemerkt werden, da dies ihre Mission nur erschweren würde. Ein erfolgreicher APT-Hacker dringt in Netzwerke und Computer ein, extrahiert alles für ihn Notwendige und verlässt seinen Tatort anschließend vollkommen unbemerkt. Sie gehen langsam und unauffällig vor und legen es nicht darauf an, sonderbare Ereignisse, prüfbare Spuren, Fehlermeldungen oder Dienstunterbrechungen herbeizuführen.
Die meisten APTs verwenden für ihre Aktivitäten benutzerdefinierten Code, bevorzugen es jedoch, öffentlich bekannte Sicherheitslücken zu nutzen, um ihre schmutzige Arbeit zu erledigen. Auf diese Weise ist es für das Opfer schwieriger zu erkennen, dass es sich um eine APT-Attacke handelt, sobald die Aktivitäten des Hackers bemerkt werden, und der Angriff ist leicht mit dem eines normalen weniger schwerwiegenden Hackers oder eines Malware-Programms zu verwechseln.
Fünf Anzeichen einer APT-Attacke
Da APT-Hacker andere Techniken verwenden als gewöhnliche Hacker, hinterlassen sie ganz unterschiedliche Spuren. In den letzten zwei Jahrzehnten haben sich vor allem die folgenden fünf Anzeichen herauskristallisiert, die dafür sprechen, dass ihr Unternehmen höchstwahrscheinlich APT gefährdet ist. Jede von ihnen kann auch Teil eines völlig legitimen Arbeitsvorgangs sein – doch unerwartetes Auftreten oder ein außergewöhnliches Ausmaß der jeweiligen Aktivität können darauf hindeuten, dass es sich hier um einen APT-Exploit handelt.
1. Vermehrte Log-Ons spät in der Nacht
APTs können schnell eskalieren: von der Beeinträchtigung eines einzelnen Computers bis hin zur Übernahme mehrerer Computer oder sogar der gesamten Netzwerkumgebung in nur wenigen Stunden. Dies tun sie, indem sie eine Authentifizierungsdatenbank auslesen, Anmeldeinformationen stehlen und diese erneut verwenden. Dadurch erfahren sie, welche Benutzer (oder Dienstkonten) über erhöhte Berechtigungen und Zugänge verfügen, und gehen diese Konten durch, um die Umgebungs-Assets zu kompromittieren. Vermehrte Anmeldungen treten deshalb spät in der Nacht auf, weil die Angreifer nicht selten am anderen Ende der Welt leben. Wenn Sie also plötzlich feststellen, dass die Anzahl der Log-Ons auf mehreren Servern ungewöhnlich hoch ist, oder gerade dann enorm ansteigen, wenn die dazu berechtigte Arbeiterschaft Feierabend macht, sollten Sie sich Sorgen machen.
2. Weit verbreitete Backdoor-Trojaner
APT-Hacker installieren häufig Backdoor-Trojaner auf gefährdeten Computern in der von ihnen übernommenen Umgebung. Dies tun sie, um sicherzustellen, dass sie immer wieder die Möglichkeit haben, in das betroffene System einzusteigen, auch dann, wenn die erfassten Anmeldeinformationen längst geändert werden, weil das Opfer auf einen Hinweis reagiert hat. Eine weitere verwandte Eigenschaft: Einmal entdeckt, ziehen sich APT-Hacker nicht mehr einfach zurück, wie es normale Angreifer tun würden. Warum sollten sie auch? Immerhin haben Sie nun uneingeschränkten Zugriff auf die Computer in Ihrer Umgebung, und Sie gehen dafür wahrscheinlich nicht einmal vor Gericht.
Heutzutage bieten Trojaner, die durch Social Engineering in Umlauf gebracht werden, den einfachsten Weg, um ahnungslose Unternehmen auszubeuten. Schließlich sind sie in jeder Umgebung ziemlich weit verbreitet und vermehren sich bei APT-Angriffen.
3. Unerwartete Datenströme
Suchen Sie nach großen, unerwarteten Datenströmen von internen Ursprungspunkten zu anderen internen oder externen Computern. Dies kann von Server zu Server, Server zu Client oder von Netzwerk zu Netzwerk passieren.
Diese Datenströme sind möglicherweise zwar begrenzt, doch sie sind zielgerichtet, beispielsweise dann, wenn jemand E-Mails aus einem fremden Land abruft. Es wäre hilfreich, gäbe es bei jedem E-Mail-Client die Möglichkeit, sich anzeigen zu lassen, von wo aus sich der letzte Benutzer angemeldet hat, um seine E-Mails abzurufen, oder wann das letzte Mal ein eine Nachricht zugegriffen wurde. Google Mail und einige andere Cloud-E-Mail-Systeme bieten diese Option bereits an.
Dies ist schwieriger geworden, da heutzutage ein Großteil der Informationsflüsse durch VPNs geschützt wird; in der Regel TLS über HTTP (HTTPS). Obwohl dies früher eher selten war, blockieren oder fangen viele Unternehmen mittlerweile jeden zuvor undefinierten und nicht genehmigten HTTPS-Verkehr mit einem Sicherheitskontrollgerät ab. Das Gerät „entpackt“ den HTTPS-Verkehr durch Ersetzen seines eigenen TLS digital und fungiert als Proxy, der vorgibt, die andere Seite der Kommunikationstransaktion für die Quelle und das festgelegte Ziel zu sein. Es entpackt und untersucht den Datenverkehr und verschlüsselt die Daten daraufhin erneut, bevor sie an die ursprünglichen Kommunikationsziele gesendet werden. Wenn Sie so etwas nicht tun, verpassen Sie möglicherweise das exfiltrierte Datenleck.
Um ein mögliches APT zu erkennen, müssen Sie natürlich zunächst einmal wissen, wie Ihre Datenflüsse aussehen, noch bevor Ihre Umgebung überhaupt gefährdet wird. Beginnen Sie am besten jetzt sofort und lernen Sie die Grundlagen.
4. Unerwartete Datenpakete
APTs sammeln häufig gestohlene Daten an internen Sammelpunkten, bevor diese nach außen verschoben werden. Suchen Sie nach großen Datenpaketen (Gigabyte, nicht Megabytes), die Ihnen an Stellen angezeigt werden, an denen diese Daten eigentlich nicht sein sollten; insbesondere, wenn sie in Archivformaten komprimiert sind, die in Ihrem Unternehmen normalerweise nicht verwendet werden.
5. Fokussierte Spear-Phishing-Kampagnen
Einer der wohl eindeutigsten Indikatoren wäre eine gezielte Spear-Phishing-E-Mail-Kampagne gegen die Mitarbeiter eines Unternehmens, die Dokumentdateien (z. B. Adobe Acrobat-PDFs, Microsoft Office Word, Microsoft Office Excel XLS oder Microsoft Office PowerPoint PPTs) mit ausführbaren Codes und schädlichen Link-URLs enthalten. Dies ist der wohl am weitesten verbreitete Ursprung einer sehr großen Mehrheit von APT-Angriffen.
Das deutlichste Anzeichen dafür ist, dass die betreffende Phishing-E-Mail des Angreifers nicht an alle Personen im Unternehmen gleichermaßen versendet wird, sondern an eine ausgewählte Zielperson von hohem Wert (z. B. CEO, CFO, CISO, Projektleiter oder Tech-Leader) im Unternehmen. Dabei werden häufig Informationen verwendet, die die Angreifer nur dann wissen können, wenn sie zuvor schon mal ein anderes Teammitglied gefährdet haben.
Die E-Mails sind vielleicht gefälscht, doch sie enthalten Schlüsselwörter, die sich auf reale interne, derzeit laufende Projekte und die damit verbundenen Themen beziehen. Anstelle eines generischen „Hey, lies das!“-Phishing-Themas, enthalten sie etwas sehr Rlevantes für Ihr aktuelles Projekt und stammen von einem anderen Teammitglied des Projekts. Wenn Sie jemals eine dieser sehr spezifischen, gezielten Phishing-E-Mails gesehen haben, werden Sie vermutlich ein bisschen schaudern, weil Sie sich fragen, ob Sie dies alles hätten vermeiden können. Sie sind normalerweise so gut.
Wenn Sie von einem fokussierten Spear-Phishing-Angriff hören, insbesondere wenn einige Führungskräfte berichtet haben, dass sie auf einen Dateianhang geklickt haben, suchen Sie nach den anderen vier Anzeichen und Symptomen. Es kann Ihr Kanarienvogel in der Kohlengrube sein.
Ich hoffe, Sie müssen sich nie mit einem APT-Angriff auseinandersetzen müssen. Es ist eines der schwierigsten Dinge, die Sie und Ihr Unternehmen bewältigen müssten. Vorbeugung und Früherkennung reduzieren Ihr Leiden.
*Roger A. Grimes ist Kolumnist bei CSO.com
Be the first to comment