Gezielte Angriffe oder Advanced Persistent Threats (APT) sind in aller Munde. Auch wenn sie aus in der Untergrundwirtschaft weit verbreiteten Komponenten zusammengebaut werden, sind sie derart auf das jeweilige Opfer angepasst, dass sie nur sehr schwer zu entdecken sind. [...]
Sie gleichen dem netten Nachbarn von nebenan, der einer alten Frau aus dem vierten Stock den Müll entsorgt, in Wahrheit aber ein so genannter „Schläfer“ und ein Mitglied einer terroristischen Zelle ist. Wer solche Angreifer erkennen will, muss wie ein Fallanalytiker (oder neudeutsch „Profiler“) handeln. CSI lässt grüßen…
Mein Kollege Tom Kellermann hat vor kurzem die wichtigsten Tarntaktiken gezielter Angriffe zusammengefasst: Die kriminellen Programmierer wissen, wie ein IT-Administrator reagieren würde, wenn er den Verdacht hätte, dass ein Angriff stattfindet. Er würde nach Sicherheitslücken suchen, die möglicherweise für die Infektion genutzt wurden, und nach Anzeichen von Kommunikation mit einer unbekannten IP-Adresse suchen. Folglich sind gezielte Angriffe so gestaltet, dass sie die von ihnen genutzten Sicherheitslücken schließen und eventuell bereits vorhandene Malware beseitigen. Schöner Nebeneffekt: Andere Cyberkriminelle können diese Lücken nicht mehr nutzen und so ein und dasselbe Opfer angreifen. Das ist wichtig, denn um keinen Verdacht zu schöpfen, geht der Schadcode erst einmal in den Schlafmodus über. Anweisungen von außen sind nicht nötig, der bei sonstigen Angriffen typische Austausch mit Befehls- und Kontrollservern (Command-and-Control-Server) findet nicht statt. Nur die erbeuteten Daten werden – zum Teil in großen und unregelmäßigen Abständen – häppchenweise nach draußen geschickt, so dass die kriminelle Aktivität in der Regel nicht auffällt.
Es reicht also nicht aus, nur das bei der Analyse zu betrachten, was innerhalb des betroffenen Unternehmensnetzes passiert. Denn dies führt in der Regel zu keinem eindeutigen Ergebnis. Hinweise auf einen bereits stattfindenden gezielten Angriff erlaubt erst die Schau auf das Gesamtbild. Ähnlich einem Fallanalytiker, der zum Beispiel auch soziologische Erkenntnisse in seiner Analyse verwendet, um den möglichen Täterkreis auf ein Geschlecht oder eine bestimmte Altersgruppe einzuschränken, hilft der Blick auf die kriminellen Aktivitäten im Internet, um intern unverdächtige Ereignisse als gefährlich zu begreifen. Tauchen in den Protokolldateien IP-Adressen auf, die in Zusammenhang mit Massenangriffen oder Attacken in der Vergangenheit stehen? Schickt ein Benutzer oder Rechner, der auf sensible Daten zugreifen darf, auffällig selten an zwei oder drei IP-Adressen Informationen, während der Austausch mit anderen Empfängeradressen eher gleichmäßig verteilt ist? Handelt es sich in beiden Fällen um dieselben IP-Adressen?
Korrelation von scheinbar unabhängigen Ereignissen innerhalb und außerhalb des Unternehmensnetzes heißt das Zauberwort. Dazu müssen zum Teil sehr große Datenmengen analysiert werden. Unternehmen, die sich effektiv vor gezielten Angriffen schützen wollen, müssen daher bei der Auswahl von Sicherheitsanbietern und deren Lösungen darauf achten, ob diese in der Lage sind, riesige Datenmengen und ihre Zusammenhänge à la Big Data zu analysieren und Netzwerkereignisse auf allen Ebenen für die Auswertung zu korrelieren.
* Udo Schneider ist Solution Architect beim IT-Sicherheitsanbieter Trend Micro.
Be the first to comment