Was ist ein Advanced Persistent Threat (APT)?
Ein Advanced Persistent Threat (APT) ist ein Angriff, der sich unbefugt einnistet, um einen ausgedehnten, kontinuierlichen Angriff über einen langen Zeitraum durchzuführen. Im Vergleich zu anderen Arten bösartiger Angriffe treten APTs zwar seltener auf, sie müssen aber dennoch als kostspielige Bedrohung ernst genommen werden. Laut dem NETSCOUT Arbor 13th Annual Worldwide Infrastructure Security Report waren im Jahr 2017 nur 16% der Unternehmen, Behörden und Bildungseinrichtungen von ATPs betroffen. Nur ein Jahr später, 2018, wurden diese Angriffe jedoch bereits von 57% dieser Organisationen als eines der größten Sicherheitsprobleme eingestuft.
Die meisten Malwareprogramme verüben einen schnellen, zerstörerischen Angriff. APTs hingegen verfolgen einen anderen, stärker strategisch ausgerichteten und besser getarnten Ansatz. Die Angreifer dringen über herkömmliche Malware wie Trojaner oder Phishing ein, aber dann verwischen sie ihre Spuren, bewegen sich getarnt durch das Netzwerk und verteilen dort ihre Angriffssoftware. Wenn sie sich einnisten, können sie ihr Ziel, das fast immer darin besteht, Daten kontinuierlich und persistent zu extrahieren, über einen Zeitraum von Monaten oder sogar Jahren erreichen.

Speziell entwickelte interne Firewall zum Schutz Ihres Rechenzentrums

Bekämpfung komplexer Bedrohungen und Reaktion auf Vorfälle mit Enterprise EDR
Advanced Persistent Threats folgen immer einer Angriffssequenz
Angreifer, die APTs ausführen, erreichen ihre Ziele über einen eher standardmäßigen, sequenziellen Angriffsansatz. Eine kurze Zusammenfassung der typischen Schritte:
- Entwickeln einer spezifischen Strategie: APT-Angreifer haben bei einem Angriff immer ein bestimmtes Ziel vor Augen, in der Regel den Diebstahl von Daten.
- Erlangen von Zugriff: Angriffe werden oft durch Social Engineering-Techniken initiiert, die anfällige Ziele identifizieren. Angreifer bemühen sich dann mittels Spear-Phishing-E-Mails oder -Malware über häufig genutzte Websites, Zugriff auf Anmeldedaten und das Netzwerk zu erlangen. Angreifer versuchen in der Regel, Steuerung und Kontrolle über das Netzwerk zu erlangen.
- Einnisten und Sondieren: Sobald Angreifer sich im Netzwerk eingenistet haben, breiten sie sich lateral und frei in der Umgebung aus. Sie erkunden dabei das Netzwerk und planen die beste Angriffsstrategie, um an die begehrten Daten zu gelangen.
- Inszenieren des Angriffs: Der nächste Schritt besteht darin, Zieldaten für die Exfiltration vorzubereiten. Dazu werden sie zentral gesammelt, verschlüsselt und komprimiert.
- Stehlen von Daten: An diesem Punkt können Daten leicht exfiltriert und heimlich, in der Regel unbemerkt, um die ganze Welt verschoben werden.
- Einnisten bis zur Erkennung: Dieser Prozess wird über längere Zeiträume hinweg vom geheimen Standort der Angreifer wiederholt, bis der Angreifer schließlich entdeckt wird.
Hinweise auf einen APT in einer Unternehmensumgebung
Da APTs fast immer darauf abzielen, Daten abzugreifen, hinterlassen Angreifer Spuren ihrer bösartigen Aktivität. Laut CSO zählen die folgenden Indizien zu den aufschlussreichsten:
- Vermehrte Anmeldungen zu ungewöhnlichen Zeiten, z.B. spät in der Nacht
- Entdeckung von Backdoor-Trojanern
- Große unerklärliche Datenflüsse
- Unerwartete Pakete aggregierter Daten
- Erkennung von Pass-the-Hash-Hacking-Tools
- Gezielte Spear-Phishing-Angriffe mit Adobe Acrobat-PDF-Dateien
Sicherheitsexperten informierten kürzlich in einer Webinar-Reihe zur Bedrohungsbekämpfung darüber, worauf Unternehmen achten müssen, um sich vor bösartigen Aktivitäten von APT-Angriffen zu schützen.
Diese Experten empfehlen, nach Befehls-Shells (WMI, CMD und PowerShell), die Netzwerkverbindungen herstellen, oder nach Remote-Server- oder Netzwerk-Administrationstools auf Systemen ohne Administrator zu suchen. Außerdem schlagen sie vor, nach Microsoft Office-Dokumenten, Flash- oder Java-Vorfällen zu suchen, die neue Prozesse oder Befehls-Shells starten.
Ein weiteres Indiz sind Abweichungen vom normalen Verhalten der Administratorkonten. Die Erstellung von neuen lokalen Konten, einer Unternehmensdomäne oder Windows-Prozessen wie lsass, svchost oder csrss mit seltsamen übergeordneten Elementen kann ebenfalls auf das Vorhandensein eines APT in der Umgebung hinweisen.
„57% der Unternehmen, Behörden und Bildungseinrichtungen stufen ATPs als eines der größten Sicherheitsprobleme ein.“
Branchenberichte: Expertenmeinungen zu einem APT-Angriff
Ein Beispiel für einen erfolgreich durchgeführten APT finden Sie hier in einer kurzen Übersicht über APT10, eine Bedrohung, die es vermutlich bereits seit 2009 gibt. Als eine der wahrscheinlich am längsten andauernden Cyber-Security-Bedrohungen in der Geschichte hat APT10 kürzlich Unternehmen in verschiedenen Branchen in vielen Ländern, darunter auch einige japanische Unternehmen über Managed Service Provider angegriffen und durch den Diebstahl großer Datenmengen einen Schaden in unbekannter Höhe verursacht.
Diese seit Ende 2016 aktiven Angriffe wurden von PwC UK und BAE Systems entdeckt. In Operation Cloud Hopper, einem gemeinsamen Bericht über diese Angriffe, geben diese Unternehmen bereitwillig zu, dass das gesamte Ausmaß des von APT10 verursachten Schadens vermutlich nie ermittelt werden kann.
Hier sind einige der wichtigsten Punkte, die diese Unternehmen durch den Bericht über APT10 gelernt haben:
- Die Bedrohung wird höchstwahrscheinlich von einem gefährlichen Angreifer in China orchestriert.
- Seit 2009 oder früher nutzt sie verschiedene Arten von Malware, um im Laufe der Zeit beispiellosen Zugriff zu erlangen.
- APT10-Angreifer entwickeln ihre Angriffsmethoden kontinuierlich weiter und nutzen neu entwickelte, fortschrittliche Tools, mit denen sie das Ausmaß und die Möglichkeiten der Angriffe erweitern.
- Wie die meisten APT-Angriffe zielt APT10 auf geistiges Eigentum und sensible Daten ab.
- PwC UK und BAE gehen davon aus, dass die Anzahl der Mitarbeiter und die Ressourcen des gefährlichen Angreifers erheblich zunehmen. Möglicherweise sind ständig mehrere Teams hochqualifizierter Angreifer am Werk.
* 5 Anzeichen, dass Sie von einem Advanced Persistent Threat (APT) betroffen sind
Erkennen eines APT: Mit Bedrohungsbekämpfung hinterlassene Spuren finden
Da immer mehr APTs entdeckt werden, werden Sicherheitsorganisationen immer besser darin, diese Stealth-Bedrohungen aufzudecken. Einer der neuen Ansätze ist die Bedrohungsbekämpfung. Dabei werden innovative Technologie und menschliche Intelligenz in einem proaktiven, iterativen Ansatz kombiniert, um Angriffe zu identifizieren, die von der Standard-Endpunktsicherheit übersehen werden.
Es dauert durchschnittlich 150 Tage, bis eine Sicherheitsverletzung entdeckt wird. Mit der Bedrohungsbekämpfung können Unternehmen Angriffe wie APTs jedoch früher in der Angriffssequenz erkennen, indem sie historische, ungefilterte Endpunktdaten auf ungewöhnliche Verhaltensweisen und Beziehungen zwischen Aktivitäten hin überwachen, die Anomalien darstellen.
Ein Threat Hunter beginnt die Jagd mit einer Reihe von innovativen Technologietools, Threat Intelligence und menschlichen Erkenntnissen. Danach wird der Prozess durch iterative Suchen verfeinert, um die Grundursachen aufzudecken. Der Threat Hunter eliminiert dann die Bedrohungen und nutzt gewonnene Erkenntnisse und Informationen, um die Umgebung auch in Zukunft zu schützen.
- Zunächst stützt ein Threat Hunter sich auf bekannte Merkmale einer bestimmten Bedrohung und menschliche Erkenntnisse über potenzielle Angriffssequenzen. Der Thread Hunter kann eine Reihe iterativer Suchvorgänge mit Tools initiieren, die Umgebungen durchsuchen und gleichzeitig alle Endpunktaktivitäten überwachen, aufzeichnen und speichern.
- So haben PwC UK und BAE Systems beispielsweise festgestellt, dass Angreifer bösartige Excel-Dateien verwendeten, die im Rahmen von E-Mail-Phishing-Angriffen über Outlook verbreitet wurden. Die Wissenschaftler stellten außerdem fest, dass beim Öffnen dieser Dateien neue Dateien in einem temporären Ordner abgelegt wurden und dass diese Dateien als C2-Listener an Port 8080 agierten.
- Das Ergebnis der ersten Suche kann sehr umfangreich sein. Daher muss ein Threat Hunter die Suche in der Regel eingrenzen. Im Falle einer APT10-Bedrohung können HR-Systeme als Suchkriterium genutzt werden, da sie kritische, sensible Daten enthalten. Mithilfe bekannter Informationen kann der Threat Hunter die Suche dann noch weiter eingrenzen, beispielsweise indem nach Excel-Dateien gesucht wird, die als E-Mail-Anhänge über Outlook empfangen wurden. Das nächste logische Suchkriterium ist eine Command-and-Control-Verbindung, die durch die Suche nach Netzwerken mit mehreren Verbindungen erkannt werden kann.
- Dadurch wird ein kleinerer Datensatz erzeugt. Dieser Datensatz kann als Prozessanalysebaum angezeigt werden, der die bösartige temporäre Datei aufdeckt. Nach der Identifizierung wird bei einer weiteren Untersuchung festgestellt, dass diese Datei versucht hat, eine Netzwerkverbindung über Port 8080 herzustellen.
- Diese Abfolge von Aktivitäten bestätigt, dass in dieser Umgebung ein aktiver APT10-Angriff stattgefunden hat. Durch Bedrohungsbekämpfung und fortschrittliche Virenschutztools der nächsten Generation kann der Angriff auf dem Hostcomputer isoliert und aus dem Netzwerk entfernt werden. Eine weitere Option besteht darin, den Hash-Wert zu sperren, damit er nicht ausgeführt werden kann.
- Der letzte Schritt zur Bedrohungsbekämpfung besteht darin, die Umgebung vor zukünftigen Angriffen zu schützen. Dazu wird die oben beschriebene Abfragesequenz verallgemeinert und erweitert, um eine Überwachungsliste zu erstellen. Das Sicherheitstool erkennt solche Aktivitäten und sendet automatische E-Mail-Warnungen, sodass sofort Abhilfemaßnahmen ergriffen werden können.
Zugehörige Lösungen und Produkte
NSX Sandbox
Umfassende Malware-Analyse
NSX Network Detection and Response
KI-basierte Netzwerkerkennung und -reaktion (NDR)
NSX Distributed Firewall
Full-Stack-Firewall zum Schutz Ihres Rechenzentrums