Ein Beispiel für einen erfolgreich durchgeführten APT finden Sie hier in einer kurzen Übersicht über APT10, eine Bedrohung, die es vermutlich bereits seit 2009 gibt. Als eine der wahrscheinlich am längsten andauernden Cyber-Security-Bedrohungen in der Geschichte hat APT10 kürzlich Unternehmen in verschiedenen Branchen in vielen Ländern, darunter auch einige japanische Unternehmen über Managed Service Provider angegriffen und durch den Diebstahl großer Datenmengen einen Schaden in unbekannter Höhe verursacht.

Diese seit Ende 2016 aktiven Angriffe wurden von PwC UK und BAE Systems entdeckt. In Operation Cloud Hopper, einem gemeinsamen Bericht über diese Angriffe, geben diese Unternehmen bereitwillig zu, dass das gesamte Ausmaß des von APT10 verursachten Schadens vermutlich nie ermittelt werden kann.

Hier sind einige der wichtigsten Punkte, die diese Unternehmen durch den Bericht über APT10 gelernt haben:

• Die Bedrohung wird höchstwahrscheinlich von einem gefährlichen Angreifer in China orchestriert.
• Seit 2009 oder früher nutzt sie verschiedene Arten von Malware, um im Laufe der Zeit beispiellosen Zugriff zu erlangen.
• APT10-Angreifer entwickeln ihre Angriffsmethoden kontinuierlich weiter und nutzen neu entwickelte, fortschrittliche Tools, mit denen sie das Ausmaß und die Möglichkeiten der Angriffe erweitern.
• Wie die meisten APT-Angriffe zielt APT10 auf geistiges Eigentum und sensible Daten ab.
• PwC UK und BAE gehen davon aus, dass die Anzahl der Mitarbeiter und die Ressourcen des gefährlichen Angreifers erheblich zunehmen. Möglicherweise sind ständig mehrere Teams hochqualifizierter Angreifer am Werk.

* 5 Anzeichen, dass Sie von einem Advanced Persistent Threat (APT) betroffen sind

Da immer mehr APTs entdeckt werden, werden Sicherheitsorganisationen immer besser darin, diese Stealth-Bedrohungen aufzudecken. Einer der neuen Ansätze ist die Bedrohungsbekämpfung. Dabei werden innovative Technologie und menschliche Intelligenz in einem proaktiven, iterativen Ansatz kombiniert, um Angriffe zu identifizieren, die von der Standard-Endpunktsicherheit übersehen werden.

Es dauert durchschnittlich 150 Tage, bis eine Sicherheitsverletzung entdeckt wird. Mit der Bedrohungsbekämpfung können Unternehmen Angriffe wie APTs jedoch früher in der Angriffssequenz erkennen, indem sie historische, ungefilterte Endpunktdaten auf ungewöhnliche Verhaltensweisen und Beziehungen zwischen Aktivitäten hin überwachen, die Anomalien darstellen.

Ein Threat Hunter beginnt die Jagd mit einer Reihe von innovativen Technologietools, Threat Intelligence und menschlichen Erkenntnissen. Danach wird der Prozess durch iterative Suchen verfeinert, um die Grundursachen aufzudecken. Der Threat Hunter eliminiert dann die Bedrohungen und nutzt gewonnene Erkenntnisse und Informationen, um die Umgebung auch in Zukunft zu schützen.

• Zunächst stützt ein Threat Hunter sich auf bekannte Merkmale einer bestimmten Bedrohung und menschliche Erkenntnisse über potenzielle Angriffssequenzen. Der Thread Hunter kann eine Reihe iterativer Suchvorgänge mit Tools initiieren, die Umgebungen durchsuchen und gleichzeitig alle Endpunktaktivitäten überwachen, aufzeichnen und speichern.
• So haben PwC UK und BAE Systems beispielsweise festgestellt, dass Angreifer bösartige Excel-Dateien verwendeten, die im Rahmen von E-Mail-Phishing-Angriffen über Outlook verbreitet wurden. Die Wissenschaftler stellten außerdem fest, dass beim Öffnen dieser Dateien neue Dateien in einem temporären Ordner abgelegt wurden und dass diese Dateien als C2-Listener an Port 8080 agierten.
• Das Ergebnis der ersten Suche kann sehr umfangreich sein. Daher muss ein Threat Hunter die Suche in der Regel eingrenzen. Im Falle einer APT10-Bedrohung können HR-Systeme als Suchkriterium genutzt werden, da sie kritische, sensible Daten enthalten. Mithilfe bekannter Informationen kann der Threat Hunter die Suche dann noch weiter eingrenzen, beispielsweise indem nach Excel-Dateien gesucht wird, die als E-Mail-Anhänge über Outlook empfangen wurden. Das nächste logische Suchkriterium ist eine Command-and-Control-Verbindung, die durch die Suche nach Netzwerken mit mehreren Verbindungen erkannt werden kann.
• Dadurch wird ein kleinerer Datensatz erzeugt. Dieser Datensatz kann als Prozessanalysebaum angezeigt werden, der die bösartige temporäre Datei aufdeckt. Nach der Identifizierung wird bei einer weiteren Untersuchung festgestellt, dass diese Datei versucht hat, eine Netzwerkverbindung über Port 8080 herzustellen.
• Diese Abfolge von Aktivitäten bestätigt, dass in dieser Umgebung ein aktiver APT10-Angriff stattgefunden hat. Durch Bedrohungsbekämpfung und fortschrittliche Virenschutztools der nächsten Generation kann der Angriff auf dem Hostcomputer isoliert und aus dem Netzwerk entfernt werden. Eine weitere Option besteht darin, den Hash-Wert zu sperren, damit er nicht ausgeführt werden kann.
• Der letzte Schritt zur Bedrohungsbekämpfung besteht darin, die Umgebung vor zukünftigen Angriffen zu schützen. Dazu wird die oben beschriebene Abfragesequenz verallgemeinert und erweitert, um eine Überwachungsliste zu erstellen. Das Sicherheitstool erkennt solche Aktivitäten und sendet automatische E-Mail-Warnungen, sodass sofort Abhilfemaßnahmen ergriffen werden können.