Advanced Persistent Threat

Was bedeutet dieser Begriff?

"APT" steht für Advanced Persistent Threat und beschreibt die Aktivitäten nicht-opportunistischer Gruppen, die Organisationen unter Verfolgung klarer Ziele strategisch und über längere Zeit hinweg angreifen. Solche Gruppen lassen sich kaum abschrecken, bevor sie ihr Ziel erreicht haben. Die folgende Grafik enthält eine kurze Erklärung der einzelnen Begriffe.

Einfach ausgedrückt sind APTs die "Cyber-Monster" dort draussen, nicht vergleichbar mit den opportunistischen Bedrohern, "Threat Actors" genannt, die zum Beispiel "lediglich" im Sinn haben, die Kreditkartendaten ihrer Opfer zu stehlen, um sich kurzfristig zu bereichern.

Ausserdem ist ein APT niemals nur irgendein Schadprogramm, auch dann nicht, wenn die Angreifer mitunter selbstentwickelte Software für ihre Attacken verwenden. APTs sind gefährlich auf Grund der Menschen, die hinter ihnen stecken: jene, die die APT-Kampagnen planen und durchführen sowie die entsprechenden Werkzeuge kontrollieren.

Neuste Entwicklungen

Der Bericht "APT1", den Mandiant 2013 veröffentlichte, kam der Eröffnung einer Jagdsaison auf APT-Gruppen gleich. Organisationen weltweit – wie Kaspersky, CrowdStrike, HP, TrendMicro, um einige zu nennen – begannen, Einzelheiten über identifizierte APT-Gruppen mit Namen wie "Putter Panda", "FancyBear", "KungFu Kittens" und "Playful Dragon" zu veröffentlichen. Und diese Jagdsaison ist alles andere als vorüber.

Seit ihrem Beginn identifizierten diese Organisationen weltweit über 150 APTs. Infolge dieser Berichte ist sich die Branche nicht nur der heraufziehenden Bedrohungen bewusst, sondern kennt auch Details der Taktiken, Techniken und Verfahren der Angreifergruppen. Bedauerlicherweise hat es den Anschein, als hätte sich ihre Taktik in den vergangenen Jahren nicht wesentlich geändert. Das könnte daran liegen, dass APT-Gruppen immer noch Erfolg haben mit ihrem Vorgehen, das aus den folgenden drei Hauptelementen besteht:

• Gezielte Phishing-Attacken über E-Mails und sogenannte „Watering Hole“ Angriffe
• Massgeschneiderte Malware mit verschiedenen Infektionsstadien
• Exfiltration via DNS, HTTP POST und Ähnliches

In den letzten Jahren hat sich nur Folgendes geändert:

• APT-Gruppen tauchen nach erfolgreichen Kampagnen nicht länger unter
• Abnehmende Dauer der einzelnen Kampagnen
• Zunehmender Einsatz von nativen Betriebssystem-Werkzeugen

Erste Entwicklung

Die erste Auffälligkeit bezieht sich auf das "Untertauchen" einer Gruppe was bedeutet, dass sie ihre Infrastruktur stilllegt und alle Aktivitäten unmittelbar beendet, sobald sie ihre Ziele erreicht hat und/oder sie von einer Gruppe von Sicherheitsforschern entdeckt wurde. Diese Verhaltensänderung ist überraschend. Man würde doch annehmen, dass eine APT-Gruppe verschwindet, um sich vor der Entdeckung zu schützen. Die ersten grossen Aktionen sind diesem Vorgehen noch gefolgt; seit Kurzem führen Gruppen jedoch auch nach ihrer Entdeckung ihre Aktivitäten fort. Tatsächlich sieht es danach aus, dass sie die gewonnenen Informationen für neue Ziele einsetzen und nahtlos weiterhin aktiv bleiben. Diese Vorgehensweise bietet Unternehmen die hervorragende Chance, um sich vorzubereiten und besser zu verteidigen: APT-Akteure bzw. APT-Gruppen können durch das „sichtbar“ bleiben über ihre Infrastruktur, Taktiken, Techniken und Verfahren leichter identifiziert werden – das funktioniert jedoch nur wenn sie zeitnah aufgespürt werden und Unternehmen Informationen zu Bedrohungen („Threat Intelligence“) unmittelbar untereinander austauschen.

Zweite Bemerkung

Eine weitere Entwicklung lässt sich an Einträgen im "Logbuch für gezielte Cyberangriffe" ("Targeted Cyberattacks Logbook") erkennen. Kampagnen werden zwar häufiger, sie halten jedoch weniger lange an als zuvor. Die Carbanak-Gruppe, auch bekannt als Anunak-Gruppe, ist hierfür ein gutes Beispiel. Im Durchschnitt verbringt diese Gruppe nur 42 Tage in einem Zielnetzwerk, bis sie ihre Ziele erreicht hat. Bei so kurzen Zeitspannen ist eine schnelle Entdeckung und sofortige Reaktion entscheidend.

Dritte Bemerkung

Die dritte Entwicklung dreht sich um den zunehmenden Einsatz von nativen Betriebssystem-Tools wie beispielsweise PowerShell, command line und PsExec. Eine mögliche Erklärung für dieses Phänomen ist die Legitimität dieser Programme: Sie werden von normalen Administratoren benutzt und finden sich auf vielen Rechnern standardmäßig. Daher werden sie nicht als Schadsoftware wahrgenommen sowie ihr Gebrauch von vielen Unternehmen nicht überwacht. Ausserdem sind sie im Vergleich zu massgeschneiderter, selbstentwickelter Malware, welche Sicherheitsforscher bei der Suche nach APT-Angriffen aufspüren und markieren ("verbrennen"), sehr leistungsfähig und “billig“ anzuwenden, da sie nicht erst entwickelt werden müssen. Ein prominentes Beispiel machte vor kurzem in der Schweiz Schlagzeilen, als sich APT-Akteure Zugang zur Infrastruktur eines Konzerns verschafften und Dutzende von Gigabytes an Daten mithilfe von standardmäßigen Werkzeugen des Betriebssystems stahlen.

Durch den Druck, den diese Jagd nach APT ausübt, kann es in der Zukunft zur Entwicklung von Memory-Only-Schadsoftware kommen, vor der Branchenkenner seit kurzem warnen. Für Malware wie „Mirai“ liegen solche Versionen bereits vor, bei der ein Neustart des Geräts das darauf befindliche Schadprogramm automatisch entfernt – denn es existiert nur im RAM und nicht auf der Festplatte. Eine komplexere Version von Mirai ("Hajime" genannt) liegt bereits vor, sodass wir möglicherweise bald APT-Angriffe erleben werden, die auch massgeschneiderte Memory-Only-Malware in ihrem Repertoire haben

Bei APT-Angriffen kommt es auf die schnelle Erkennung an: Hierbei helfen einige einfache Konzepte, die jedoch von vielen Unternehmen noch nicht systematisch eingesetzt werden:

• Protokollieren. Es sollten Proxy-Ereignisse, Webserver-Ereignisse, DNS, AV-Ereignisse (ja, auch "gesäubert" und "unter Quarantäne gestellt" Ereignisse) protokolliert werden und diese an einem zentralen Ort gespeichert werden. Das Sicherheitsteam sollte diese Daten im Blick behalten.
• Überwachen Sie den Gebrauch nativer Betriebssystem-Werkzeuge wie PowerShell und PsExec. Der durchschnittliche Nutzer macht von diesen Tools keinen Gebrauch.
• Zwei-Faktor-Authentifizierung sollte mindestens bei allen privilegierten Konten (speziell den privilegierten Active-Directory Konten) eingesetzt werden, am besten überall wo möglich.

Auch wenn diese Gruppen als fortgeschritten ("advanced") bezeichnet werden, bedeutet das jedoch nicht, dass Ihre Daten diesen Angriffen schutzlos ausgeliefert sind. In vielen Fällen können Sie sich zwar nicht vor einer Infizierung schützen, jedoch wird die Infizierung und der Einbruch in Ihr Netzwerk immer Spuren hinterlassen, die erkannt und nachverfolgt werden können.

Felix Rieder - Senior Consultant, Cyber Risk Services

Felix Rieder ist Senior Consultant im Cyber Risk Services Team bei Deloitte Schweiz. Er hat in verschiedenen Branchen Erfahrung gesammelt mit der Vorbereitung auf fortgeschrittene Bedrohungen, mit Sicherheitsbeurteilungen, der Erstellung von Sicherheitsstrategien sowie Penetrationstest.

Email
+41 58 279 6515