Advanced Persistent Threats (APTs)

Copyright ┬ę Shutterstock / NicoElNino

Was sind Advanced Persistent Threats (APTs)?

Bei Advanced Persistent Threats (APTs) handelt es sich um pr├Ązise und zielgerichtete Angriffe auf ausgew├Ąhlte IT-Netzwerke oder andere Infrastrukturen. In der Regel sind Unternehmen oder Beh├Ârden betroffen. Im Rahmen eines Advanced Persistent Threats kommt es zum Einsatz von Malware, ├╝ber die gezielt Schwachstellen ausgenutzt werden. Auf diese Weise verschaffen sich Cyber-Kriminelle Zugriff auf die IT-Systeme ihrer Opfer. Eine Besonderheit der APTs ist ihre Konzeption in einer Art und Weise, dass Betroffene die Angriffe zun├Ąchst nicht bemerken. Identifikation und Abwehr von APT-Angriffen sind daher gr├Â├čere Herausforderungen.

├ťberblick und Allgemeines

Definition

Advanced Persistent Threats (aus dem Englischen: fortgeschrittene, dauerhafte Bedrohungen) beschreiben besonders durchdachte und gezielte Angriffe auf Netzwerke und Systeme. Erstmals tauchte ein ausf├╝hrlicher Bericht ├╝ber diese aufwendigen Angriffe im Jahr 2013 auf. Seitdem lassen sich immer h├Ąufiger APT-Berichte verzeichnen.

APT-Angriffe zielen pr├Ązise auf bestehende Sicherheitsl├╝cken, womit sie sich etwa von Hit-and-Run-Angriffen unterscheiden lassen. Im Rahmen eines APT-Angriffs verschaffen sich Angreifer Zugang zu einem System, um dort den gesamten Datenfluss zu kontrollieren. Daten k├Ânnen auf diese Weise ausgesp├Ąht und entwendet werden. Solche Angriffe zeichnen sich dadurch aus, zun├Ąchst unentdeckt zu bleiben. Ein wesentliches Ziel eines APT-Angreifers ist es, ungest├Ârt und unbemerkt auf Datenmaterial zuzugreifen. Auf diese Weise gehen etwa geistiges Eigentum oder sensible Daten verloren. Auch Programm-Quellcodes geh├Âren zu den bei APT-Angreifern beliebten Zielen. Auch etablierte (IT-)Unternehmen sind bereits Advanced Persistent Threats zum Opfer gefallen. Zu den prominentesten F├Ąllen z├Ąhlen Google, Sony und Adobe.

Grunds├Ątzliche Funktionsweise

Anders als bei einfachen Attacken versuchen Angreifer bei Advanced Persistend Threats, dauerhafte Zugriffe zu erhalten. Andere Formen von Angriffen haben meist gemeinsam, dass Cyber-Kriminelle innerhalb kurzer Zeit eindringen, um anschlie├čend so schnell wie m├Âglich wieder zu verschwinden. Auf diese Weise wollen sie vom Intrusion Detection System (IDS) des Netzwerkes unerkannt bleiben. Da APT-Attacken darauf ausgelegt sind, dauerhaft in einem Netzwerk zu verweilen, bedarf es durchdachter Techniken. Angreifer sind darauf angewiesen, st├Ąndig Codes zu manipulieren und umzuschreiben. Weiterhin setzten sie eine Reihe komplexer Ausweichman├Âver ein. Die Anforderungen sind so hoch, dass diese Art von Attacken auf einen eigenst├Ąndigen Administrator angewiesen sind.

Hinweis

Bei Advanced Persistent Threats kommt eine Reihe von Techniken zum Einsatz. H├Ąufig bedienen sich Angreifer Methoden des Social-Engineerings, beispielsweise des Spear-Phishings. Mit legalen Manipulationstechniken k├Ânnen sich Angreifer Zugriff verschaffen und sich weitere M├Âglichkeiten durch die Hintert├╝r (Backdoor) verschaffen.┬á

Sobald dies gelungen ist, versuchen Cyber-Kriminelle, sich zu authentifizieren und Benutzer-Rechte zu erlangen. Gelingt es, Administrator-Rechte zu bekommen, haben Angreifer gr├Â├čtm├Âgliche Handhabe ├╝ber das gesamte Netzwerk. Dort versuchen sie, mehrere Backdoors zu erstellen und ├╝ber diese Malware zu verbreiten. In diesem Prozess bleibt der Angreifer selbst im Verborgenen.

Aufgrund dieser Struktur lassen sich Advanced Persistent Threats nur sehr schwer bemerken oder gar identifizieren und einem Angreifer zuordnen. Betroffene k├Ânnen meist erst anhand des erfolgten Datendiebstahls nachvollziehen, dass ein Angriff stattgefunden hat. Da Datendiebstahl Spuren hinterl├Ąsst, l├Ąsst er sich durch ausgehende Daten (outbound) erkennen.

Methoden und Techniken im Rahmen von Advanced Persistent Threats (APTs)

Angreifer arbeiten mit mehreren Tools und k├Ânnen als Spezialisten meist einsch├Ątzen, welche Werkzeuge f├╝r welches Ziel besonders lohnenswert sind. An erster Stelle steht die Technik des Social-Engineerings. Diese soziale Manipulationstechnik zielt auf Gutgl├Ąubigkeit beziehungsweise psychologische L├╝cken. Phishing- und Spear-Phishing-Mails setzen auf vertraute Informationen. Hier geben sich Angreifer etwa als Mitarbeiter oder Vorgesetzte aus oder verwenden in Betreffzeile und Anschreiben vertraute Informationen. Ziel ist es, Opfer auf einen in der Mail enthaltenen Link klicken zu lassen. Dieser f├╝hrt meist auf eine mit Malware kontaminierte Webseite, wobei der Aufruf bereits gen├╝gt, um die Malware auf dem Ger├Ąt zu installieren.

Immer beliebter werden so genannte DDoS-Attacken. DDoS steht als Abk├╝rzung f├╝r Distributed Denial of Service und bezeichnet eine Angriffstechnik, bei der Zielsysteme durch gezielte ├ťberlastung unbrauchbar oder unbenutzbar gemacht werden. Diese Methode existiert bereits seit mehreren Jahren, doch ver├Ąndern sich Art und Umfang dieser Attacken. Da Angreifer h├Ąufig bereits Erfolg mit DDoS-Methoden hatten, gehen Sicherheitsexperten davon aus, dass die Bedrohung weiter zunehmen wird.
Eine weitere beliebte Angriffsmethode findet sich in aufw├Ąndigen Malware-Kampagnen. Diese Kampagnen basieren auf fingierten und besonders durchdachten E-Mails. Diese erscheinen regelm├Ą├čig im Posteingang der Empf├Ąnger und erinnern diese beispielsweise daran, auf bestimmte Links zu klicken. Ein h├Ąufiges Ziel sind Passw├Ârter, die Empf├Ąnger im Rahmen der Malware-Kampagne zur├╝cksetzen sollen. Bekanntheit erlangte die Malware-Kampagne Eurograbber, bei der 2012 etwa 36 Millionen Euro gestohlen wurden. Nach der gezielten Infektion eines PCs mit einem Trojaner konnten Transaktionsnummern (TANs), die ├╝ber SMS versendet wurden, abgefangen werden.

Abwehrma├čnahmen gegen Advanced Persistent Threats

In Anbetracht der Komplexit├Ąt der Angriffe stellt sich die Frage nach wirksamen Abwehrstrategien. Identifikation und Abwehr von Advanced Persistent Threats sind eine kontinuierliche Aufgabe, die an mehreren Punkten ansetzen muss. Technische Grundlagen wie Antiviren-Software und Next-Generation-Firewalls sind zwar unentbehrlich, doch nicht hinreichend f├╝r die Erkennung und Identifikation von Advanced Persistent Threats.

Ein wirksamer Schutz besteht aus einer Erh├Âhung der Widerstandsf├Ąhigkeit gegen├╝ber Advanced Persistent Threats, einer fr├╝hzeitigen Erkennung der Angriffe sowie einer effizienten Reaktion auf die Vorf├Ąlle. Hierbei spielen nicht nur die technische Infrastruktur, sondern┬áinsbesondere die Schulung der Mitarbeiter und die Ausrichtung der Unternehmensprozesse eine wichtige Rolle.
Eine der wichtigsten Komponenten ist die physische Sicherheit. Diese bezieht Computer, Rechenzentren sowie das gesamte Unternehmen und seine Geb├Ąude mit ein. Weiterhin sind die beteiligten Menschen f├╝r die Bedrohung zu sensibilisieren. Dies betrifft sowohl die IT-Administration als auch s├Ąmtliche Managementebenen und die Anwender.
Damit verbunden ist ein durchdachtes Identit├Ątsmanagement. Rollenbasierte Zugriffsrechte k├Ânnen dazu beitragen, dass nur Berechtigte Zugriff auf wichtige Systeme erlangen. Im Hinblick auf die Perimeter sind UTM-Firewalls beziehungsweise Next-Generation-Firewalls zu empfehlen. Auf Seite des Netzes empfehlen sich eine durchdachte Netzwerksegmentierung sowie fortdauernde Zugangskontrollen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte