Suchen

Schutz gegen Advanced Persistent Threats im IoT

Das Internet der Dinge gegen gezielte Angriffe schützen

Seite: 2/3

Firmen zum Thema

Die klaffende Lücke bei der APT-Erkennung

Die APT-Detektionslücke (schematische Darstellung)
Die APT-Detektionslücke (schematische Darstellung)
(Grafik: Lynx Software)
Die APT-Erkennung benutzt derzeit folgende Methoden:

  • Gängige Anti-Malware-Produkte (Client-Anwendungen, Gateways, Sandboxen und Cloud-Dienste) versuchen das Eindringen zu erkennen und verhindern (Phase 1) innerhalb des Kontextes ihres Host-Betriebssystems.
  • Existierende Anti-APT-Lösungen konzentrieren ihre Detektion auf die tatsächliche Aktivität des APT auf dem bereits infizierten System (Phase 3) durch das Feststellen und Beobachten der Netzwerkaktivität des APT (in der Regel nur ausgehende Daten). Weder verhindern sie die Infizierung, noch können sie die Infektion vor der Netzwerkaktivität erkennen.

Es gibt keine Lösung, die den eigentlichen APT-Infizierungsvorgang erkennt (die gefährlichste und ausschlaggebende Phase eines APT-Angriffs) und deshalb exakt zum Zeitpunkt des Geschehens Alarm schlägt. Daher die APT-Detektionslücke.

Herausforderungen bei der Erkennung einer APT-Infizierung

Die meisten APT nutzen Low-Level- und Sub-OS-Rootkits, die speziell entwickelt wurden, vom Betriebssystem bzw. jeder in oder auf ihm installierten Sicherheitsanwendung nicht auffindbar zu sein (daher das der Buchstabe P für „persistent“).

Um unauffindbar zu sein und sich dennoch ausreichende Kontrolle über lebenswichtige Funktionen des infizierten Betriebssystems zu verschaffen, benötigt ein Rootkit typischerweise zwei Voraussetzungen:

  • Selbstinstallation in verborgenen Teilen der Festplatte, auf die das Betriebssystem nicht zugreifen kann (die unpartitionierten Sektoren zwischen den Festplattenpartitionen und der letzte Sektor der Plattte).
  • Dem infizierten Betriebssystem übergeordnete Sicherheitsrechte (Untergrabung der OS-Bootsequenz, Selbsstart vor dem OS durch Abänderung der ursprünglichen OS-Bootsektoren -- MBR, VBR, UEFI).

Diese zwei Grundmerkmale von Rootkits sind tödlich effektiv: weil die zum Eindringen in das Betriebssystem verwendeten Dateiinfektoren häufig polymorph sind, verändern sich Rootkits viel langsamer. Neue Versionen dieser Rootkits tauchen einmal alle 12 bis 18 Monate auf. Da sie so verborgen und unauffindbar sind, besteht wenig Anlass für Veränderungen.

(ID:42947722)