Zielgerichtete Angriffe Was ist so „Advanced“ an APTs?

Autor / Redakteur: Tobias Schubert* / Stephan Augsten

Cyber-Attacken werden immer ausgeklügelter. Oft fällt in diesem Zusammenhang der Begriff „Advanced Persistent Threats“, kurz APT. Im Vorfeld der „IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015“ beleuchtet Trend Micro, ob und wie sich APTs von zielgerichteten Angriffen unterscheiden.

Firmen zum Thema

Gezielte Angriffe dienen meist der Wirtschaftsspionage und bewegen sich deshalb meist „unterhalb des Radars“.
Gezielte Angriffe dienen meist der Wirtschaftsspionage und bewegen sich deshalb meist „unterhalb des Radars“.
(Bild: Trend Micro)

So raffiniert manche Cyber-Attacken auch sind, so banal beginnen sie meist: In neun von zehn Fällen liegt der Ursprung in einer einfachen E-Mail. Diese besonders zielgenauen Phishing-Angriffe („Spear Phishing“) sind so angepasst, dass neugierige Anwender „gar nicht anders können“, als den verseuchten Dateianhang oder Link anzuklicken.

Unter Verwendung allgemein verfügbarer Informationen über eine Person oder Gruppe wird der Angriff speziell auf das oder die Opfer zugeschnitten. So werden die Betroffenen beispielsweise mit ihrem Namen und Titel angesprochen, auch die genaue Berufsbezeichnung oder Position des Opfers ist enthalten.

Im Rahmen einer Studie hat Trend Micro entsprechende Fälle untersucht. Drei Viertel der E-Mail-Adressen der Betroffenen ließen sich dabei durch eine einfache Websuche herausfinden oder waren besonders leicht zu erraten, weil sie gebräuchliche E-Mail-Formate verwendeten (bspw. vorname.nachname@firmenname.de).

APTs: Namensklärung

Im Zusammenhang mit zielgerichteten Angriffen fällt oft der Begriff „Advanced Persistent Threats, APTs“. Der Ursprung des Begriffs „APT“ wird mit dem US-Militär, im speziellen der US Air Force, assoziiert. Aber wo liegen die Unterschiede zwischen APTs und zielgerichteten Angriffen? Oder sind sie letztlich sogar identisch?

Um die Frage zu beantworten, hilft es, die Begriffe hinter dem Akronym „APT“ gleichsam von hinten nach vorne zu betrachten:

Threat: Die Bedrohung durch Schadsoftware und Cyberkriminelle oder staatliche Akteure bedarf wohl keiner näheren Definition. Interessanterweise beschränkt sich der ursprüngliche Gebrauch des Begriffs „APT“ beim US Militär dabei nicht auf Gefahren aus dem IT-Bereich. Vielmehr waren hier auch „konventionellere“ Gefahren durchaus eingeschlossen.

Persistent: Während normale Schadsoftware nach dem Gießkannenprinzip versucht, eine große Anzahl von Opfern zu infizieren, konzentrieren sich die Angreifer hier auf ein spezielles Ziel. Und ist dieses erstmal kompromittiert, so versuchen sie natürlich auch so lange wie möglich, Informationen zu exfiltrieren. Dies impliziert also eine gewisse Konzentration und Durchhaltevermögen, also kurz: Persistenz.

Advanced: Hier scheiden sich die Geister, denn viele sehen an dieser Stelle den entscheidenden Unterschied zwischen APTs und zielgerichteten Angriffen. Während man bei APTs die Nutzung von Zero Day Exploits und ähnlichen impliziert, wird bei zielgerichteten Angriffen auch gerne die Nutzung von „alten“ Exploits unterstellt.

Diese Unterscheidung basiert allerdings auf der Unterstellung, dass sich „Advanced“ auf die eingesetzten Werkzeuge (Exploits) bezieht. Vor diesem Hintergrund ist es hilfreich, sich den ursprünglichen Kontext des Begriffs vor Augen zu halten. Dieser war nicht auf IT oder Cyberangriffe beschränkt.

Advanced als Ausdruck für die Vorarbeit

Mit „Advanced“ ist im militärischen Sinne die gesamte Angriffskette, u.a inkl. Vorbereitung, Aufklärung, Durchführung und Absicherung (des Brückenkopfs) gemeint. Viele der genannten Aktionen sind (manuelle) Tätigkeiten, die von Menschen durchgeführt werden.

Im Kontext IT entspräche dies z.B. der Aufklärung durch die Nutzung sozialer Medien oder der Nutzung von Social Engineering, um zielgerichtete Nachrichten zu verfassen. Der eigentliche „Angriff“ spielt nur eine kleine Rolle.

Dementsprechend ist auch der Unterschied, ob jetzt Zero-Day-Exploits oder Exploits „von der Stange“ eingesetzt werden, nur heraufbeschworen. Nach vorhergehender Aufklärung wird jener Exploit eingesetzt, der Erfolg verspricht. In manchen Fällen sind dies Zero Days. In anderen Fällen reicht aber der von der Stange – wieso sollte dann also unnötig Geld ausgegeben werden?

Die Unterscheidung zwischen zielgerichteten Angriffen und APTs ist also in vielen Fällen künstlich. In den allermeisten Fällen können beide Begriffe daher synonym genutzt werden. Streng genommen könnte man den Spieß sogar umdrehen und implizieren, das APTs nicht einmal auf ein bestimmtes Ziel ausgerichtet sein müssen – aber das führt jetzt wohl zu weit.

Den Fuß in der Tür

Was sind eigentlich die typischen Phasen eines zielgerichteten Angriffs – und vor allem die Herausforderungen, vor denen klassische Sicherheitslösungen stehen? Beginnen wir bei der E-Mail: Einmal geklickt, und schon haben Cyberkriminelle und Wirtschaftsspione den Fuß in der Unternehmenstür – und können auf wertvolles geistiges Eigentum oder geschäftskritische Informationen zugreifen.

Solche ausgeklügelten Angriffe sind häufig nur durch tiefgehende Analysen und Korrelationen des Netzwerkverkehrs sowie aller Aktivitäten der IT-Systeme überhaupt zu bemerken. Nachdem der Mitarbeiter ohne sein Wissen die Spionagesoftware in das Unternehmensnetzwerk eingelassen hat, bewegt sich diese nämlich möglichst unauffällig und getarnt im Netzwerk, um die anvisierten Informationen aufzuspüren.

Oft bleiben die Angreifer über Monate hinweg unerkannt und können in aller Stille und aus sicherer Entfernung wertvolle Informationen stehlen, von Kreditkartendaten bis hin zum geistigen Eigentum eines Unternehmens. Im schlimmsten Fall gelangen sie an Regierungsgeheimnisse und gefährden dadurch die nationale Sicherheit eines Landes.

Flexible Verteidigung

Sind die wertvollen Daten nicht durch eine starke Verschlüsselung geschützt, werden sie in kleinen Portionen an die Systeme der Online-Spione gesendet. Herkömmliche Verteidigungsmechanismen laufen ins Leere – denn das Ziel der Cyberspionage ist es ja, genau diese Standardmechanismen zu durchbrechen.

Deshalb erfordern gezielte Angriffe auch gezielte Verteidigungsmechanismen. Sicherheitsverantwortliche müssen diese Angriffe nicht nur erkennen und analysieren können, sondern auch in kürzester Zeit in der Lage sein, ihre Schutzmechanismen anzupassen.

Nur wenn das Verhalten und die Kommunikation der IT-Ressourcen in Echtzeit überwacht und analysiert werden, lassen sich der Abfluss wertvoller Daten verhindern und die Infektion durch einen gezielten Angriff identifizieren und bekämpfen. Dazu müssen die sicherheitsrelevanten Ereignisse nicht nur gesammelt und einzeln ausgewertet, sondern für die Analyse auch miteinander korreliert werden.

Das Wesen der gezielten Angriffe besteht unter anderem in ihrem komplexen, mehrstufigen Aufbau, so dass erst die Summe der Einzelereignisse Hinweise auf Gefahren gibt. Das heißt aber auch: Wir sprechen hier nicht nur von technischen Herausforderungen – oft fehlen die personellen Ressourcen, Angriffen nachzugehen und zu identifizieren.

... in vier Schritten

Wie also können sich Unternehmen gegen gezielte Angriffe wappnen? Im ersten Schritt geht es darum, das Netzwerk nach verdächtiger Netzwerkkommunikation, auffälligen Verhaltensmustern und nach Zero-Day-Malware – das heißt noch unbekanntem Schadcode – zu durchsuchen, die für herkömmliche Sicherheitslösungen unsichtbar sind. Auch müssen Angriffe erkannt und blockiert werden, die über die eingangs erwähnten E-Mails – ob privat oder geschäftlich –, über Social-Media-Anwendungen oder mobile Geräte erfolgen.

Wenn benutzerdefinierte „Sandkästen“ – sogenannte „Sandboxes“ - genutzt werden, lassen sich gleich mehrere Ziele gleichzeitig verfolgen: Zum einen wird die tatsächliche IT-Umgebung besser abgebildet und zum anderen wird die Bestimmung erleichtert, ob das Unternehmen kompromittiert wurde. Einbußen bei der Netzwerk-Performance muss man dabei nicht befürchten.

Auf das Aufspüren folgt die genaue Analyse. Die IT-Verantwortlichen können nun ein genaues Profil des Angriffs erstellen und dessen Risiken, Ursprung und Eigenschaften einschätzen. Sie erhalten auch direkt nutzbare Informationen, wie sie den Angriff eindämmen und beseitigen können.

Um ihre Schutzmechanismen sofort anpassen und gegen weitere Angriffe stärken zu können, müssen IT-Verantwortliche nun maßgeschneiderte Gegenmaßnahmen erstellen; hierzu zählen beispielsweise IP-Blacklists oder ein individueller Schutz vor Spear-Phishing-Angriffen. Dazu müssen benutzerdefinierte Sicherheits-Updates an die Lösungen am Gateway, den Endpunkten und Servern gesendet werden, idealerweise können Sicherheits-Updates auch an Sicherheitslösungen anderer Sicherheitsanbieter gesendet werden.

Im letzten Schritt geht es dann darum, die einzelnen Informationen in einer Gesamtübersicht zusammenzuführen. Die Unternehmensverantwortlichen erhalten dann gewissermaßen einen 360-Grad-Überblick und sehen, welche Informationen gezielt angegangen wurden und wie der Angriff ablief – und können dann die passende Antwort geben.

* Tobias Schubert ist Technical Consultant beim japanischen IT-Sicherheitsanbieter Trend Micro.

(ID:43436720)