Advanced Persistent Threats (APT) schnell entdecken Untrügliche Hinweise für einen APT-Angriff

APT-Hacker vermeiden überprüfbare Ereignisse, Fehlermeldungen oder Betriebsunterbrechungen und zielen auf Datendiebstahl bzw. Systemüberwachung über einen längeren Zeitraum ab. Danach verschwinden sie meist wieder unbemerkt. Kann man etwas erkennen, das still und unbemerkt bleiben soll?

APT-Hacker und -Malware sind verbreiteter und ausgefeilter denn je. Für einige professionelle Hacker, die entweder für einschlägige Branchen oder Nationalstaaten arbeiten, besteht ihre Hauptaufgabe darin, Zugriffe auf vertrauliche Informationen zu erhalten, destruktiven Code einzuschleusen oder versteckte Backdoor-Programme zu platzieren, um es ihnen zu ermöglichen, sich nach Belieben in das Zielnetzwerk oder den Zielcomputer einzuschleichen.

Die meisten APTs verwenden benutzerdefinierten Code für ihre Aktivitäten. Bevorzugen es aber, zumindest anfangs, bekannte Schwachstellen zu nutzen. Wenn ihre Aktivitäten bemerkt werden, ist es für das Opfer schwieriger zu erkennen, dass es sich um einen APT-Angriff und nicht um einen normalen, weniger seriösen Hacker oder ein Malware-Programm handelt. Da APT-Hacker andere Techniken als herkömmliche Hacker nutzen, hinterlassen sie auch andere Spuren. Entscheidend ist dabei: Jede dieser Spuren könnte Teil legitimer Aktionen innerhalb eines jeden Unternehmens sein, jeodch ihre unerwartete Art oder der Umfang der Aktivitäten können auf einen APT-Angriff hindeuten.

Backdoor-Trojaner

APT-Hacker installieren häufig Backdoor-Trojaner-Programme auf kompromittierten Computern. Auf diese Weise stellen sie sicher, dass sie immer wieder eindringen können, selbst wenn die erbeuteten Anmeldedaten geändert wurden und das Opfer einen Hinweis erhält. Ein weiteres Merkmal: Einmal entdeckt, verschwinden APT-Hacker nicht wie normale Angreifer. Warum sollten sie auch? Die Computer in Ihrer Umgebung gehören ihnen. Heutzutage sind Trojaner, die durch Social Engineering eingesetzt werden, eine häufige Möglichkeit, um angegriffen zu werden.

Anmeldungen spät nachts

APTs eskalieren schnell von der Kompromittierung eines einzelnen Computers zur Übernahme mehrerer Computer oder der gesamten Umgebung in nur wenigen Stunden. Dies geschieht, indem sie eine Authentifizierungsdatenbank auslesen, Anmeldedaten stehlen und sie wiederverwenden. Sie finden heraus, welche Benutzer-Konten erhöhte Privilegien und Berechtigungen haben, und gehen dann durch diese Konten, um Ressourcen innerhalb der Umgebung zu kompromittieren. Oft kommt es dann nachts zu einer großen Anzahl von Anmeldungen mit erhöhten Rechten, da die Angreifer am anderen Ende der Welt leben.

Ungeplante Informationsflüsse

Es ist insbesondere auf große, unerwartete Datenströme von internen Ausgangspunkten zu anderen internen Computern oder zu externen Computern zu achten. Das kann von Server zu Server, von Server zu Client oder von Netzwerk zu Netzwerk sein. Diese Datenströme können auch begrenzt, aber gezielt ablaufen, beispielsweise wenn jemand E-Mails aus dem Ausland abruft. Jeder E-Mail-Client sollte anzeigen, wo sich der letzte Benutzer zum Abrufen von E-Mails angemeldet hat und wo die letzte Nachricht abgerufen wurde.

Dies ist schwieriger geworden, da ein Großteil der heutigen Informationsflüsse durch VPNs geschützt wird, in der Regel einschließlich TLS über HTTP (HTTPS). Obwohl dies früher selten der Fall war, blockieren oder fangen viele Unternehmen jetzt den gesamten bisher undefinierten und nicht genehmigten HTTPS-Verkehr ab, indem sie einen Chokepoint für Sicherheitsinspektionsgeräte einsetzen.

Das Gerät „entpackt“ den HTTPS-Verkehr, indem es sein eigenes digitales TLS ersetzt, und agiert als Proxy, der sowohl für die Quelle als auch für das Ziel vorgibt, die andere Seite der Kommunikationstransaktion zu sein. Er entschlüsselt und prüft den Datenverkehr und verschlüsselt die Daten erneut, bevor er sie an die ursprünglichen Kommunikationsziele weiterleitet. Wer diese Vorkehrungen nicht trifft, wird das Leck in den exfiltrierten Daten übersehen. Um einen möglichen APT-Angriff zu erkennen, muss natürlich bekannt sein, wie die Datenströme aussehen, bevor die Umgebung kompromittiert wird.

Unvermutete Datenbündel

APT-Hacker bündeln oft die gestohlenen Daten an internen Sammelstellen, bevor sie sie nach außen transportieren. Daher gilt besondere Aufmerksamkeit für große Datenpakete (Gigabyte, nicht Megabyte), die an Orten auftauchen, an denen diese Daten normalerweise nicht sein dürften, insbesondere wenn sie in Archivformaten komprimiert sind, die das Unternehmen normalerweise nicht verwendet.

Gezielte Spear-Phishing-Kampagnen

Einer der besten Indikatoren sind gezielte Spear-Phishing-E-Mail-Kampagnen gegen die Mitarbeiter eines Unternehmens, bei denen Dokumentdateien (zum Beispiel Adobe Acrobat PDFs, MS-Office-Word, MS-Office-Excel-XLS oder MS-Office-PowerPoint PPTs) mit ausführbarem Code oder bösartigen URL-Links verwendet werden. Dies ist der ursprüngliche Auslöser für die große Mehrheit aller APT-Angriffe.

Das wichtigste Anzeichen ist, dass die Phish-E-Mail des Angreifers nicht an alle Mitarbeiter des Unternehmens gesendet wird, sondern an eine selektivere Zielgruppe von hochrangigen Personen (beispielsweise CEO, CFO, CISO oder Projektleiter) innerhalb des Unternehmens, wobei häufig Informationen verwendet werden, die nur von Eindringlingen in Erfahrung gebracht werden konnten, die bereits zuvor andere Teammitglieder kompromittiert hatten.

Die E-Mails mögen zwar gefälscht sein, aber sie enthalten Schlüsselwörter, die sich auf echte interne, derzeit laufende Projekte und Themen beziehen. Anstelle eines allgemeinen „Hallo, lesen Sie das!“-Phishing-Themas enthalten sie etwas, das beispielsweise für ein laufendes Projekt sehr relevant ist und von einem anderen Teammitglied des Projekts stammt.

(ID:48494986)