Advanced Persistent Threats effizient abwehren
Sechs Jahre – so lange konnte eine hochentwickelte Cyberspionage-Kampagne namens „Slingshot“ ihr Unwesen treiben – und zwar unbemerkt! Slingshot ist das Paradebeispiel einer Malware, die für sogenannte “Advanced Persistent Threat” (APT)-Angriffe entwickelt wurde.
Die Schadsoftware Slingshot wurde schließlich im März 2018 entdeckt. Doch auch ein gutes Jahr später sind solche APT-Angriffe noch immer eine enorme Bedrohung für Unternehmen und Organisationen.
Das Risiko, einer solchen Attacke zum Opfer zu fallen, ist statistisch gesehen, sogar gestiegen. Professionelle und gezielte Angriffe auf Unternehmensnetzwerke sind in den letzten Jahren nämlich häufiger geworden und haben ein komplett neues Niveau erreicht. Cyberkriminelle attackieren immer zielgerichteter kritische Infrastrukturen einzelner Unternehmen und sind finanziell sowie politisch motiviert.
APT-Angriffe – eine unsichtbare Bedrohung
Wie der Name „Advanced Persistent Threats“ schon sagt, werden darunter fortgeschrittene, langanhaltende Bedrohungen verstanden. Sie sind sehr gezielt auf Organisationen oder Personen zugeschnitten und erfordern eine ausgereifte Planung.
Ein Advanced Persistent Threat basiert auf hochentwickelten („Advanced“) Angriffstechniken, wobei die Opfer häufig über einen langen Zeitraum („Presistent“) nicht bemerken, dass sie einer Bedrohung („Threat“) ausgesetzt sind.
Die Ziele solcher APT-Angriffe sind sehr unterschiedlich motiviert und reichen von Spionage, über Datendiebstahl bis hin zu finanzieller Bereicherung. Dabei handelt es sich meist um Personengruppen, die häufig auch im Rahmen größerer Organisation, wie z. B. einem Unternehmen oder einer Behörde, existieren.
Solche Angriffe erfordern eine ausgereifte Planung, ausreichend Informationen über die Opfer sowie eine genauen Analyse dieser Informationen. Auch wenn sich alle APTs voneinander unterscheiden, folgen sie in der Regel mehreren Angriffsschritten, die in Phasen unterteilt werden können.
Zunächst wird in der Vorbereitungs-Phase eine Zielorganisation ausgekundschaftet. In der Infektions-Phase wird dann sichergestellt, dass der Angriff unentdeckt bleibt. Hier kommen oft Methoden zum Einsatz, durch die Malware so verschleiert wird, dass gängige Antivirusprogramme sie nicht erkennen.
Sobald das erste System erfolgreich infiziert und übernommen werden konnte, beginnt die Verteilungs-Phase. Hier werden die Zielsysteme häufig Teil eines großen Botnetzwerks und können so mühelos von den Tätern ferngesteuert werden.
Letztendlich können in der Persistenz-Phase alternative Zugänge mittels Tunneling- und Backdoor-Techniken geschaffen werden, um einen Zugriff auf die kompromittierten Systeme jederzeit zu ermöglichen. Nun können die Täter über einen längeren Zeitraum hinweg Daten sammeln und die Systeme manipulieren.
Da APTs keinem einheitlichen Angriffsmuster folgen, ist es für Unternehmen besonders schwer, sich vor ihnen zu schützen. Aus diesem Grund ist eine mehrstufige Sicherheitsstrategie (Defense-in-Depth) über logische, physische und soziale Grenzen hinweg von größter Bedeutung.
Aktuelle Entwicklungen – davor warnt das BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt im aktuellen Lagebericht zur IT-Sicherheit in Deutschland erneut vor APT-Angriffen.
Hier hat während der Infektions-Phase die Verwendung von Installer- und Update-Hijacking in letzter Zeit enorm zugenommen. Dabei werden Installations-Archive auf den Update-Servern von Software-Herstellern mit Schadcode versehen.
Sobald Nutzer dann die Programme herunterladen, wird das eingeschleuste Schadprogramm ausgeführt, das wiederum weitere Module nachladen kann. Diese Methode ist sehr effizient, da die Schadprogramme unwissentlich durch die Nutzer selbst installiert werden und je nachdem eine größere Zahl von Zielen kompromittiert werden können.
Beispiele für solche Installer- und Update-Hijacking-Attacken im Rahmen eines Advanced Persistent Threads sind der Angriff „Shadowpad“ auf eine NetSarang-Software, die Windows-Malware „Notpetya“ sowie Angriffe auf die PC-Software „CCleaner“.
Abgesehen davon sind aktuell Spear-Phishing-E-Mails mit infizierten Links oder Anhängen eine verbreitete Angriffsform. Spear-Phishing ist zwar keine neue Technik, erweist sich jedoch weiterhin als sehr effektiv für die Angreifer. Empfänger werden über geschickte Social Engineering-Taktiken dazu verleitet, den schädlichen Dateianhang herunterzuladen, oder die „Infektion per Klick auf den Link anzustoßen.
Während der Verteilungs-Phase versuchen Täter aktuell, möglichst mit den Ressourcen zu arbeiten, die bereits auf den kompromittierten Rechnern vorhanden sind. Dazu werden legitime Administrations-Werkzeuge, wie z. B. PowerShell und Windows Management Instrumentation (WMI), genutzt. So sind die kriminellen Aktivitäten weniger auffällig und den Tätern gelingt es, länger unentdeckt zu bleiben.
Professionelle und zielgerichtete APT-Attacken auf Unternehmen haben eine lange Vorlaufzeit und sind mit einem erheblichen Aufwand für die Täter verbunden. Da solche Angriffe leider oft sehr spät auffallen, ist es enorm wichtig, umfassende Sicherheitsvorkehrungen im Vorfeld zu treffen.
Advanced Persistent Threats – so gelingt es Unternehmen, sich zu schützen
Leider gibt es keine Wunderwaffe, mit der sich Unternehmen zuverlässig vor APT-Angriffen schützen können. Dementsprechend braucht es mehrschichtige Abwehr- und Schutzmechanismen gegen Advanced Persistent Threats. Um als Unternehmen auf ein solides Grundgerüst zum Schutz vor APT-Angriffen setzen zu können, empfiehlt sich ein umfangreiches IT-Sicherheits-Management vom Fachmann. Außerdem sollten Sie die folgenden Punkte beachten:
-
Realtime-Monitoring: Um Sicherheitsrisiken unverzüglich zu erkennen, sollten Sie in Ihrem Unternehmen durchgängige 24/7-Analysen durchführen lassen. So gelingt es frühzeitig technische Vorgänge fernab der Norm zu erkennen und diesen rechtzeitig und effektiv entgegenzuwirken.
-
Immer up-to-date bleiben: Behalten Sie stets die aktuellen Bedrohungslagen durch Advanced Persistent Threats im Blick. Informieren Sie sich hierfür beispielsweise bei Behörden wie dem BSI oder Ihrem IT-Dienstleister.
-
Data Leakage Prevention: Verhindern Sie, dass interne und vertrauliche Daten unbefugt in die Hände Dritter gelangen. Integrieren Sie Data Leakage Prevention als Kernbaustein in Ihre IT-Security-Strategie und schaffen Sie so Sichtbarkeit und Transparenz in Bezug auf die internen Datenbestände.
-
Isolierte Betriebsumgebungen: Eine Sandbox ist ein isolierter Bereich, in dem sich Software ausführen und testen lässt, ohne dass diese auf die eigentliche Systemumgebung Zugriff hat. So können Dateien mit eventuellem Gefahrenpotential in dem isolierten Bereich geöffnet werden können, ohne einen eklatanten Schaden anzurichten.
-
Mustererkennung: Setzen Sie auf Applikationen, die ihren Datenverkehr im Blick haben und diesen anhand von Auffälligkeiten auch einschränken können. Dies gilt sowohl für unbefugte Zugriffe, als auch für Schadsoftware.
Sie möchten beim Schutz gegen Advanced Persistent Threats auf ein IT-Sicherheits-Management vom Fachmann setzen? Sprechen Sie uns gerne an. Wir beraten Sie gerne zu sämtlichen Anliegen rund im das Thema IT-Sicherheit.