Was ist eine Advanced Persistent Threat (APT) mit Beispielen?
Eine Advanced Persistent Threat (APT) ist eine Anspruchsvoller, langfristiger und mehrstufiger Angriff, der in der Regel von nationalstaatlichen Gruppen oder gut organisierten kriminellen Unternehmen inszeniert wird. Der Begriff wurde ursprünglich verwendet, um die Gruppen zu beschreiben, die hinter diesen Angriffen stehen, aber seine allgemeine Verwendung hat sich weiterentwickelt und bezieht sich nun auch auf die Angriffsstile, die wir von diesen Arten von Bedrohungsakteuren sehen.
Die meisten dieser Gruppen sind nummeriert und mit entsprechenden Namen versehen. Am Ende haben sie oft mehrere Spitznamen, da große Cybersicherheitsorganisationen oft eigene Namen für jedes APT erfinden.
Beispielsweise ist APT 1 ein chinesischer Bedrohungsakteur, der auch als PLA Unit 61938, Comment Crew, Byzantine Panda und einige andere Decknamen bekannt ist. Eine andere ist APT 29, eine russische Gruppe namens Cozy Bear, Cozy Duke, Office Monkeys und mehrere andere Namen. Die nordkoreanische Gruppe APT 38 wird unter anderem oft als Lazarus-Gruppe, Wächter des Friedens oder HIDDEN COBRA bezeichnet.
Es gibt noch viele weitere nummerierte und benannte APTs, und es werden häufig neue entdeckt. Aufgrund der Komplexität und Kosten der Durchführung von APT-Angriffen nutzen die dahinter stehenden Gruppen im Allgemeinen ihre fortschrittlichen Techniken gegen hochwertige Ziele wie Regierungsbehörden oder große Unternehmen. Zu ihren Zielen gehören häufig Spionage, Diebstahl kritischer Daten und Sabotage.
Was unterscheidet Advanced Persistent Threats (APTs) von anderen Angriffen?
Fortgeschrittene anhaltende Bedrohungen sind in der Regel komplex und vielschichtig, was sie bewusster macht als die opportunistischen Bedrohungen, die die digitale Welt in größerem Maßstab heimsuchen. Laut a NETSCOUT-Bericht Im Jahr 2017 waren nur 16 Prozent der Unternehmen, Behörden oder Bildungseinrichtungen mit APTs konfrontiert.
Dies macht sie zu einer der seltensten Bedrohungen, obwohl ihre Auswirkungen wirklich verheerend sein können. Zu den Gründen für die geringere Anzahl von APTs und was sie von anderen Angriffen unterscheidet, gehören:
Ziele
Würden Sie eine Festung mit 20 Fuß hohen Mauern, bewaffneten Wachen und Kampfhunden bauen, um das Sparschwein eines Kindes zu schützen? Natürlich nicht – es würde Sie mehr an Sicherheit kosten, als das Sparschwein wert ist. Aber was wäre, wenn Sie den Goldschatz einer ganzen Nation schützen müssten?
Der Punkt ist, dass Um die Sicherheit zu gewährleisten, müssen wir die Schutzmaßnahmen im Verhältnis zum Wert oder der Bedeutung dessen, was wir sichern, erhöhen . Es ist unmöglich, etwas absolut undurchdringlich zu machen – wir können es nur so schwer machen, einzubrechen, dass Versuche, dies zu tun, finanziell nicht tragbar sind.
Dies gilt für Gold, Schmuck, Gemälde und eine Reihe anderer physischer Schätze. Aber es gilt auch in der Welt der Informationen, Systeme und digitalen Vermögenswerte. Bestimmte Organisationen wie Regierungen und große Unternehmen verfügen über äußerst wertvolle Informationen, die viele gerne stehlen würden .
Aber die Organisationen, die diese Daten kontrollieren, sind (größtenteils) nicht dumm. Sie wissen um den Wert der Informationen, dass viele Parteien sie gerne in die Hände bekommen würden, und das Um dies zu gewährleisten, müssen strenge Schutzmaßnahmen vorhanden sein.
Aber was wäre, wenn Sie diese Informationen trotzdem wollten? Wenn solche robusten Abwehrmechanismen vorhanden sind, ist ein ausgefeilter Angriff erforderlich, um überhaupt eine Chance auf Einbruch und Datendiebstahl oder das Erreichen anderer Ziele zu haben. Dies sind die Szenarien, die fortgeschrittene Angriffe mit anhaltenden Bedrohungen erfordern.
Wenn Daten und Systeme nicht in diesem Maße geschützt sind, ist ein so aufwändiger, teurer und zeitaufwändiger Angriff einfach nicht erforderlich. Wenn ein Cyberkrimineller die Daten, die er jagt, mit einer einfachen Phishing-E-Mail stehlen kann, warum sollte er dann zusätzliche Anstrengungen unternehmen?
Daher sehen wir Advanced Persistent Threats nur dann wirklich, wenn es sich um äußerst wertvolle Daten oder Systeme handelt und wenn viel Aufwand in deren Schutz gesteckt wird. Zu dieser Überschneidung von APT-Zielen gehören:
- Regierungsbehörden – wie Verteidigungsministerien, Spionagebüros, Steuerabteilungen usw.
- Universitäten, Hochschulen und Forschungsprogramme.
- Große Unternehmen und Institutionen – deckt Sektoren wie Finanzen, Fertigung, Technologie, Waffen usw. ab.
- Wesentliche Infrastruktur – wie Stromnetze, Transport, Nuklearprogramme, Telekommunikation, Versorgungsunternehmen usw.
Ziele
Wenn es sich bei einem APT um einen komplizierten, gut organisierten und gut finanzierten Angriff handelt, der strenge Abwehrmaßnahmen umgehen soll, müssen die Ziele des Angriffs äußerst wertvoll sein, damit er sich für den Angreifer lohnt. Wenn sie aus einem solch bedeutenden Engagement nichts Wesentliches herausholen können, warum sollten sie sich dann die Mühe machen, den Angriff zu starten?
In den meisten Fällen zielen Bedrohungsakteure, die APT-Taktiken einsetzen, auf wertvolle Informationen oder Systeme ab, darunter:
- Datenbanken mit persönlichen Informationen – Zum Beispiel Finanzdaten, Gesundheitsakten und andere Daten, die bei verschiedenen Straftaten verwendet werden können.
- Geistiges Eigentum – Bei Industriespionage geht es häufig um geistiges Eigentum, Pläne, Geschäftsgeheimnisse und andere wichtige Informationen, die für Konkurrenten, Nationalstaaten und andere interessierte Parteien nützlich sein können.
- Klassifizierte Information , einschließlich Regierungsdokumente, Militärpläne und Finanzunterlagen.
- Kontinuierliche Kommunikation zwischen hochwertigen Zielen – Dabei kann es sich um Pläne, persönliche Informationen, die zur Erpressung verwendet werden könnten, und vieles mehr handeln.
- Sabotage – Zum Beispiel das Herunterfahren einer Website und das Löschen wichtiger Daten.
- Entführung einer Website – Dies kann aus Gründen wie politischem Aktivismus, Cyberterrorismus oder finanziellem Gewinn erfolgen.
In einigen dieser Situationen besteht das Hauptziel möglicherweise einfach darin, Geld zu verdienen, beispielsweise in Fällen, in denen Angreifer Datenbanken mit persönlichen Informationen stehlen und verkaufen. Unter anderen Umständen kann die APT-Kampagne dazu dienen, Konkurrenten aktiv zu schädigen, Nationalstaaten zum Kampf um die Macht zu verhelfen oder als Machtdemonstration zu dienen. Letztlich handelt es sich bei APTs um Techniken, die es denjenigen, die hinter ihnen stehen, ermöglichen, Ziele zu erreichen, die mit einfacheren Arten von Cyberangriffen nicht möglich wären.
Raffinesse
Viele der häufigsten Bedrohungen, mit denen wir konfrontiert sind, sind automatisiert und verhalten sich konsistent und suchen nach denselben Schwachstellen, die wir ausnutzen können. Obwohl sie häufig für die Durchdringung neuer Organisationen und Systeme genutzt werden, fehlt es ihnen in der Regel an der sorgfältigen Analyse, Planung und Orchestrierung, die bei APTs erforderlich ist.
Wie wir besprochen haben, APTs sind im Allgemeinen Situationen vorbehalten, in denen einfachere Angriffe nicht ausreichen, um die Ziele zu erreichen, und etwas Fortgeschritteneres erforderlich ist . Bei APT-Angriffen muss oft viel Zeit damit verbracht werden, ein Ziel zu untersuchen und nach Schwachstellen zu suchen, bevor ein maßgeschneiderter Plan entwickelt wird, um Sicherheitsmaßnahmen zu überwinden, Erkennungsmechanismen zu umgehen und das Endziel zu erreichen.
Die Mitarbeiter hinter APTs sind äußerst kompetent und verfügen über ein breites Spektrum an Fähigkeiten. Sie nutzen bei ihren Angriffen auch eine Vielzahl fortschrittlicher Tools und Strategien. Ihre Raffinesse umfasst:
- Innovativ, auf dem neuesten Stand Überwachungs- und Informationsbeschaffungstechniken .
- Beherrschung sowohl von Open-Source- als auch proprietären Einbruchstools . Dabei kann es sich sowohl um kommerzielle Penetrationstestsoftware als auch um Software handeln, die von Darknet-Marktplätzen bezogen wird. Sie entwickeln häufig auch ihren eigenen Code von Grund auf oder ändern vorhandenen Code nach Bedarf. Diese Anpassung kann für die Durchdringung von Organisationen mit starken Abwehrmechanismen von entscheidender Bedeutung sein.
- Zielt auf mehrere Punkte in einer Organisation, sowohl bei der anfänglichen Durchdringung als auch bei der Ausweitung ihrer Angriffe . Ein Beispiel hierfür ist der Zugriff auf mehrere Schlüsselpersonen innerhalb eines Unternehmens durch erfolgreiches Spear-Phishing. Eine andere Möglichkeit besteht darin, eine Reihe separater interner und externer Systeme ins Visier zu nehmen, während der Bedrohungsakteur seinen Angriff verstärkt. Angriffe von so vielen verschiedenen Punkten aus können auch dazu dienen, Sicherheitsteams abzulenken.
- Umgehung von Erkennungstools . Bedrohungsakteure nutzen Verschleierungstechniken und hinterhältige Taktiken wie dateilose Malware. Diese helfen dabei, die von Zielorganisationen eingesetzten Überwachungs- und Erkennungsmechanismen zu umgehen. Diese verlassen sich häufig auf Signaturen, um bösartige Aktivitäten zu erkennen, was bedeutet, dass Angriffsmethoden, die Signaturen verbergen können oder bisher nicht sichtbare Signaturen aufweisen, oft unbemerkt bleiben. Bei APTs ist es von entscheidender Bedeutung, über einen langen Zeitraum verborgen zu bleiben, weshalb Angreifer erhebliche Anstrengungen unternehmen, um zu entkommen.
Ein Beispiel für die Komplexität von APTs: Bei diesen Angriffen handelt es sich häufig um eine Kombination aus Social Engineering, der Ausnutzung von Software-Schwachstellen, dem Einsatz von Rootkits, DNS-Tunneling und einer Vielzahl anderer Ansätze. Einige der einzelnen Strategien, die in einem APT verwendet werden, scheinen möglicherweise nicht übermäßig fortgeschritten zu sein. Aber die Planung, das Ausmaß und der Zusammenhalt des Angriffs als Ganzes machen sie so anspruchsvoll.
Ein kritischer Teil eines APT kann die einfache Täuschung einer Führungskraft mit einer Phishing-Nachricht sein. Fast jeder mit etwas Freizeit, einigermaßen guter Grammatik und Google kann das schaffen. Aber das Zusammenwirken aller anderen Elemente macht einen Angriff zu einem APT. Es ist diese allgemeine Raffinesse, die für Ihre Garten-Hacker unerreichbar ist.
Zeitleiste
Viele Cyberkriminelle sind nur an einfachen Zielen interessiert und wollen so schnell wie möglich ein- und aussteigen, ohne sich große Sorgen darüber zu machen, ob ihr Angriff schnell bemerkt wird, wenn sie erst einmal das bekommen, wonach sie gesucht haben.
Im Gegensatz, APTs sind in der Regel langfristige Angriffe , weil die Systeme, auf die sie abzielen, einfach zu komplex und gut geschützt sind, als dass sie mit einfachen oder automatisierten Techniken eindringen könnten. Wie wir oben besprochen haben, erfordern sie Beobachtung, Planung und viele Phasen, bevor das endgültige Ziel erreicht wird.
Es braucht Zeit, jeden dieser Schritte richtig auszuführen, insbesondere wenn ein Angreifer unentdeckt bleiben möchte. Nach solch einem erheblichen Ressourcen- und Arbeitsaufwand müssen sie bei jeder ihrer Bewegungen vorsichtig sein, um zu vermeiden, dass Alarme ausgelöst werden und ihr Angriff blockiert wird.
Auch wenn ein Plan einmal initiiert wurde, kann er mehrere Runden von Phishing-E-Mails, die Einrichtung gefälschter Websites, das Laden von Malware auf Ziele, die Erhöhung von Privilegien, das Herausfiltern von Daten und viele andere Taktiken umfassen, bevor der Bedrohungsakteur sein Ziel auch nur annähernd erreicht.
In vielen Situationen ist es sinnvoll, dass der Angreifer möglichst lange Zugriff auf die Systeme des Opfers behält. Dies könnte das ursprüngliche Ziel gewesen sein, andernfalls Sobald die ganze teure und zeitaufwändige Kleinarbeit erledigt ist, um das Hauptziel zu erreichen, ist es einfach sinnvoll, dort zu bleiben und alle anderen Abfälle einzusammeln, die möglicherweise wertvoll sind.
Langzeitüberwachung kann dem Angreifer Informationen über die neuesten Entwicklungen und Pläne des Ziels liefern, ihm Zugriff auf wertvollere Datenbanken gewähren und es ihm ermöglichen, die Kommunikation zwischen Schlüsselpersonen zu überwachen.
Die Zeit zwischen dem ersten Eindringen eines APT und seiner Entdeckung wird als bezeichnet Verweilzeit . Wie lange ein Bedrohungsakteur seine Anwesenheit verbergen kann, hängt von einer Vielzahl von Faktoren ab, darunter seinen eigenen Fähigkeiten und den Abwehrmaßnahmen des Ziels.
Im Laufe der Zeit sind viele Organisationen bei der Entdeckung von APTs viel besser geworden. Allerdings hinken einige noch deutlich hinterher. Feuerauge Im Jahr 2019 betrug die durchschnittliche Verweildauer für die interne Erkennung 30 Tage, im Vergleich zu 50 im Jahr 2018. Dies steht im Gegensatz zur durchschnittlichen Verweildauer für die externe Erkennung, die 2019 141 Tage und im Jahr zuvor 184 Tage betrug.
Dem Bericht zufolge wurden jedoch 41 Prozent der untersuchten Kompromittierungen innerhalb von 30 Tagen entdeckt alarmierende 12 Prozent wurden erst entdeckt, nachdem 700 Tage oder länger vergangen waren. Während fast zwei Jahre für einen Angreifer eine außergewöhnliche Zeitspanne sind, um Zugriff auf das Netzwerk eines Unternehmens zu erhalten, Mandiant berichtete einmal über einen APT, der eine Organisation vier Jahre und zehn Monate lang kompromittiert hatte.
In bestimmten Situationen können Bedrohungsakteure innerhalb von Minuten unglaublich wertvolle Daten stehlen oder großen Schaden anrichten. Stellen Sie sich vor, welche Probleme ein APT verursachen kann, wenn er seinen Zugriff nicht nur für ein oder zwei Monate, sondern für fast fünf Jahre behält. Bei so langen Zugriffszeiten könnten Bedrohungsakteure alles stehlen, was eine Zielorganisation zu bieten hat, oder es auf andere Weise zerstören.
Ressourcen
Aufgrund der Komplexität und des Zeitaufwands, die mit hochentwickelten Angriffen mit anhaltenden Bedrohungen verbunden sind, ist ihre Durchführung unglaublich kostspielig. Anfangen, Sie erfordern große Teams hochqualifizierter Hacker. Personen mit der Erfahrung und dem Know-how zum Starten dieser Angriffe können als Penetrationstester und Ingenieure, die für seriöse Unternehmen arbeiten, riesige Summen verdienen. Daher benötigen die Unternehmen, die hinter diesen Angriffen stehen, möglicherweise erhebliche Arbeitsbudgets, wenn sie sie zu illegalen Aktivitäten verleiten wollen.
Aber APTs erfordern mehr als nur Menschen und Zeit. Die Bedrohungsakteure müssen möglicherweise für Büros, Infrastruktur, Hosting und vieles mehr bezahlen. Allein der Preis für Werkzeuge kann schwindelerregend sein. Positive Technologien hat einen tollen Überblick darüber erstellt, wie viel verschiedene Elemente von APT-Kampagnen kosten können, von denen einige oder alle Teil eines einzigen, ausgeklügelten Angriffsplans sein könnten:
- Phishing
- 300 $+ – Tool zum Erstellen bösartiger Dateien
- 2500 $/Monat – Abonnementgebühr für einen Dienst, der Dokumente mit bösartigen Inhalten erstellt
- 1.500 $+ – Loader-Quellcode
- 10.000 $ – Exploit-Builder
- Watering-Hole-Angriff
- 10.000 $+ – Hacken einer Website und Installieren von Malware
- Zero-Day-Schwachstellen
- 30.000–70.000 US-Dollar – Windows LPE
- 1 Mio. USD+ – Windows One Click RCE
- 100.000–500.000 US-Dollar – Chrome RCE + LPE
- Penetrationstest-Tools (im Wesentlichen legitime Hacking-Tools,bei Verwendung mit Genehmigung)
- 30.000–40.000 US-Dollar/Jahr – Schwarzmarktpreis für Cobalt Strike
- 15.000 $/Jahr – Metasploit Pro
- Remote-Verwaltungstools
- 100 $ – Modifizierte Version von TeamViewer aus dem Darknet
- 3.000 $ – Verstecktes VNS aus dem Darknet
- Banking-Malware
- 1.750 $ – Smoke Bot aus dem Darknet
- Exploits
- 10.000 $ – Für die Ausweitung der Betriebssystemprivilegien
- 130.000 US-Dollar – für ein Tool, das eine Zero-Day-Schwachstelle in Adobe Acrobat ausnutzt
- Spionage-Malware
- 1,6 Millionen US-Dollar – FinSpy-Spyware-Framework
- Zertifikate
- 1.700 $ – Gefälschtes erweitertes Validierungszertifikat
- Selbstgebaute Werkzeuge
- 30.000–35.000 US-Dollar – Maßgeschneiderte Software für Verschanzung und seitliche Bewegung
Viele dieser Preise gelten für High-End-Tools und -Dienste, die bisher nicht massenhaft von Hackern genutzt wurden. Dies erhöht die Wahrscheinlichkeit, dass sie Antivirenlösungen und Erkennungsmethoden umgehen können, was zu einer größeren Erfolgsaussicht führt.
Alles in allem könnte ein APT-Angriffsversuch leicht Hunderttausende Dollar kosten. Da nicht jeder über das nötige Geld verfügt, um in staatliche Stellen oder Unternehmen einzubrechen, wird eingeschränkt, wer diese Art von Angriffen tatsächlich starten kann.
Der Täter
Auch wenn Ihr gewöhnlicher Kellerhacker davon träumt, einen raffinierten APT-Angriff durchzuführen, liegt dieser einfach außerhalb seiner Reichweite. Sie brauchen ein Team im Rücken und eine beträchtliche Menge an Ressourcen.
Historisch gesehen wurde der Begriff „Advanced Persistent Threat“ hauptsächlich für Gruppen verwendet, die mit Nationalstaaten verbunden sind. Nur wenige andere verfügten über die nötige finanzielle Unterstützung, die Organisationsfähigkeit und die Straflosigkeit, im Namen ihrer Regierung zu arbeiten (und somit unter deren Schutz), mit Ausnahme derjenigen, die mit Nationalstaaten verbunden sind.
Die frühesten benannten APTs waren die staatlich unterstützten chinesischen Gruppen PLA 61398 (APT 1) und PLA 61486 (APT 2). Ihre Aktivitäten konzentrierten sich häufig auf Industriespionage und zielten auf Unternehmen wie nuklear Und Luft- und Raumfahrt Firmen.
Bald wurden auch Gruppen mit Bezug zu anderen Ländern benannt, darunter Ausgefallener Bär (APT 28), Helix-Kätzchen (APT 34), die Lazarus Gruppe (APT 38) und die Gleichungsgruppe . Diese haben Verbindungen zu Russland, Iran, Nordkorea bzw. den USA.
Während mit Nationalstaaten verbundene Gruppen die APT-Szene dominieren, gibt es auch einige hochentwickelte Bedrohungsakteure, die offenbar ausschließlich aus finanziellen Gründen agieren und keine staatliche Bindungen zu haben scheinen.
Diese beinhalten Schweigen , die Banken auf der ganzen Welt ins Visier genommen und Millionen von Dollar gestohlen hat. Ein weiteres Beispiel ist das Carbonak-Gruppe , von dem Kaspersky behauptet, dass er mehr als 1 Milliarde US-Dollar gestohlen hat.
Advanced Persistent Threat (APT)-Angriffsphasen
Fortgeschrittene persistente Bedrohungen folgen im Allgemeinen denselben Mustern. Sobald der Bedrohungsakteur sein Ziel ausgewählt hat, beginnt er mit einer sorgfältigen Aufklärung und findet heraus, wie er am besten in die Systeme eindringen, seinen Zugriff erweitern und sein Ziel erreichen kann, ohne dabei entdeckt zu werden.
Die Schritte einer fortgeschrittenen anhaltenden Bedrohung. Erweiterter Lebenszyklus persistenter Bedrohungen von Secureworks, lizenziert unter CC0 .
Das Ziel definieren
Das Ziel einer APT hängt im Allgemeinen von der Art der dahinter stehenden Gruppe ab. Wenn es sich um einen Bedrohungsakteur handelt, der ausschließlich finanziell motiviert ist, kann die Gruppe den Prozess damit beginnen, Finanzinstitute, große Unternehmen und andere Organisationen nach Schwachstellen zu durchsuchen, die sie ausnutzen kann. Wählen Sie dann ein Ziel aus, je nachdem, was am einfachsten aussieht, den größten potenziellen Gewinn bietet oder am wahrscheinlichsten zu einer hohen Kapitalrendite führt .
Mit Nationalstaaten verbundene Gruppen können ein bestimmtes Ziel erhalten, beispielsweise „die Pläne für das Flugzeug der nächsten Generation zu stehlen, damit wir es rückentwickeln können“ oder „das Verteidigungsministerium infiltrieren und die Kommunikation zwischen hochrangigen Personen überwachen“. '. In solchen Situationen müsste der Bedrohungsakteur das Ziel genau untersuchen, selbst nach den kleinsten Schwachstellen suchen und herausfinden, welche Taktiken ihm zum Erfolg bei der Mission verhelfen.
Alternativ können APTs breitere Ziele erhalten, wie zum Beispiel „Sabotage kritischer Regierungswebsites als Reaktion auf die Sanktionen, die Land .
Dieser Ansatz gibt der Gruppe etwas mehr Freiheit, da sie sich mehrere Ziele ansehen und sich dann auf das konzentrieren könnte, was am realistischsten erscheint, oder Spear-Phishing-Nachrichten an Personen aus einer Reihe von Entitäten senden und dann die erfolgreichen Ziele ins Visier nehmen könnte.
Aufklärung, Planung & Prüfung
Sobald das Ziel definiert ist, besteht der nächste Schritt darin, Informationen zu suchen, die bei der Planung des Angriffs hilfreich sind. Je mehr ein Bedrohungsakteur über das Ziel, seine Systeme, Abwehrmaßnahmen, Erkennungsmethoden, Vermögenswerte, Mitarbeiter und andere Schlüsselfaktoren weiß, desto besser kann er die zukünftigen Phasen planen.
Wenn Bedrohungsakteure Einzelheiten zu Systemschwächen, Sicherheitsmaßnahmen, Überwachungstools und sogar darüber wissen, welche Mitarbeiter möglicherweise verärgert sind, verschafft ihnen das einen Vorteil, den sie nutzen können, um einer Entdeckung zu entgehen und ihre Ziele zu erreichen.
Diese ersten Untersuchungen können grundlegende Recherchen wie das Durchsuchen von Unternehmenswebsites, Nachrichtenartikeln und LinkedIn-Seiten umfassen; bis hin zum Scannen des Ziels auf Schwachstellen. Sie könnten auch darin bestehen, Agenten in die Zielorganisation einzuschleusen, um Informationen zu extrahieren, oder diejenigen, die bereits Schlüsselpositionen innehaben, dort abzugeben. Personen mit internem Wissen über die Systeme und Schwächen einer Organisation können in dieser Phase eine äußerst wertvolle Ressource sein .
Sobald der Bedrohungsakteur über ausreichende Kenntnisse über sein Ziel verfügt, kann er mit der Planung seines Angriffs beginnen. Mithilfe der gesammelten Informationen kann es die besten Wege ausarbeiten, um das Ziel zu infiltrieren, seinen Zugang zu erweitern und sein Ziel zu erreichen, ohne dabei unentdeckt zu bleiben.
Der Planungsprozess kann Folgendes umfassen:
- Festlegung des anfänglichen Angriffsvektors und der Vorgehensweise zur Erreichung des Hauptziels.
- Aufbau eines Teams mit den notwendigen Fähigkeiten.
- Einrichten der erforderlichen Infrastruktur.
- Erwerb aller notwendigen Tools, Entwicklung individueller Software bei Bedarf, Kauf von Zero-Day-Schwachstellen bei Bedarf von anderen Gruppen.
Bevor der Angriff beginnt, testet die APT in der Regel ihre Tools und Techniken, um sicherzustellen, dass sie wirksam sind. Sie können auch versuchen, die Erkennungsmethoden des Ziels zu umgehen, um zu sehen, ob die verschiedenen Phasen ihres Angriffs unbemerkt passieren können.
Das Ziel infiltrieren
Sobald ein Bedrohungsakteur einen Plan entwickelt und den Grundstein gelegt hat, ist es an der Zeit, mit den nächsten Phasen des Angriffs zu beginnen. Es ist erwähnenswert, dass die anfängliche Infiltration manchmal nicht einmal gegen das Hauptziel gerichtet ist.
Der Bedrohungsakteur kann sich dafür entscheiden, zunächst Lieferanten, Geschäftspartner oder andere Unternehmen in der Nähe seines Ziels zu infiltrieren und diesen Zugang zu nutzen, um sein Gesamtziel zu erreichen .
Unabhängig davon, ob das Endziel oder ein Vermittler zuerst angegriffen wird, beginnt der Infiltrationsprozess oft mit einer der folgenden Techniken, die dem Bedrohungsakteur Halt verschaffen können:
- Phishing- und andere Social-Engineering-Kampagnen gegen Schlüsselpersonen, um ihre Referenzen zu erlangen.
- Ausnutzen von Sicherheitslücken in Netzwerken, Anwendungen oder Dateien, um Malware auf Zielsystemen einzuschleusen. Ziele verfügen häufig über starke Abwehrmaßnahmen, sodass die APT möglicherweise Zero-Day-Schwachstellen ausnutzen muss.
- Mitarbeiter auf eine Website locken, die Malware hostet . Wenn sie die Website besuchen, kann dies dazu führen, dass Malware im Netzwerk der Zielperson heruntergeladen wird.
- Lassen Sie mit Schadsoftware beladene USB-Sticks im Büro herumliegen . Wenn ein Mitarbeiter aus Neugier einen anschließt, kann der USB-Stick die schädlichen Dateien automatisch laden.
Einer der häufigsten Ausgangspunkte ist durch Speerfischen Angriffe, die auf wichtige Personen innerhalb der Organisation abzielen. Diese sind im Allgemeinen weit entfernt von den Phishing-E-Mails, die Sie manchmal in Ihrem Spam-Ordner sehen.
Bedenken Sie, dass es sich hierbei um teure Angriffe handelt, die darauf abzielen, unentdeckt zu bleiben. Der Bedrohungsakteur wird nicht jedem eine schlecht formulierte, grammatikalisch fragwürdige Botschaft überbringen und das Ziel in höchste Alarmbereitschaft versetzen. Stattdessen, Diese Phishing-E-Mails zielen auf bestimmte Personen ab, deren Zugriff in weiteren Phasen des Angriffs nützlich sein kann .
Die Nachrichten werden auf die Person zugeschnitten und nutzen die in der Aufklärungsphase gewonnenen Informationen, um den Phishing-Versuch weitaus glaubwürdiger zu machen. Das Ziel besteht oft darin, die Person dazu zu verleiten, ihre Zugangsdaten preiszugeben, und eine der häufigsten Taktiken besteht darin, ihr eine betrügerische Sicherheitswarnung zu senden, die sie dazu drängt, ihr Passwort zu ändern.
Wenn das Ziel sein Passwort ändern möchte, wird es aufgefordert, seine Daten einzugeben. Allerdings senden sie ihre Anmeldeinformationen eigentlich nur direkt an den Bedrohungsakteur. Sobald die APT über die Zugangsdaten einer oder mehrerer Personen verfügt, verfügt sie über Zugangspunkte, über die sie das Ziel infiltrieren kann.
Den Angriff ausweiten
Durch Malware oder Phishing Fuß zu fassen, ist nur der erste Schritt. Es ermöglicht dem Angreifer, einen Kommunikationskanal vom Zielnetzwerk zum Befehls- und Kontrollserver einzurichten, über den er weitere Anweisungen und zusätzliche Malware senden kann, die den Angriff verstärken.
Ab diesem Zeitpunkt installiert der Bedrohungsakteur im Allgemeinen Fernzugriffssoftware im Netzwerk des Ziels. Dies gibt dem APT eine Hintertür, die es ihm ermöglicht, nach Belieben zu kommen und zu gehen.
Zu diesem Zeitpunkt wird die APT nur eingeschränkten Zugang haben und immer noch nicht in der Lage sein, dorthin zu gelangen, wo sie sein muss, um ihre Mission zu erfüllen. Um dorthin zu gelangen, muss der Angriff ausgeweitet werden. Dies erfordert verschiedene Taktiken:
- Eskalierende Privilegien – Die anfängliche Infiltration gewährt dem Bedrohungsakteur möglicherweise nur Zugriff auf niedriger Ebene. Wenn es Zugriff auf andere spezifische Konten oder Administratorrechte benötigt, kann es damit beginnen, alle ihm zur Verfügung stehenden Daten zu sammeln, einschließlich Logins und Passwörtern. Wenn die Passwörter gehasht sind, kann der Angreifer versuchen, sie zu knacken, indem er sie brutal erzwingt oder verwendet Regenbogentische . Alternativ kann der APT Exploits nutzen, um die höheren Zugriffsebenen zu erhalten, die er benötigt. Diese Techniken ermöglichen es dem Bedrohungsakteur, tiefer in das Netzwerk einzudringen und sich langsam auf das endgültige Ziel vorzuarbeiten.
- Untersuchen das interne Netzwerk – Sobald der APT es in das Netzwerk geschafft hat, bewegt er sich auch seitlich und sammelt Daten und Informationen über die umgebende Infrastruktur. Es übernimmt die Kontrolle über Server, Computer und andere Infrastrukturen und sammelt alle Daten, die nützlich sein könnten. Es durchsucht das Netzwerk nach weiteren Schwachstellen und installiert weitere Hintertüren, um einfachen Zugriff auf verschiedene Teile des Netzwerks zu ermöglichen. Diese Tunnel ermöglichen es ihm auch, bei Bedarf Daten herauszuschleusen und sicherzustellen, dass der Angreifer den Zugriff aufrechterhalten kann, selbst wenn seine anderen Eintrittspunkte vom Ziel verschlossen werden.
Sich der Entdeckung entziehen
Von den ersten Phasen der Untersuchung eines Ziels bis zum Abschluss eines Angriffs besteht eines der Hauptanliegen eines APT darin, einer Entdeckung zu entgehen. Wenn das Ziel misstrauisch wird, kann dies seine Sicherheit verschärfen und das Eindringen erheblich erschweren. Alternativ kann es den Bedrohungsakteur mitten im Angriff entdecken und es schaffen, ihn zu stoppen, was möglicherweise monatelange Arbeit zunichte macht.
Angreifer entwickeln ihre Umgehungstechniken, indem sie das Netzwerk und seine Erkennungstools untersuchen und dann Möglichkeiten testen, sie zu umgehen, ohne Alarm auszulösen. Zu den häufigsten Methoden, mit denen sie verschiedene Aspekte ihres Angriffs verbergen, gehören:
- Fragmentierung Pakete – Bedrohungsakteure können Datenpakete übertragen, indem sie sie in weniger verdächtige Paketprotokolle zusammenfügen, wodurch sie Firewalls und Intrusion-Detection-Systeme umgehen können. Die Pakete werden rekonstruiert, nachdem sie die Sicherheitsmechanismen durchlaufen haben.
- Steganographie – Verstecken von Daten oder Malware in Bildern und anderen scheinbar banalen Dateien.
- PHP-Umgehung – Neuordnung von Zeichen, um Hintertüren in den Code von Websites oder Webanwendungen einzubetten.
- Untersuchung der Mausaktivität – Durch die Suche nach Klicks oder anderen Aktivitäten kann Malware feststellen, ob sie in der Zielbetriebsumgebung oder in virtualisierten Systemen geöffnet wurde. Dadurch kann die Malware erkennen, ob sie in einem Malware-Analysesystem, einer Antiviren-Sandbox oder von einem menschlichen Bediener ausgeführt wird, und kann entsprechend handeln.
- Verschleierung der Angriffsursprünge – Indem der Angreifer die Ursprünge eines Angriffs verschleiert oder den Anschein erweckt, als ob er von einem falschen Ort ausginge, kann er dazu beitragen, seine Identität und Absichten zu verbergen.
- Andere Angriffe als Deckmantel nutzen – Für einen APT ist es viel einfacher, verschiedene Teile seines Angriffs am Sicherheitsteam des Ziels vorbeizuleiten, wenn das Team durch etwas anderes abgelenkt wird. Bedrohungsakteure starten häufig DDoS-Angriffe und andere Angriffe auf ihre Ziele, nur um zu verhindern, dass das Sicherheitsteam bemerkt, was sie tatsächlich tun.
Das ursprüngliche Ziel erreichen
Sobald ein Angreifer das gesamte Netzwerk durchsucht und sich den benötigten Zugriff verschafft hat, besteht der nächste Schritt darin, sein Ziel zu erreichen. In diesem Stadium, Es kann Websites beschädigen oder übernehmen, Daten zerstören oder andere kritische Infrastrukturen und Vermögenswerte sabotieren .
In vielen Fällen besteht das Ziel im Datendiebstahl. Daher sammelt das APT jede der wertvollen Datenbanken, die es bei der Erkundung des Netzwerks identifiziert hat, und überträgt sie dann an einen sicheren Ort innerhalb des Netzwerks. Diese Daten werden normalerweise komprimiert und verschlüsselt und können exfiltriert werden. Die Daten werden dann heimlich an einen Server gesendet, der unter der Kontrolle der APT steht , oft während ein Nebelangriff das Sicherheitsteam ablenkt.
Sobald die Daten außerhalb des Netzwerks übertragen wurden, kann das Ziel sie nicht mehr aus den Händen des APT heraushalten. Der Bedrohungsakteur wird im Allgemeinen alle Beweise für den Angriff vernichten, wodurch es für das Ziel schwieriger wird, die Kompromittierung zu erkennen oder festzustellen, wer der Angreifer war. Nach Abschluss behalten Bedrohungsakteure oft ihren Zugriff auf das Netzwerk, sodass sie das Ziel weiterhin überwachen und möglicherweise in Zukunft neue Angriffe starten können.
Beispiele für Advanced Persistent Threats (APTs)
Fortgeschrittene anhaltende Bedrohungen gehen hauptsächlich von Nationalstaaten aus, es gibt jedoch auch einige gut organisierte kriminelle Gruppen, die über ähnliche Fähigkeiten verfügen. Es gibt Dutzende benannter APTs, aber wir bleiben bei einigen nationalstaatlichen Beispielen.
Auch wenn es den Anschein hat, als würden solche Bedrohungen nur von Ländern ausgehen, die als feindlich gegenüber dem Westen wahrgenommen werden – Iran, China, Nordkorea, Russland –, stimmt das nicht ganz. Dies sind nur die Bedrohungsakteure, von denen wir in den westlichen Medien häufig hören. Es gibt auch APTs Israel , Frankreich und viele andere Länder.
Um die Dinge relativ ausgewogen zu halten, werden wir über Chinas PLA-Einheit 61398 und die mit den USA verbundene Equation Group sprechen.
PLA-Einheit 61398
Die erste nummerierte Advanced Persistent Threat Group war PLA-Einheit 61398 , unter anderem bekannt als APT 1 und Comment Crew. Die APT ist mit der chinesischen Regierung und im Jahr 2012 mit dem Cybersicherheitsunternehmen verbunden Feuerauge Schätzungen zufolge wurden bereits mehr als 1.000 Organisationen angegriffen.
Zu den Opfern zählen Menschen aus der Technologie-, Finanz-, Bergbau-, Telekommunikations-, Fertigungs-, Schifffahrts-, Rüstungs-, Energie- und anderen Branchen. Es zielte auch auf kritische Infrastruktur in den USA ab, darunter Wasserwerke und Stromnetze. Einige davon größerer Name Zu den Opfern zählen Coca Cola, die Sicherheitsfirma RSA, Lockheed Martin und Telvent.
Die PLA-Einheit 61398 ist seit mindestens 2002 aktiv. Während die meisten ihrer Opfer aus den USA stammten, zählten auch andere zu ihren Zielen Regierungsbehörden in Vietnam, Südkorea, Taiwan und Kanada. Entsprechend Mandiant Dabei wurden häufig Informationen über Herstellungsprozesse, Testergebnisse für klinische Studien, Verhandlungsstrategien, Technologieentwürfe, Preisdokumente und andere geschützte Informationen gestohlen.
Ein Beispiel für die Arbeitsweise der Gruppe wurde von der diskutiert New York Times . Coca-Cola befand sich mitten in einem Übernahmeangebot für die China Huiyuan Juice Group im Wert von 2,4 Milliarden US-Dollar. Während des Verhandlungsprozesses Die PLA-Einheit 61398 durchsuchte die Computer der Führungskräfte von Coca-Cola, um die Strategie des Unternehmens herauszufinden .
Der Angriff begann mit einem Spearphishing-Versuch, der dazu führte, dass einer der Führungskräfte von Coca-Cola auf einen bösartigen Link klickte. Dies verschaffte der Gruppe den Einstiegspunkt in das Netzwerk von Coca-Cola. Einmal drin, gelang es ihm, jede Woche unbemerkt vertrauliche Dateien zu sammeln und nach China zurückzuschicken.
Es kann komplex sein, Angriffe einem bestimmten Bedrohungsakteur zuzuordnen. Trotz dieses, Es besteht nahezu Gewissheit, dass die PLA-Einheit 61398 hinter dem Coca-Cola-Angriff und vielen anderen, die damit in Verbindung stehen, steckt. Nachdem er die Anschläge mehr als sechs Jahre lang verfolgt hatte, Mandiant stellte fest, dass die IP-Adressen und andere Beweise auf den Bezirk Pudong in Shanghai hindeuteten, wo sich der Hauptsitz der PLA-Einheit 61398 befindet.
Der Bericht des Unternehmens ließ in seinen Schlussfolgerungen kaum Zweifel daran, wer die verantwortliche Partei war. Obwohl es „eine weitere unwahrscheinliche Möglichkeit“ zuließ:
Eine geheime, mit Ressourcen ausgestattete Organisation voller Festlandchinesisch-Sprecher mit direktem Zugang zur Telekommunikationsinfrastruktur in Shanghai ist direkt vor den Toren der Einheit 61398 an einer mehrjährigen, unternehmensweiten Computerspionagekampagne beteiligt und führt ähnliche Aufgaben aus wie die bekannte Mission der Einheit 61398.
Natürlich ist eine solche Idee fantasievoll, und zahlreiche andere stützen Mandiants Schlussfolgerungen:
- Senator Mike Rogers Der ehemalige Vorsitzende des Geheimdienstausschusses des Repräsentantenhauses erklärte, dass der Mandiant-Bericht „völlig im Einklang mit der Art von Aktivität stehe, die der Geheimdienstausschuss seit einiger Zeit beobachtet“.
- Der Projekt 2049 Institut , eine NGO, die sich auf asiatische Sicherheits- und Politikfragen konzentriert, beschrieb die PLA-Einheit 61398 als die „führende Einheit des Dritten Ministeriums [eine Abteilung des chinesischen Militärs, die für die Überwachung der Auslandskommunikation verantwortlich ist], die auf die Vereinigten Staaten und Kanada abzielt und sich höchstwahrscheinlich auf politische, wirtschaftliche, und militärbezogene Geheimdienste“.
Nationalstaaten neigen dazu, etwas schüchtern zu sein, wenn sie ihre Cyber-Possen eingestehen Chinesische Beamte Die Anschuldigungen wurden zunächst mit Aussagen wie „China lehnt Hackerangriffe entschieden ab und hat einschlägige Gesetze und Vorschriften erlassen sowie strenge Strafverfolgungsmaßnahmen ergriffen, um sich gegen Online-Hackeraktivitäten zu verteidigen.“
F BI – Fünf chinesische Militärhacker wegen Cyberspionage gegen die USA angeklagt vom FBI lizenziert unter CC0 .
Obwohl die chinesische Regierung noch immer keine einzelnen Angriffe zugegeben hat, hat sie diese im Jahr 2015 doch eingeräumt Existenz von Cyberwarfare-Einheiten . Für die US-Behörden war dies natürlich keine Überraschung, sie hatten es bereits getan erhob Anklage gegen fünf Offiziere der PLA-Einheit 61398 im Zusammenhang mit den Anschlägen.
Gleichungsgruppe
Wenn Sie jemals daran zweifeln, wie geheim APTs sein können, ist die Tatsache, dass die Equation Group mehr als im Verborgenen lauerte, genau das Richtige für Sie 14 Jahre bevor es öffentlich bekannt wurde. Nein, es handelte sich nicht um eine kleine, zusammengewürfelte Organisation, die jeweils ein paar tausend Kreditkartennummern stahl, sondern um einen Bedrohungsakteur, den Kaspersky als „alles Bekannte in Bezug auf Komplexität und Ausgereiftheit der Techniken“ bezeichnete.
Entsprechend Kasperskys Bericht , die Gruppe hat möglicherweise Zehntausende Opfer auf der ganzen Welt infiziert und ist seit mindestens 2001 tätig. Zu ihren Zielen gehörten Regierungsbehörden und -institutionen, islamische Aktivisten und Gelehrte, Unternehmen, die Verschlüsselungstechnologien entwickeln, Telekommunikations-, Öl- und Gasunternehmen usw Medien, Verkehrsinfrastruktur, Militär, Finanzinstitutionen und andere.
Obwohl die Sicherheitsfirma zum Schutz der Opfer viele Details zurückhielt, enthüllte sie doch, wie mächtig die Gruppe war. Die Equation Group hatte vor den dahinter stehenden Bedrohungsakteuren Zugriff auf mehrere Zero-Day-Schwachstellen Stuxnet Und Flamme .
Dies bedeutet nicht nur, dass die Equation Group mit einigen der mächtigsten Hacking-Organisationen der Welt zusammenarbeitet, sondern legt auch nahe, dass die Equation Group überlegen ist.
Als eine der führenden Hacking-Organisationen verfügte die Equation Group über eine Vielzahl von Techniken. Zu den interessanteren Tricks gehören:
- Abfangen von CDs, die von Organisatoren einer Wissenschaftskonferenz verschickt wurden, und Installieren von Schadsoftware darauf. Als die Teilnehmer ihre CDs erhielten, gingen sie davon aus, dass es sich lediglich um Bilder der Konferenz handelte. Als sie jedoch die scheinbar harmlosen CDs auf ihren Computern laufen ließen, Sie installierten das DoubleFantasy-Implantat der Equation Group und verschafften dem Bedrohungsakteur Zugang zu den Systemen des Ziels .
- Der Fanny-Wurm nutzte zwei Zero-Day-Exploits, um Air-Gap-Netzwerke zu kartieren, beispielsweise solche in hochsensiblen Umgebungen wie Finanz- und Militärcomputersystemen. Wenn ein infizierter USB-Stick an einen angeschlossenen PC angeschlossen wurde, der von Fanny infiziert worden war, konnte die Equation Group Befehle im versteckten Speicherbereich des USB-Sticks speichern. Wenn derselbe USB-Stick wieder an einen Air-Gap-Computer angeschlossen wurde, führte Fanny die Befehle aus.
- Mit dem Modul nls_933w.dll konnte die Equation Group die Festplatten-Firmware von mehr als einem Dutzend gängiger Marken neu programmieren . Dazu gehörten Toshiba, IBM, Seagate, Maxtor und Western Digital.
Es wird angenommen, dass die Equation Group mit der National Security Agency (NSA) der Vereinigten Staaten verbunden ist. Genauer, F-Secure glaubt, dass es mit dem Office of Tailored Access Operations (TAO) der Agentur verbunden ist, das inzwischen in Computer Network Operations umbenannt wurde.
Dies liegt daran, dass Der Spiegel NSA-Auszüge veröffentlichte, in denen behauptet wurde, das TAO habe Zugriff auf ein Tool namens IRATEMONK. Das Festplatten-Firmware-Modul der Equation Group weist viele ähnliche Komponenten auf, was F-Secure zu der Schlussfolgerung veranlasst, dass die Verbindung zwischen den beiden Einheiten besteht.
Ein weiterer Beleg für einen Zusammenhang ist die Verbindung zwischen den Angriffen der Equation Group und Stuxnet, das weithin den USA zugeschrieben wird. Es gibt auch Zeitstempel, die von analysiert werden Kaspersky Dies deutet darauf hin, dass die Gruppe hinter den Angriffen von Montag bis Freitag Arbeitszeiten hatte, die denen an der Ostküste der USA entsprachen. Es gibt mehrere weitere Indikatoren für Verbindungen zwischen beiden, doch die Politik hält Cybersicherheitsfirmen oft davon ab, die Verantwortlichen direkt zu benennen.
Wie können Sie feststellen, ob Ihr Unternehmen von einer Advanced Persistent Threat (APT) angegriffen wird?
APTs sind komplexe Angriffe, die sorgfältig darauf ausgelegt sind, ihre Ziele zu erreichen, ohne entdeckt zu werden. Dies macht es unglaublich schwierig zu erkennen, wann diese Angriffe tatsächlich stattfinden. Es gibt jedoch einige häufige Vorkommnisse, die Sie auf die Anwesenheit eines APT hinweisen können. Diese beinhalten:
Anspruchsvolle Spearphishing-E-Mails
APTs beginnen ihre Angriffe oft mit Spearphishing-E-Mails, daher könnte ein Anstieg dieser Nachrichten ein Zeichen sein. Wenn die Spearphishing-E-Mails auf Mitarbeiter mit umfassendem Zugriff auf die Systeme Ihres Unternehmens abzielen, kann dies ein noch stärkerer Indikator sein.
Allgemeinere Phishing-E-Mails sind nicht unbedingt ein gutes Zeichen für eine fortgeschrittene, persistente Bedrohung. Wenn in der E-Mail nur steht: „Hey, schau dir dieses coole Video an!“ und Sie auf eine bösartige Website weiterleitet, muss sich Ihr Unternehmen wahrscheinlich keine allzu großen Sorgen machen. E-Mails wie diese sind zu offensichtlich und haben eine geringe Erfolgschance, was ein großes Risiko für einen Angreifer darstellt, der versucht, seine Eindringversuche geheim zu halten.
Stattdessen sollten Sie nach anspruchsvolleren Botschaften Ausschau halten. Achten Sie besonders auf diejenigen, die auf den Zielempfänger zugeschnitten sind. Wenn sie unternehmensinterne Informationen enthalten, die der Öffentlichkeit nicht zugänglich sind, deutet das darauf hin, dass derjenige, der sie sendet, viel Zeit und Geld in die Untersuchung Ihres Unternehmens und seiner Schwachstellen investiert hat. Dies kann ein Zeichen dafür sein, dass ein APT möglicherweise versucht, in Ihr Netzwerk einzudringen.
Sie sollten besonders vorsichtig sein, wenn Sie auf Spearphishing-Nachrichten stoßen, die an Systemadministratoren, CEOs, CISOs und andere wichtige Personen gerichtet sind. Wenn Ihr Unternehmen Meldungen wie diese bemerkt, sollten Sie nach anderen Anzeichen dafür Ausschau halten, dass sich ein APT bereits in Ihrem Netzwerk befindet oder versucht, in Ihr Netzwerk einzudringen.
Late-Night-Logins
APTs zielen häufig auf weit entfernte Länder ab, die in unterschiedlichen Zeitzonen liegen. Dennoch arbeiten viele der an diesen Kampagnen beteiligten Hacker in ihrem eigenen Land relativ normal. Die zeitliche Diskrepanz zwischen dem Zielland und dem Ursprungsort der APT kann dazu führen, dass Hacker versuchen, sich zu ungewöhnlichen Zeiten Zugang zu verschaffen, oft spät in der Nacht oder früh am Morgen.
Wenn Ihr Unternehmen zu diesen Zeiten einen ungewöhnlichen Anstieg der Anmeldeversuche feststellt, könnte dies ein weiterer Hinweis darauf sein, dass ein APT versucht, in Ihr Netzwerk einzudringen. Natürlich kann es sich bei den gleichen Anzeichen auch nur um Mitarbeiter handeln, die lange arbeiten, um Fristen einzuhalten, oder um einen Angreifer mit bescheideneren Mitteln, der versucht, sich Zugang zu verschaffen. Nichtsdestotrotz sollten Unternehmen immer noch vorsichtig sein, insbesondere wenn nächtliche Anmeldungen mit einigen anderen kombiniert werden Indikatoren.
Trojaner
APTs installieren oft mehrere Trojaner in verschiedenen Teilen des Netzwerks einer Organisation, um den Zugriff auf verschiedene Teile zu erleichtern. Sie nutzen sie auch als Redundanz für den Fall, dass andere Formen des Netzwerkzugriffs blockiert werden. Wenn sie nur einen Einstiegspunkt hätten, könnten Monate ihrer Arbeit leicht zunichte gemacht werden, wenn das Sicherheitsteam des Ziels darauf stößt.
Während ein einzelner Trojaner sicherlich nicht bedeutet, dass Sie von einem APT angegriffen werden – schließlich haben die meisten von uns wahrscheinlich schon mehrere erlebt, als wir weniger internetaffin waren – könnten mehrere Eintrittspunkte in unterschiedlichen Teilen Ihres Netzwerks ein weiterer Indikator sein .
Unerwartete Datenflüsse und -aggregate
APTs übertragen häufig große Datenmengen innerhalb eines Zielnetzwerks und auch nach außen, damit sie diese stehlen können. Unternehmen müssen auf diese unerwarteten Datenströme achten und ihnen Einhalt gebieten, wenn ihnen etwas Schlimmes auffällt. Diese großen Datenmengen können zwischen Clients, Servern oder Netzwerken übertragen werden und sollten von den Basisdatenübertragungen Ihres Unternehmens unterscheidbar sein .
Wenn Unternehmen diese nicht autorisierten Datenübertragungen bemerken möchten, müssen sie wissen, wie ihre Datenübertragungen unter normalen Umständen aussehen.
Bevor ein APT Daten aus dem Netzwerk Ihres Unternehmens stiehlt, fasst es diese häufig intern zu Paketen zusammen. Sie werden Gigabytes an Daten dort ablegen, wo sie normalerweise nicht sein sollten, um sie auf die Exfiltration vorzubereiten. Wenn Sie diese großen Datenspeicher an seltsamen Orten bemerken, haben Sie möglicherweise ein APT in Ihren Händen.
So schützen Sie sich vor Advanced Persistent Threats (APTs)
Die Abwehr hochentwickelter hartnäckiger Bedrohungen ist so schwierig wie es nur geht. Sie sind gut finanziert, verfügen über hochentwickelte Fähigkeiten, enorme organisatorische Fähigkeiten und die neuesten Tools. Y Sie müssen äußerst gewissenhaft sein, um Ihr Unternehmen vor diesen Bedrohungen zu schützen.
Wie bei allen Cybersicherheits-Verteidigungsplänen beginnt der Schutz Ihres Unternehmens vor einem APT mit der Analyse. Sie sollten eine Bestandsaufnahme der Vermögenswerte Ihres Unternehmens, seiner aktuellen Abwehrmaßnahmen, seiner wichtigsten Schwachstellen und der wahrscheinlichsten Ziele vornehmen.
Sie sollten auch frühere APT-Vorfälle untersuchen, insbesondere solche in Ihrer Branche und solche, die auf Organisationen mit ähnlichen Strukturen wie Sie abzielen. Das Verständnis einiger der häufigsten Techniken und Bedrohungen aus der Vergangenheit kann Ihnen dabei helfen, ein geeigneteres Verteidigungssystem für die Zukunft zu finden.
Sobald Sie eine Bestandsaufnahme der aktuellen Situation Ihres Unternehmens und der wahrscheinlichsten Bedrohungen gemacht haben, können Sie mit der Umsetzung eines umfassenden Plans zum Schutz vor diesen Bedrohungen beginnen. Viele der grundlegendsten Cybersicherheitskonzepte sind immer noch von entscheidender Bedeutung für die Abwehr dieser Angriffe.
So verteidigen Sie sich gegen APTs:
- Aktualisieren Sie die gesamte Software so schnell wie möglich .
- Implementieren Sie überall die Zwei-Faktor-Authentifizierung . Physische Token und Authentifizierungs-Apps sind viel sicherer als die SMS-Verifizierung.
- Nutzen Sie bei der Einrichtung des Mitarbeiterzugangs das Prinzip der geringsten Rechte . Gewähren Sie ihnen nur den Zugriff auf die Ressourcen, die sie tatsächlich für ihre täglichen Aufgaben benötigen, und nicht mehr. Erhöhen oder verringern Sie ihren Zugriff, wenn sich ihre Rollen ändern, und entziehen Sie Auftragnehmern und ehemaligen Mitarbeitern den Zugriff, sobald er nicht mehr erforderlich ist.
- Durchsetzen Sie stark und einzigartig Passwörter für jedes Konto Ihres Mitarbeiters . Passwort-Manager sind wahrscheinlich die beste Möglichkeit für Ihre Mitarbeiter, sicher den Überblick über alle zu behalten.
- Implementieren Sie Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme .
- Konfigurieren Sie Ihre Firewall sicher.
- Führen Sie geeignete Antivirenlösungen aus.
- Bewahren Sie sichere Datensicherungen außerhalb des Standorts auf.
- Verwenden Sie ein Protokollierungssystem, das Warnungen sendet, wenn es verdächtige Ereignisse erkennt Verhalten.
- Informieren Sie Ihre Mitarbeiter über die größten Bedrohungen und ihre Rolle bei der Abwehr dieser Bedrohungen. Eine der wichtigsten Maßnahmen besteht darin, sie gegen Social-Engineering-Angriffe zu schulen, einschließlich der fortgeschrittenen Phishing-Betrügereien, die wir im vorherigen Abschnitt erwähnt haben.
Diese Grundlagen tragen wesentlich dazu bei, Ihr Unternehmen vor weniger komplexen Bedrohungen zu schützen, und sie werden APTs sicherlich behindern. Sie reichen jedoch nicht aus, um Sie vollständig vor solch fortgeschrittenen Angriffen zu schützen.
APTs verfügen über starke OPSec-Fähigkeiten und neben Techniken wie bisher unbekannten Formen von Malware und Zero-Day-Exploits kann es unglaublich schwierig sein, diese Bedrohungsakteure zu erkennen und zu stoppen.
Der Datenverkehr zwischen ihrer Malware und dem Command-and-Control-Server bleibt jedoch tendenziell konsistent. Dies bedeutet, dass eine der besten Möglichkeiten, APTs zu fangen und sich gegen sie zu verteidigen, die Netzwerkerkennung ist. Die Erfassung der Netzwerkindikatoren von APTs erfordert vorherige Bedrohungsinformationen, aber durch die Extrapolation der Merkmale und Methoden bekannter Bedrohungsakteure kann dies auch zum Schutz vor unbekannten Bedrohungen beitragen.
Minimierung der Breakout-Zeit
Letztendlich möchten Unternehmen in der Lage sein, APTs so schnell wie möglich zu erkennen. Je länger sie andauern, desto mehr Schaden können sie anrichten und desto höher wird der Angriff letztlich Ihr Unternehmen kosten. Die Zeitspanne zwischen dem Eindringen eines Angreifers in das Netzwerk und dem Stoppen eines Angriffs wird als bezeichnet Ausbruchszeit .
Sobald die APT eingedrungen ist, bewegt sie sich seitwärts und weitet ihre Privilegien aus, bis sie ihr Ziel erreicht, sodass jeder Moment entscheidend ist. Wenn Ihr Unternehmen sich vor APTs schützen möchte, muss es die Ausbruchszeit so weit wie möglich begrenzen.
Das bedeutet, dass Systeme zur Frühwarnung vorhanden sein müssen, wie zum Beispiel die oben erwähnte Netzwerkerkennung, und eine Reihe anderer Überwachungstools. Es braucht hochqualifizierte und koordinierte Teams, die Bedrohungen schnell untersuchen und darauf reagieren können, sobald sie erkannt werden.
Obwohl es für Ihr Unternehmen unmöglich ist, zu 100 Prozent vor APTs zu schützen, tragen umfassende Sicherheitspraktiken, fortschrittliche Erkennungsmethoden und ein Team zur schnellen Reaktion auf Bedrohungen wesentlich zur Risikominderung bei.