Anmelden


Advanced Persistent Threats: Wenn der Hacker sich hartnäckig im Netzwerk hält APT-Angriffe erkennen und verhindern

Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem System oder Netzwerk verschaffen und sich dort unbemerkt über einen längeren Zeitraum aufhalten. Für Unternehmen ist dies besonders gefährlich, da Cyberkriminelle hierdurch ständigen Zugriff auf sensible Daten haben. Aufgrund ihrer ausgeklügelten Ausweich- und Verschleierungstaktiken entgehen diese Bedrohungen zudem der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Der folgende Beitrag beschreibt, wie Cyberkriminelle bei ihren Angriffen vorgehen, wie Unternehmen Warnzeichen für einen APT-Angriff erkennen können, sowie Best Practices, um das Risiko dieser Bedrohungen einzudämmen.

Wie APTs funktionieren

APTs richten in der Regel keinen Schaden in Unternehmensnetzwerken oder auf lokalen Rechnern an. Stattdessen ist ihr Ziel meist der Datendiebstahl. Dabei nutzen diese Bedrohungen eine Vielzahl von Techniken, um sich zunächst Zugang zu einem Netzwerk zu verschaffen. Angreifer können beispielweise online Malware verbreiten, Geräte direkt physisch mit Schadware infizieren oder Schwachstellen in Systemen ausnutzen, um Zugang zu geschützten Netzwerken zu erhalten.

Diese Angriffe unterscheiden sich von vielen herkömmlichen Bedrohungen, wie Virus- und Malware-Typen, die immer wieder das gleiche Verhalten zeigen und nur für Angriffe auf verschiedene Systeme oder Unternehmen umfunktioniert werden. APTs verfolgen keinen allgemeinen, breit angelegten Ansatz, sondern werden sorgfältig geplant und mit dem Ziel entwickelt, ein bestimmtes Unternehmen anzugreifen und die dortig bestehenden Sicherheitsmaßnahmen zu umgehen.

Oft nutzen Hacker vertrauenswürdige Verbindungen, um einen ersten Zugang zu erhalten. So können Angreifer Anmeldedaten von Mitarbeitern oder Geschäftspartnern missbrauchen, die sie beispielsweise durch Phishing-Attacken oder andere Methoden abgegriffen haben. Hierdurch bleiben sie lange genug unentdeckt, um die Systeme und Daten des Unternehmens auszukundschaften und einen strategischen Angriffsplan für den Datendiebstahl zu entwickeln.

Advanced Malware ist entscheidend für den Erfolg eines APT-Angriffs. Sobald das Netzwerk angegriffen wird, kann sich Advanced Malware vor bestimmten Erkennungssystemen verstecken, im Netzwerk von System zu System navigieren, Daten abgreifen und die Netzwerkaktivitäten überwachen. Die Fähigkeit der Kriminellen, eine Advanced Persistent Threat aus der Ferne zu steuern, ist ebenfalls entscheidend. Dies ermöglicht es Hackern, im gesamten Netzwerk des Unternehmens zu navigieren, um kritische Daten zu identifizieren, sich Zugang zu den gewünschten Informationen zu verschaffen und deren Exfiltrierung zu initiieren.

Warnzeichen für Advanced Persistent Threats

Advanced Persistent Threats sind von Natur aus schwer zu erkennen. Tatsächlich verlassen sich diese Art Angriffe auf ihre Fähigkeit, unentdeckt zu bleiben, um ihr Ziel zu erreichen. Es gibt jedoch einige wichtige Warnzeichen, die darauf hinweisen, dass ein Unternehmen möglicherweise von einem APT-Angriff betroffen ist:

  • Eine Zunahme von Log-Ins außerhalb der Arbeitszeiten oder wenn bestimmte Mitarbeiter normalerweise nicht auf das Netzwerk zugreifen würden.
  • Die Entdeckung weit verbreiteter Backdoor-Trojaner: Backdoor-Trojaner werden häufig von Hackern beim Versuch eines APT-Angriffs verwendet, um sicherzustellen, dass sie ihren Zugang zum Netzwerk behalten, selbst wenn ein Benutzer, dessen Anmeldedaten kompromittiert wurden, den Verstoß entdeckt und seine Anmeldedaten ändert.
  • Große, ungewöhnliche Datenströme: Sicherheitsteams sollten auf große Datenströme von internen Ursprüngen zu internen oder externen Computern achten. Diese Ströme sollten sich von der typischen Basislinie des Unternehmens unterscheiden.
  • Entdeckung ungewöhnlicher Datenbündel: Angreifer, die einen Advanced Persistent Threat-Angriff durchführen, bündeln oft Daten innerhalb des Netzwerks, bevor sie versuchen, die Daten hinauszuschleusen. Diese Datenbündel werden oft dort entdeckt, wo Daten im Unternehmen normalerweise nicht gespeichert werden, und sind manchmal in Archivformaten verpackt, die das Unternehmen normalerweise nicht verwenden würde.
  • Erkennen von Pass-the-Hash-Angriffen: Angriffe, bei denen Passwort-Hashes aus Datenbanken oder dem Speicher gestohlen werden, um neue, authentifizierte Sitzungen zu erstellen, werden nicht immer bei APTs verwendet. Jedoch macht die Entdeckung dieser Angriffe im Netzwerk des Unternehmens in jedem Fall weitere Untersuchungen erforderlich.

Advanced Persistent Threats, die früher vor allem auf hochrangige Organisationen oder Unternehmen mit wertvollen Daten abzielten, sind heute immer häufiger auch bei kleineren Unternehmen zu finden. Da Angreifer immer raffiniertere Angriffsmethoden anwenden, müssen Unternehmen jeder Größe darauf achten, strenge Sicherheitsmaßnahmen zu implementieren, die in der Lage sind, diese Bedrohungen zu erkennen und darauf zu reagieren.

Best Practices gegen Advanced Persistent Threats

Die Ausweich- und Verschleierungstechniken von Advanced Malware machen viele herkömmliche Sicherheitslösungen bei der Erkennung oder Abwehr von APT-Angriffen unwirksam. Deshalb benötigen Sicherheitsteams Lösungen, die eine kontext- und verhaltensbasierte Erkennung einsetzen, um Malware auf der Grundlage ihrer Aktivitäten und nicht anhand von Signaturen zu identifizieren und zu stoppen. Um die Erkennung von APT-Angriffen zu verbessern, sollten Sicherheitsteams auf erhöhte Bedrohungsaktivitäten oder andere Anomalien in Systemen achten. Auf der Endpunktebene sollte auf Warnzeichen eines APT-Angriffs geachtet werden, wie zum Beispiel die Erkundung von Netzwerken, verdächtige Dateiübertragungen und die Kommunikation mit verdächtigen Command-and-Control-Servern.

Moderne Technologien zur Advanced Threat Detection bieten Sandboxing und Monitoring, um APT-Angriffe zu erkennen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird, und kann dadurch gegebenenfalls eine Bedrohung erkennen, bevor sie die Möglichkeit hat, Systeme zu infiltrieren und Schaden anzurichten.

Advanced Malware-Prävention und -Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren (sowohl Infiltrations- als auch Exfiltrationspunkte) konzentrieren, um das Potenzial für eine Infektion und den Diebstahl von Daten zu minimieren. Die Anwendung von Kontrollen an Vektoren wie E-Mail, Internetverbindungen, Dateiübertragungen und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie vor Datenexfiltration im Falle einer erfolgreichen Malware-Infektion, die versucht, die letzten Phasen ihres Angriffs durchzuführen. Als letzte Verteidigungslinie sollten alle sensiblen Datenbestände verschlüsselt und alle Schlüssel sicher aufbewahrt werden. So wird gewährleistet, dass der Schaden gering bleibt, selbst wenn das Netzwerk infiltriert wird und der Vorfall unentdeckt bleibt.

Da Social-Engineering-Angriffe enorm verbreitet sind, sollten Unternehmen ihre Mitarbeiter zudem umfassend und kontinuierlich schulen. Phishing-Angriffe sind eine beliebte Methode für APT-Angriffe. Daher ist es wichtig, dass die Mitarbeiter mit den Taktiken von Angreifern vertraut sind. Mit einem mehrschichtigen Ansatz aus verschiedenen Sicherheitstechnologien sowie geschulten Mitarbeitern kann die Verteidigung gegen APT-Angriffe deutlich gestärkt werden.

Von Tim Bandos, Chief Information Security Officer bei Digital Guardian