Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Advanced Persistent Threat (APT)

APT-Angriffe sind sehr komplexe, zielgerichtete Angriffe. Hinter der Abkürzung APT verbirgt sich "Advanced Persistent Threat", was im Deutschen mit "fortgeschrittene, andauernde Bedrohung" übersetzt wird. Oftmals werden die Opfer aufgrund politischer Motive ausgewählt und die Angreifenden sind dabei regelmäßig staatlich finanziert.
CSBW Icon Information

Verstehen

Um Zugang zu den Systemen zu erlangen, bedienen sich die Angreifenden aus der vollen Bandbreite der Angriffsvektoren: Zero-Day-Schwachstellen, Spear-Phishing und Social-Engineering sind dabei oft festgestellt worden.

Aufgrund der gesicherten Finanzierung haben die Angreifenden keine Eile und gehen besonnen und kontrolliert vor, sodass sie lange unerkannt bleiben und weitreichenden Schaden verursachen. Auch die Auswahl des Ziels ist keineswegs auf schnelle Erfolge ausgelegt. Vielmehr handelt es sich meist um Nationalstaaten, Behörden und bedeutende Unternehmen, bzw. Teile von deren Lieferkette. Ziel von Angriffen dieser Art sind üblicherweise die Störung von Lieferketten, Spionage sowie Manipulation von Daten und Systemen.

Einmal ins System eingedrungen, werden häufig zusätzliche Zugangsmöglichkeiten etabliert, um auch nach Entdeckung weiter agieren zu können.
CSBW Icon Methode

Vermeiden

Aus der beschriebenen Charakteristik von APT-Angriffen wird deutlich, dass die vollständige Verhinderung solcher Angriffe nicht möglich ist. Eine Kombination aus fortlaufender Sensibilisierung der Mitarbeitenden und ein aktuelles und kontinuierliches Schwachstellenmanagement tragen hier maßgeblich dazu bei, die Einfallstore so klein wie möglich zu halten.

Nicht zu unterschätzen ist die präventive Aufklärung der Führungsebene über die Dimension solcher Angriffe. Nur gut informiert ist es im Notfall möglich, dem Angriff schnell und zielgerichtet zu begegnen.
CSBW Icon Akteure

Erkennen

Das Erkennen von APT-Angriffen gestaltet sich schwierig und aufwändig. Die Angreifenden verwenden viel Energie darauf, möglichst lange unentdeckt zu bleiben. Verschleiernde Maßnahmen, wie das regelmäßige Ändern der Hashwerte von maliziösen Dateien und die Etablierung redundanter Zugriffsmöglichkeiten, sind keine Seltenheit. 

APT-Scanner sind derzeit das Mittel der Wahl, um APT-Angriffen entgegenzutreten. Diese bedienen sich einer Kombination aus Malware-Suche, der Auswertung von Log-Files (Protokolldateien) sowie der Ergebnisse durchgeführter Vulnerability-Scans (Suche nach bekannten Verwundbarkeiten der vorliegenden IT-Systeme). 

Eine beispielhafte Erläuterung: 

Eine von einem Administrator ausgeführte Webshell auf einem Server ist nicht verdächtig. Eine bekannte Sicherheitslücke in einem System bedeutet auch noch nicht, dass diese auch ausgenutzt wurde. 

Aber eine ungewöhnlich hohe Anzahl erfolgloser Anmeldeversuche mitten in der Nacht in Kombination mit einer Webshell auf einem ungepatchten System, sind zusammen genommen sehr starke Hinweise auf einen gezielten Angriff.

Solche forensischen Korrelationen kann ein APT-Scanner leisten und auf diese Weise Indicators of Compromise (IoC, Kompromittierungsindikatoren) aufspüren, die auf eine APT-Attacke hinweisen. 
CSBW Icon Sicherheit

Beheben

Aufgrund ihrer Komplexität gibt es keine simple Lösung zur Bereinigung von betroffenen Systemen. Ein Standardrezept kann es wegen der individuellen Vorgehensweise der Angreifenden nicht geben.

Wenn ein APT-Angriff erkannt wird, ist der Angreifer meist schon Wochen oder Monate im Netzwerk aktiv, hat sich ausgebreitet und unterschiedliche Zugriffsmechanismen und Verschleierungstechniken eingeführt.

 

Das BSI fasst die Situation im Grundschutzbaustein DER2.3 folgendermaßen zusammen:

Üblicherweise wird vor der Bereinigung eines APT-Vorfalls der Angriff über längere Zeit hinweg beobachtet und forensisch analysiert, um so alle Zugangswege sowie die verwendeten Werkzeuge und Methoden zu identifizieren. Bemerken die Angreifenden während dieser Phase, dass sie entdeckt wurden, greifen sie eventuell zu Gegenmaßnahmen. Beispielsweise können sie versuchen, ihre Spuren zu verwischen, oder sie sabotieren noch weitere IT-Systeme. Auch könnten sie den Angriff zunächst abbrechen oder weitere Hintertüren einrichten, um den Angriff später fortzuführen. (Quelle: BSI DER 2.3)

 

Unsere Handlungsoptionen lauten daher wie folgt:

  • Holen Sie sich rechtzeitig externe Unterstützung, die Sie kompetent unterstützt.
  • Handeln Sie ruhig und besonnen. Schnellschüsse, wie ein einzelnes infiziertes System zu bereinigen, kann dazu führen, dass der Angreifer alarmiert wird und ihn zu noch mehr maliziösen Maßnahmen veranlassen oder Spuren zu verwischen.
  • Es sollte immer davon ausgegangen werden, dass das gesamte Netzwerk kompromittiert ist. Somit ist der Aufbau einer neuen Infrastruktur meist anzuraten.

Weiterführende Links

Begriffserklärungen

  • Spear-Phishing ist eine gezielte und extrem bösartige Form eines Phishing-Angriffs. Im Gegensatz zu einer herkömmlichen Phishing-Attacke, bei der die Opfer zufällig ausgewählt werden, wird beim Spear-Phishing ein Opfer gezielt über Wochen und Monate ausspioniert. In diesem Zeitraum werden gezielt Gewohnheiten und Präferenzen (z.B. über Social Media-Accounts) in Erfahrung gebracht. Auf dieser Basis werden personenbezogene maßgeschneiderte E-Mails erstellt.

  • Das Opfer wird durch Manipulation und vorgetäuschte Fakten dazu gebracht, das eigene Passwort preiszugeben. Oft kommen dabei sogenannte Phishing-E-Mails zum Einsatz

  • Eine Zero-Day-Schwachstelle ist ein unentdeckter Fehler in einer Anwendung oder einem Betriebssystem. Es handelt sich um eine Sicherheitslücke, für die es keinen Schutz oder Patch gibt, weil der Softwarehersteller nicht weiß, dass sie existiert – er hatte „null Tage“ Zeit, eine wirksame Reaktion vorzubereiten.

    (Quelle: Was ist eine Zero-Day-Schwachstelle? | Glossar | HPE Deutschland)