Advanced Persistent Threat (APT) – Die gefĂ€hrlichste Art von Cyberangriff.

Advanced Persistent Threat (APT) ist eine Angriffskampagne, bei der ein Eindringling oder ein Team von Eindringlingen eine illegale, langfristige PrĂ€senz in einem Netzwerk aufbaut, um vertrauliche Daten zu schĂŒrfen.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Advanced Persistent Threat Attacks. Was ist APT? | Gridinsoft

Was ist APT?

October 02, 2022

Advanced Persistent Threat, oder APT, ist eine komplexe Cybersicherheitsgefahr, die aus mehreren Elementen besteht und ĂŒber einen langen Zeitraum angewendet wird. Obwohl mehr Ressourcen erforderlich sind, ist die Wirksamkeit von APTs viel höher als bei normaler Malware.

Die Advanced Persistent Threats werden als die gefĂ€hrlichste Gefahr angesehen, deren Erkennung und Abwehr einen enormen Aufwand erfordert. Das Endziel dieses Angriffs – die sensiblen Daten – und die wĂ€hrend des Cyberangriffs berĂŒhrten Mittelpunktelemente mĂŒssen auf höchstem Niveau geschĂŒtzt werden. Cybersicherheitsspezialisten, die die EDR-Lösungen einrichten und dabei unterstĂŒtzen, mĂŒssen alle möglichen Angriffsvektoren vorhersehen.

Ein solcher Angriff erfordert jedoch eine Menge Ressourcen und Arbeit von Seiten der Angreifer. Die drei Hauptphasen der APT-Nutzung – Infiltration, Erweiterung und Extraktion – erfordern viel mehr Aufwand als die „klassischen“ Angriffe. Sie sind es wahrscheinlich wert, aber einige Banden existieren weniger, als ein solcher Angriff dauern kann. Ein Angriff mit Advanced Persistent Threat ist definitiv die Konkurrenz der Profis.

APT-Lebenszyklus
Der Lebenszyklus der Advanced Persistent Threat

Advanced Persistent Threats haben viele Vorteile, die es zu diskutieren gilt. ZunĂ€chst wollen wir den Unterschied zwischen APTs und hĂ€ufigen Cyberangriffen definieren. Fortgeschrittene Bedrohungen sehen vielleicht wie ein noch fortgeschrittenerer Virus aus, aber es handelt sich eher um eine spezielle Operation als um einen gewöhnlichen Angriff. APT-Angriffe stĂŒtzen sich auf viele weitere Programme – sowohl von Gaunern als auch von solchen im angegriffenen System. Sie werden auch manuell ausgefĂŒhrt – im Gegensatz zu Ransomware-Angriffen, die normalerweise automatisiert sind. Das Wort „persistent“ in der Namensgebung bedeutet genau das, was es tun soll – bei solchen Bedrohungen geht es um die langfristige PrĂ€senz im infizierten System. Das Ziel solcher Angriffe sind die wertvollen Daten, und je lĂ€nger der Angriff andauert, desto mehr Daten könnten eingeschmuggelt werden.

Es gibt auch einige Dinge zu beachten. Die VorlĂ€ufer-Malware und Tools zum Erweitern der Malware-PrĂ€senz fĂŒr solche Angriffe sind oft die wie bei einfacheren Angriffen. Wenn Hacker beispielsweise die APT-PrĂ€senz und -AktivitĂ€t in jedem Netzwerkelement feststellen, entscheiden sie sich möglicherweise fĂŒr dieselben Exploits in der Serverarchitektur und in den Benutzeranwendungen. Man muss das Fahrrad nicht neu erfinden, schon gar nicht, wenn es gut lĂ€uft. Eine andere Sache, die Sie sich merken sollten, sind die typischen Ziele der Angriffe mit fortgeschrittenen Bedrohungen. Hacker zielen selten darauf ab, das Lösegeld zu erhalten und wollen manchmal keinen Gewinn. Das endgĂŒltige Ziel kann darin bestehen, kritische Informationen preiszugeben, sie zu löschen oder die Kontrolle ĂŒber die Server/Websites zu ĂŒbernehmen, die auf diesen Servern gehostet werden. Sicher, eine solche Aufgabe kann Monate dauern, aber die APT-Bereitstellung und -Aufbewahrung sind keine 5-Minuten zu Fuß entfernt.

APT-Stadien. Von der Infiltration bis zur Datenextraktion

Wie bereits erwĂ€hnt, haben Angriffe mit Advanced Persistent Threats drei Hauptphasen. WĂ€hrend des Angriffs versuchen Cyberkriminelle, die Malware einzuschleusen, sie nachhaltiger zu machen (d. h. alle möglichen Umgebungen zu infiltrieren) und schließlich mit der Datenextraktion zu beginnen. All diese Phasen erfordern spezifische Software und AnsĂ€tze. Die endgĂŒltige Nutzlast ist jedoch wahrscheinlicher eine HintertĂŒr, ein Trojaner mit Fernzugriff, Spyware oder deren Kombinationen. Um eine relevantere ErklĂ€rung zu haben, werden wir einige Anmerkungen zur wahren Ursache eines Cyberangriffs mit einer fortgeschrittenen Bedrohung machen, der zu Beginn des 2022 stattfand. Nordkoreanische Hacker griffen den russischen diplomatischen Sektor mit Konni RAT an.

Phase 1. Malware-Infiltration

Es gibt Dutzende von Möglichkeiten, Malware in das Unternehmensnetzwerk einzuschleusen. In den letzten zwei Jahren beobachteten Analysten jedoch einen strengen Trend: fast 40 % der Angriffe werden durch RDP-Ausnutzung begangen. Und diese Zahl gilt fĂŒr alle Arten von Cyberangriffen, nicht nur fĂŒr APT-bezogene. Nichtsdestotrotz werden auch andere Methoden - zum Beispiel SQL-Injections und Social Engineering - verwendet gut. In einigen FĂ€llen können Gauner zusĂ€tzlich einen DDoS-Angriff starten, um die Aufmerksamkeit des Personals abzulenken. Systemadministratoren und Cybersicherheitsmeister werden sich bemĂŒhen, das Netzwerk zu schĂŒtzen, wĂ€hrend die Hauptaktion hinter ihrem RĂŒcken stattfindet.

Im Fall der Konni-RAT-Injektion durch die gleichnamige CyberkriminalitĂ€tsbande fĂŒhrten sie keine Ablenkungsmanöver durch. Ihr Ansatz war das enzyklopĂ€dische Beispiel fĂŒr Spear-Phishing. Angreifer tarnten die E-Mail-Nachricht an die russische Botschaft in Indonesien mit der angehĂ€ngten Schaddatei als Neujahrsgruß. Es gelang ihnen, die E-Mail-Adresse zu fĂ€lschen, sodass die Domain wie „@mid.ru“ aussah – anders als das ursprĂŒngliche „@mid.rf“, aber immer noch Ă€hnlich genug, um jemanden zu tĂ€uschen. In Verbindung mit der typischen Entspannung vor den Feiertagen zerstreute das die Aufmerksamkeit der Botschaftsmitarbeiter.

Schritte zum Einschleusen von Malware

Das, was Cyberkriminelle versuchen, in das Zielsystem oder -netzwerk einzuschleusen, ist nicht immer derselbe Virus. Es kann ein Skript sein, das sich mit dem Remote-Server verbindet, um die Payload zu erhalten, oder den schwĂ€cht Sicherheitssystem, bevor die Malware gestartet wird. Eine sogenannte VorlĂ€ufer-Malware kann verwendet werden, um die Phishing-Seite anzuzeigen oder die Mitarbeiter dazu zu bringen, die Malware-Installation zuzulassen. Die ĂŒberwiegende Mehrheit der Hacker versucht jedoch, den menschlichen Faktor zu vermeiden. Doch nicht alle Mitarbeiter sind leichtsinnig genug, zweifelhaftes Verhalten zu ignorieren.

Im Fall des Konni-APT-Angriffs enthielt der oben erwĂ€hnte Anhang (genau das .zip-Archiv) ein Skript, das sich mit dem Befehlsserver verband und es schaffte, das Installationsprogramm fĂŒr die Remote- Trojaner zugreifen. Nach dem Start der Datei ĐżĐŸĐ·ĐŽŃ€Đ°ĐČĐ»Đ”ĐœĐžĐ”.scr betrachteten Botschaftsangestellte das Bild unten, wĂ€hrend die Hauptaktion im Hintergrund stattfand. Ein solches mehrstufiges Schema ist erforderlich, um das Lesen des Protokolls zu verschleiern und alle Pfade zu löschen. Außerdem können solche Zwischenschritte verwendet werden, um die Sicherheitssoftware zu deaktivieren. Wenn das Eindringen verheimlicht und die Payload-Malware heruntergeladen wird, wenden sich Gauner dem zweiten Schritt zu – der Expansion.

Stufe 2. Malware-Erweiterung

Es reicht nie aus, einen einzelnen Computer im Netzwerk zu kompromittieren, selbst wenn es sich um einen DomĂ€nencontroller handelt. Genau, Gauner zielen meist auf den DC oder zumindest auf den Rechner mit Administratorrechten. Wenn sie ihren Virus anfĂ€nglich auf dem Computer mit Benutzerrechten erweitern, versuchen sie, die Rechte zu eskalieren, um ihre Malware als Administrator auszufĂŒhren. Hacker können dies im Profil des Benutzers tun, den sie infiziert haben, oder indem sie ein separates, verstecktes Administratorkonto erstellen. Die Eskalation von Berechtigungen ist keine leichte Aufgabe und erfordert normalerweise die Verwendung von Exploits. Wenn der Angriff jedoch richtig vorbereitet wird, wissen Gauner bereits, welche Exploits sie verwenden mĂŒssen, und haben eine bösartige App, die bereit ist, diese Schwachstelle auszunutzen.

APT-Fortschrittsnetzwerk
APT-Fortschritt im Unternehmensnetzwerk

Durch das Administratorkonto können Gauner die gleichen hochprivilegierten Konten auf anderen GerĂ€ten erstellen und das Netzwerk verwalten. Die Übernahme des DomĂ€nencontrollers ist eine hĂ€ufige Praxis, die jedoch schwieriger durchzufĂŒhren ist. Aus diesem Grund tragen Gauner normalerweise Dinge wie Brute-Force-Dienstprogramme oder Hacktools - sie dienen als Brecheisen, wenn der Picklock versagt. Unhöfliche Instrumente sind leichter zu erkennen - aber normalerweise gelingt es Gaunern, jeden Schutz auf den separaten Computern auf der Stufe der DC-Brute-Force zu deaktivieren.

Die Ausweitung der Malware-PrĂ€senz im Netzwerk hat einen offensichtlichen Grund. Je mehr Computer infiziert sind, desto mehr Daten können Cyberkriminelle abrufen und extrahieren. Diese einfache und lineare Gleichung muss die Richtlinie fĂŒr Systemadministratoren sein. Netzwerk-Clustering, erweiterte Schutzmaßnahmen, permanente Kontrolle – all diese Dinge sind im Umgang mit sensiblen und wertvollen Daten unerlĂ€sslich. Bedrohungsakteure, die es wagen, die Angriffe mit APT zu begehen, verfĂŒgen jedoch wahrscheinlich ĂŒber die Fallback-Varianten. Deshalb ist es besser, eine gut gemachte EDR-Lösung zu haben. Es ist unmöglich, es auszuschalten, ohne den DC zu ĂŒbernehmen, und schwer zu vermeiden - es hĂ€ngt mit der heuristischen Erkennung zusammen, die viel schwerer zu tĂ€uschen ist.

Stufe 3. Datenextraktion

Wie wir bereits erwĂ€hnt haben, APT-Bedrohungen werden nicht nur fĂŒr diesen Anlass als "persistent" bezeichnet. Sie versuchen, so lange wie möglich im Unternehmenssystem zu bleiben und alle potenziell wertvollen Daten zu sammeln. Sie senden die Daten jedoch nicht an ihren Befehlsserver, da sie sie auf dem PC des Opfers finden. Selbst wenn die Sicherheitssoftware deaktiviert ist, bemerken Systemadministratoren möglicherweise mehrere Pakete, die von innerhalb des Netzwerks an eine unbekannte Adresse gesendet werden. Ein solcher Fall wird alle in Alarmbereitschaft versetzen, und die fortgeschrittene Bedrohung wird an diesem Punkt aufgedeckt. Um es leiser zu machen, mĂŒssen Cyberkriminelle einige Tricks anwenden.

Datenextraktion
Die Dritte Angriffsstufe - Datenexfiltration

Bei diesen Tricks kann es darum gehen, eine Tarnung fĂŒr die extrahierten Dateien zu schaffen und die Aufmerksamkeit abzulenken. Gauner entscheiden sich in den meisten FĂ€llen fĂŒr die zweite Variante. Es ist gar nicht so einfach, einen Weg zu finden, den enormen Traffic zu verschleiern. Wie oft versenden Sie die gigabytegroßen Dateien per E-Mail? Das wird Verdacht erregen, obwohl diese E-Mail bis zum Zeitpunkt der Entdeckung erfolgreich zugestellt wird. Die Ablenkungsgauner verwenden normalerweise den DDoS-Angriff oder ein sogenanntes weißes Rauschen - viele sinnlose Befehle oder Anfragen, die die Protokolle verschleiern. Ein solcher Trick kann die Sicherheitslösungen umgehen und den Analysten, die versuchen, herauszufinden, was passiert, eine Menge Kopfschmerzen bereiten.

Wenn sich die APT-Angriffsoperatoren jedoch entscheiden, ihre PrĂ€senz in dem bestimmten Netzwerk einzustellen, können sie sogar die endgĂŒltige Extraktion "wie sie ist" durchfĂŒhren. Dies wĂ€re keine gĂ€ngige Praxis, insbesondere wenn die von diesem Unternehmen erhaltenen Informationen zu einem guten Preis verkauft wĂŒrden. Gauner können dann die Art und Weise, wie sie in das Netzwerk eingeschleust wurden, an ihre Kollegen weiterverkaufen oder es einfach erneut infiltrieren. Aber wenn sie sich entscheiden, in Frankreich Urlaub zu nehmen, können die Dinge noch strenger sein. In einigen FĂ€llen können Gauner Ransomware einsetzen – als SahnehĂ€ubchen auf dem Kuchen.

Wie kann man sein Netzwerk vor APT-Angriffen schĂŒtzen?

Wie Sie den obigen AbsĂ€tzen entnehmen können, sind fortgeschrittene dauerhafte Bedrohungen Ă€ußerst raffiniert und werden von qualifizierten Cyberkriminellen ausgefĂŒhrt. APT-Einsatz und -Konter können mit dem Schachspiel zwischen zwei Großmeistern verglichen werden – beide sind sehr geschickt und haben viele mögliche ZĂŒge. Noch interessanter wird es, wenn sie vielleicht nur ĂŒber die AktivitĂ€ten des anderen raten und einige vorsichtige Schritte ausfĂŒhren, um zu verstehen, was vor sich geht. Trotzdem bedeutet schon das Zuschauen bei diesem Spiel, dass etwas schief gelaufen ist. Dies bedeutet nicht, dass die Sicherheitsmaßnahmen in der Lage sein mĂŒssen, jegliches Eindringen zu verhindern. Aber wenn Sie alles richtig machen, sind Gaunern die HĂ€nde gebunden. Sehen wir uns an, wie Sie Ihr Unternehmensnetzwerk vor Angriffen mit Advanced Persistent Threats schĂŒtzen können.

Beenden Sie den menschlichen Faktor

rĂŒcksichtsloses Personal ist eine der grĂ¶ĂŸten SicherheitslĂŒcken, die nicht beseitigt werden kann. Sie können ihnen zwar beibringen, sicher zu sein und potenziell gefĂ€hrliche Dinge zu vermeiden, aber Sie werden diese Gefahr nie vollstĂ€ndig beseitigen. Von 10 Arbeitern werden neun fleißig und einer kindisch sein. Aus diesem Grund muss neben der Steigerung des Cybersicherheitswissens Ihrer Mitarbeiter die Verringerung des Gesamtschadens ergĂ€nzt werden, der durch menschliche Fehler entstehen kann.

  • ErklĂ€ren Sie die Gefahr von angehĂ€ngten Dateien. Viele Leute denken, dass AnhĂ€nge nicht gefĂ€hrlich sein können, also öffnen sie sie ohne Zweifel. Hacker danken es ihnen - ein großer Teil der Angriffe jeglicher GrĂ¶ĂŸenordnung erfolgt aufgrund dieser falschen Überzeugung.
  • SchĂŒtzen Sie alle engen Stellen. MS Office-Makros und Visual Basic-Skripte können unterschiedliche Codes enthalten. Sie könnten den Downloader oder die gleiche Malware enthalten, wenn sie von außen kommen. Verbieten ihrer AusfĂŒhrung ohne die Erlaubnis des Systemadministrators - um diese Einschleusungswege zu verhindern.
  • Richten Sie die Software-Hygiene ein. Dieser Rat ist hilfreich gegen jede Malware, da BetrĂŒger dieselben Exploits fĂŒr verschiedene Angriffe verwenden. Die Apps regelmĂ€ĂŸig aktualisieren, die Verwendung nicht vertrauenswĂŒrdiger Programme vermeiden und Anwendungen im Auge behalten, die Informationen ĂŒber ihre Benutzer sammeln können - diese RatschlĂ€ge sind grundlegend.
  • Clustern Sie das Netzwerk. Selbst wenn es Hackern gelingt, einen Teil des Netzwerks zu infizieren, wird es nicht weitergehen.
  • Wenden Sie die Verwendung von Benutzerrechten fĂŒr die meisten Benutzer an. Die meisten Apps erfordern heutzutage keine Administratorrechte. Sie werden möglicherweise immer noch manchmal aufgefordert, das Administratorkennwort einzugeben, aber es ist viel einfacher, dies bei Bedarf zu tun, als den Cyberangriff zu lösen.

Technische AnsÀtze gegen APT

Neben den RatschlĂ€gen, die die Mitarbeiter berĂŒhren und hĂ€ufiger vorkommen, gibt es mehrere Dinge, die speziell gegen die APT zu tun sind. Diese Maßnahmen betreffen im Allgemeinen die Netzwerksicherheit und Verkehrskontrolle. Whitelisting und Traffic-Überwachung sind die beiden, auf die Sie am meisten achten mĂŒssen.

Zulassung

Dieses Verfahren bedeutet, dass der Zugriff nur auf bestimmte Websites/IP-Adressen innerhalb des Unternehmensnetzwerks erlaubt wird. Eine solche Einrichtung ist nĂŒtzlich, um zu verhindern, dass sich der Malware-Downloader mit dem externen Server verbindet. Es hat auch einen "friedlicheren" Zweck - die Mitarbeiter davon abzuhalten, verschiedene Standorte zu besuchen, um das Aufschieben zu minimieren. Die getrennte Anwendung dieser Methode ist jedoch nicht zu 100 % effektiv. „Weiße“ Domains können mit der Zeit kompromittiert werden, oder die Verbindung kann durch sichere und legitime Software hergestellt werden. Einige Programme sind möglicherweise immer noch sicher, aber veraltet - das macht sie anfĂ€llig fĂŒr Ausnutzung. BerĂŒcksichtigen Sie all diese Probleme, wenn Sie Ihr Netzwerk einrichten.

VerkehrsĂŒberwachung

WĂ€hrend es beim Whitelisting eher um passiven Schutz geht, ist Traffic Control eher eine aktive Gegenmaßnahme. In erster Linie gilt es, die SchwĂ€chsten zu schĂŒtzen. In Unternehmen sind solche Dinge Webanwendungsserver. Sie sind am stĂ€rksten exponiert, da jeder sie per Design verbinden kann. Daher mĂŒssen Sie zusĂ€tzlich darauf achten, sie mit Firewalls zu schĂŒtzen oder andere Filter, die den SQL- oder RFI-Injection-Angriff verhindern können. DarĂŒber hinaus sind Firewalls sehr nĂŒtzlich, wenn es um die Verkehrskontrolle geht. Diese Tools können die Netzwerkereignisse protokollieren, sodass Sie mögliche Anomalien sehen und analysieren können.