Erläutert: Advanced Persistent Threat (APT)

    Pieter ArntzPieter Arntz
    vor 5 Jahren

Eine Advanced Persistent Threat (APT) ist ein länger andauernder, gezielter Angriff auf ein bestimmtes Ziel mit der Absicht, dessen System zu kompromittieren und Informationen von oder über dieses Ziel zu erlangen.

Das Ziel kann eine Person, eine Organisation oder ein Unternehmen sein. Als man diese Bedrohungen nannte, waren die Ziele Regierungen und militärische Organisationen. Das Wort Bedrohung bedeutet nicht, dass es sich nur um eine Art von Malware handelt, denn ein APT besteht in der Regel aus mehreren verschiedenen Angriffen.

Viele Sicherheitsexperten sehen einen Angriff nur dann als APT an, wenn er von einer Regierung (Behörde) oder einer ähnlichen Organisation initiiert wird. In Anbetracht der benötigten Ressourcen und Geduld macht dies sicherlich Sinn.

Was bedeutet das nun in der aktuellen Bedrohungslandschaft?

Die Bedrohungsakteure verwenden verschiedene „Werkzeuge“ und Methoden, um Fuß zu fassen und den Einbruch auszuweiten, wenn sie einmal drin sind. Wenn es darum geht, Informationen zu stehlen, besteht ein wichtiger Teil der Aufgabe darin, den Einbruch geheim zu halten. Das liegt daran, dass die gestohlenen Informationen oft sehr schnell ihren Wert verlieren, sobald das Objekt des Einbruchs von der Situation weiß.

Es ist natürlich auch wichtig, die Identität der Angreifer zu verbergen, da die APT-Attribution zu einigen Konflikten in der realen Welt führen könnte. Die Angreifer werden also ihre Spuren verwischen wollen. Es ist nicht unüblich, dass bei dieser Art von Operationen ungepatchte Schwachstellen (Zero-Days) verwendet werden.

logo

Stadien einer fortgeschrittenen persistenten Bedrohung

Nicht alle der unten aufgeführten Stadien werden in jeder Situation notwendig sein, und je nach Ziel und den Informationen, auf die die Angreifer aus sind, können die Aufgaben in der Liste in Bezug auf Zeit und Aufwand sehr unterschiedlich sein. Diese können von Fall zu Fall sehr unterschiedlich sein.

  • Lernen Sie das Ziel kennen. Das kann von der Feststellung, ob es etwas zu stehlen gibt, bis hin zur Erstellung einer Liste von Mitarbeitern oder besser noch verärgerten Ex-Mitarbeitern reichen. Finden Sie heraus, was die Zielpersonen interessiert, damit Sie diese Informationen nutzen können. in oder Spear-Phishing-Angriffe.
  • Ein Einstieg finden. Dies beinhaltet in der Regel Social-Engineering-Techniken wie Spear-Phishing und Watering Holes, um angepasste Malware zu liefern.
  • Einen Einstieg finden. Bringen Sie ein Ziel dazu, die Malware auf seinem System auszuführen, das sich im Netzwerk des Ziels befindet.
  • Sorgfältige Ausweitung der Reichweite vom geschaffenen Stützpunkt. Zum Beispiel Aufklären des Netzwerks von einem infizierten Computer aus. Dazu gehört es, Malware und andere Tools auf dem kompromittierten System zu platzieren und zu verstecken.
  • Finden und stehlen Sie die gesuchten oder andere wertvolle Informationen. Dazu kann es notwendig sein, die Privilegien des kompromittierten Ssytems im Netzwerk zu erhöhen.
  • Wenn ein fester Griff auf das Netzwerk etabliert ist, kann es notwendig sein, die Einstiegspunkte im Netzwerk zu verschieben oder zu erweitern, so dass ein dauerhafterer Zugriff auf die Informationen gesichert ist. Wenn keine Notwendigkeit für eine permanente Überwachung besteht, werden die Tools meist entfernt, um die Spuren zu verwischen. Manchmal wird auch eine Backdoor zurückgelassen, um eine Rückkehr zu erleichtern.

Stöhnen der Sicherheitsexperten

Der Grund, warum Sicherheitsforscher aufstöhnen, wenn sie den Begriff APT hören, ist die Tatsache, dass einige Leute dazu neigen, ihn in Fällen zu verwenden, in denen die Bedrohung nicht den Anforderungen entspricht, die wir in unserer Definition angegeben haben.

Anscheinend klingt es weniger schlimm, wenn man erklärt, dass man von etwas „Fortgeschrittenem“ angegriffen wurde und nicht von irgendeiner Malware, die schon vor Monaten hätte entdeckt werden müssen.

Ein Wurm, der nur Computer angreift, auf denen eine bestimmte Art von Software läuft, die fast ausschließlich in Krankenhäusern eingesetzt wird, ist zum Beispiel keine APT. Er zielt auf eine Art von Organisationen und nicht auf eine bestimmte Organisation.

Zusammenfassung

Dieser Artikel erklärt, dass Advanced Persistent Threats spezialisierte und lang andauernde Angriffe sind, die auf bestimmte Ziele abzielen. Sie werden in der Regel von Nationen oder sehr großen Organisationen gesponsert.

Links

Cyberkriminelle und ihre APT- und AVT-Techniken

Kill chain

Pieter Arntz

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.