Ein Begriff macht seit circa zwei Jahren im Sicherheitsumfeld Karriere: Advanced Persistent Threats (APTs). Dahinter verbergen sich aufwändig organisierte Cyberangriffe, die sich gezielt gegen bestimmte Unternehmen beziehungsweise Organisationen oder auch gegen Branchen richten. Hinter APTs stehen in der Regel große professionelle Organisationen und sogar Staaten.
Advanced Persistent Threats verfolgen häufig das Ziel Wirtschaftsspionage. Aber auch der größte Bankraub in der Geschichte, ausgeführt von der Carbanak-Gruppe, folgt den Regeln eines typischen APTs. Advanced steht für hoch komplexe Attacken, die sich aus verschiedenen Angriffs-Vektoren zusammensetzen. Im Carbanak-Fall gelangten die Angreifer unter anderem via Spear Phishing in die Netzwerke von über hundert Finanzinstituten. Dann manipulierten sie Geldautomaten oder Online-Banking-Systeme oder drangen gar bis in die Kernbankensysteme vor. Persistent steht für die lange Dauer eines APTs. Vom "Erstkontakt" bis zum tatsächlichen Cyber-Bankraub vergingen bei den Carbanak-Attacken meist 2 bis 4 Monate. Die Täter beobachteten über einen längeren Zeitraum die Arbeitsweise der Mitarbeiter und ahmten sie teilweise nach. Threat bedeutet, dass durch den Angriff ein erheblicher Schaden entsteht. Bei den "Carbanak"-Überfällen wurden pro Bankraub im Schnitt zehn Millionen Euro erbeutet.
- Der Versuchsaufbau
Wieviel Spam kann ein Botnetz versenden? Security-Anbieter SophosLabs ging dieser Frage nach und konfigurierte einen speziellen, mit einer Malware infizierten Honeypot, der Spamming-Befehle entgegen nahm und Spam versendete (natürlich über einen Sackgassen-Server, sodass nicht tatsächlich eine Spamwelle entstand). Die Zahlen sind erschreckend. - 5,5 Millionen E-Mail-Adressen...
... wurden mithilfe eines einzigen Rechners, der mit Malware infiziert war, innerhalb von nur einer Woche gespammt. - 30 Gigabyte ausgehende E-Mails...
... konnten über diesen einen Rechner in einer Woche verschickt werden. Der Wert basiert zudem laut Sophos auf einem durchschnittlichen Datendurchsatz von 400 KB pro Sekunde - weniger als die Hälfte der Upload-Bandbreite einer regulären ADSL-Verbindung. In der Realität kann die Datenmenge also noch um einiges höher ausfallen. - 720.286 individuelle Spam-Nachrichten...
... konnten erstellt und versandt werden. Hier stimmten also zumindest die Ansprache des Empfängers mit seinem richtigen Namen. Abhängig davon, wo bestimmte E-Mail-Adressen abgegriffen wurden, kann zudem der Kontext der E-Mail ebenfalls noch auf die Interessen des Empfängers abgestimmt sein. - 26 Prozent der Spam-Mails...
... beinhalteten eine weitere Malware - insgesamt elf verschiedene Typen von Schädlingen, die den Spam-Empfänger beglückten. Durch Öffnen einer Anlage oder Aufsuchen eines Links hätte sich diese Malware rasend schnell einnisten und weiterverbreiten können. - 3771 verschiedene URL-Kurzversionen...
... kamen zum Einsatz. Gefälschte Absender, Links innerhalb der E-Mail: Wichtig ist aber immer, dass die Adressen echt aussehen, den Spam-Empfänger zum bedenkenlosen Klicken bringen und schlecht bis gar nicht nachverfolgbar sind.
Die Angreifer sind überall: "Assume Compromise"
Das Beispiel zeigt: Professionelle APT-Angreifer umgehen klassische technische Schutzmaßnahmen wie Virenscanner und Firewalls sehr geschickt. Sie nutzen unter anderem den Menschen als Einflugschneise für Malware. Und sie schaffen es, sich über lange Zeiträume unbemerkt in einem Unternehmensnetz zu bewegen - laut aktuellem Mandiant Threat Report waren APT-Angreifer im Jahr 2014 durchschnittlich 205 Tage in infiltrierten Netzen unterwegs. Dort stehlen sie häufig wertvolle Informationen oder - wie bei Carbanak - auch Geld. Sie verwischen geschickt ihre Spuren. Gerade innovative Unternehmen aus dem Technologie-Sektor, aber auch aus der Finanzindustrie oder dem (Online-) Handel sollten deshalb davon ausgehen, dass sie bereits kompromittiert sind, weil die ersten "Verteidigungslinien" den professionellen Angriffen oft nicht standhalten.
Das liegt unter anderem daran, dass die Eindringlinge sehr gerne Administratoren-Tools nutzen, die von klassischen Anti-Virus-Systemen nicht erkannt werden (PUA = possibly unwanted application) oder sich über reguläre Verbindungen in das Unternehmensnetz einwählen - wenn auch zu ungewöhnlichen Zeiten. Ist das erste System kompromittiert, arbeiten sich die APT-Angreifer kontinuierlich weiter durch die IT-Landschaft, um möglichst schnell an Administrationsrechte zu gelangen. Zudem installieren sie Hintertüren, damit sie, bei Entdeckung, jederzeit wieder in das System eindringen können. Die Angreifer fokussieren dabei nicht nur auf Daten aus Forschung & Entwicklung. Auch Kunden-Datenbanken oder Prozessbeschreibungen stellen für viele Unternehmen geschäftskritische Daten dar. Diese Informationen transportieren die Cyber-Spione dann meist unbemerkt in kleinen, verschlüsselten Paketen über verschiedene Systeme.
APT-Abwehr mit der Defense-in-Depth-Strategie
Wie können sich Unternehmen gegen diese professionellen Cyber-Attacken wehren? Die technischen "Basics" wie Anti-Virus-Systeme und Next Generation Firewalls sind für eine effektive APT-Detection nach wie vor unverzichtbar, reichen aber bei weitem nicht mehr aus. Unternehmen sollten eine mehrschichtige Abwehrstrategie nach dem Defense-in-Depth-Ansatz anstreben.
Eine solche Abwehr-Strategie stützt sich auf folgende Säulen:
Steigerung der Widerstandsfähigkeit (APT Resilience)
Früherkennung von Angriffen (APT Detection)
Effiziente Reaktion (Incident Response)
Der Aufbau der Verteidigungslinien ist dabei vergleichbar mit den Schotten bei einem Schiff: Läuft eine voll, bleiben die anderen davon unbehelligt. Sind die Eindringlinge trotz aller Sicherheitsmaßnahem in das Unternehmensnetz eingedrungen, können sie sich zumindest nicht ungehindert ausbreiten.
Ganzheitlicher Ansatz: Menschen, Prozesse und Technologie
Ein entscheidender Aspekt der Defense-in-Depth-Strategie ist, dass sie neben technischen Maßnahmen auch die Mitarbeiter sowie die Unternehmensprozesse einbezieht. Zu den präventiven Maßnahmen einer APT-Abwehr zählen beispielsweise folgende Komponenten:
Physische Sicherheit: bezieht sich auf Gebäude und Rechenzentren.
Menschen: Sensibilisierung von IT-Administratoren, dem Management und normalen Anwendern bezüglich Informationssicherheit.
Perimeter: UTM-Firewall (auch bekannt als "Next Genration" Firewalls).
Netz: Netzwerksegmentierung und Zugangskontrolle.
Systeme:Hardening / Patching, Malware Protection, Vulnerability Scans.
Identität & Zugriff: (Privileged) Identity Management, Rollenbasierte Zugriffsrechte.
Anwendungen: Sichere Applikations-Entwicklung (SD3, Threat Modelling, etc.), Vulnerability Management.
Informationen - insbesondere Schutz der Kronjuwelen: Informationsklassifizierung / Rights Management.
- 1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen. - 2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden. - 3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet. - 4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten. - 5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen. - 6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen. - 7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor. - 8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen. - 9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden. - 10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.
Damit diese Komponenten im Ernstfall ineinandergreifen und funktionieren, gehören regelmäßige Audits, Assessments und Notfallübungen zum Pflichtprogramm.
Da es APT-Angreifer in der Regel schaffen, eine dieser Schichten zu überwinden, ist es entscheidend, die Eindringlinge so schnell wie möglich zu finden. Diese Detection- und Monitoring-Aufgaben übernehmen Security Information und Event Management Systeme (SIEM) beziehungsweise Intrusion-Detection- / Intrusion-Prevention-Systemen (IDS / IPS). Besteht der Verdacht, dass das Unternehmensnetz bereits kompromittiert ist, ist ein APT-Scanner ein geeignetes Analyse-Tool. Bestätigt sich der Verdacht eines APT-Angriffs, sind eine intensive forensische Analyse sowie die anschließende Bereinigung aller betroffener Systeme (Remediation) unumgänglich.
Im nächsten Teil unserer APT-Serie erfahren Sie mehr zum Faktor Mensch in einer Defense-in-Depth-Strategie. Im Fokus steht, wie sich Mitarbeiter und insbesondere Administratoren in Bezug auf Informationssicherheit sensibilisieren lassen. (bw)