Ich komme aus dem Bereich und ich interessiere mich für

Insights

Forschungsprojekt APT-Sweeper: Neue Ideen im Kampf gegen gezielte Angriffe

Advanced Persistent Threats (APT) sind Spionage- und Sabotageangriffe gegen ausgewählte Ziele, z. B. in Militär, Politik, Wirtschaft oder Forschung. Da ein großer Aufwand betrieben wird, um den Angriff zu verstecken, erfolgt eine Entdeckung oft erst nach Monaten oder Jahren. Im Forschungsprojekt APT-Sweeper erforschen wir neue Ansätze zur frühzeitigen Erkennung und Abwehr derartiger Angriffe.

Der Einsatz von Computertechnik durchzieht alle Teile unseres Lebens. Sei es beim Austausch über Mail, Facebook, WhatsApp oder Skype mit Freunden, der Entspannung bei Musik und Videos oder dem Beziehen aktueller Informationen aus naher und ferner Welt. Über den Computer kommunizieren wir komfortabel und schnell und teilen auch Privates mit ausgewählten Personen, in der Hoffnung, dass dieses privat bleibt.

Schnelle und vertrauliche Kommunikation ist auch in Wirtschaft, Forschung, Politik, Militär, Finanzwesen und Infrastrukturen nötig. Seien es Verhandlungen zum Klimaschutz, das nächste iDevice, Abwehrsysteme für feindliche Raketen, Interna zur Finanzsituation einer Aktiengesellschaft oder jeglicher Austausch über Internet und Telefon – die Vielfalt, Menge und Qualität derartiger Informationen wecken Begehrlichkeiten und führen zu Spionageaktivitäten. Darüber hinaus ermöglicht eine Infiltration von computerbasierten Steueranlagen in Industrie und Infrastrukturen Sabotageaktionen, um z. B. die Konkurrenz zu ärgern, Firmen zu erpressen oder auch Energieversorgung, Kommunikations- und Transportsysteme des Gegners in Konfliktsituationen effizient lahmzulegen.

Die Hintermänner dieser gezielten Angriffen sind überwiegend Geheimdienste aus aller Welt. Spätestens seit der Snowden-Affäre wissen wir, dass selbst Geheimdienste eigentlich befreundeter Länder deutsche Ziele ausspionieren. Aber auch aus der klassischen Kriminalität kommen verstärkt zielgerichtete Angriffe auf Computersysteme, da sie eine hohe Profitabilität bei geringem Risiko ermöglichen. Die erbeuteten Informationen werden dabei entweder selbst genutzt, z. B. für Erpressungen, oder auf dem Untergrundmarkt weiterverkauft. Außerdem offerieren professionelle Hacker ihre illegalen Dienstleistungen in Untergrundmärkten und man kann davon ausgehen, dass sich auch Geheimdienste dieser Dienste bedienen.

Ablauf eines APT-Angriffs

Ein APT-Angriff lässt sich grob unterteilen in die Vorbereitungsphase, Infektionsphase sowie die Ausbreitungs- und Aktionsphase. Während der Vorbereitungsphase sammelt der Angreifer Informationen zu dem Ziel, um darauf basierend den Angriff so unauffällig und effektiv wie möglich zu gestalten. So beinhalten z. B. typische Spear-Phishing-Mails für das Opfer interessante Inhalte, die von vertrauten Absendern zu kommen scheinen und zu scheinbar vertrauenswürdigen Webseiten verlinken. Mit Wissen über die beim Opfer eingesetzten Sicherheitsmaßnahmen können Mail-Anhänge so gestaltet werden, dass der Angriff unentdeckt bleibt.

In der Infektionsphase transportiert der Angreifer dann die Malware zum Opfer. Typische Wege sind dazu die erwähnten Spear-Phishing-Mails, aber auch Web-basierte Waterholing-Attacken. In diesem Fall sind vom Opfer typischerweise besuchte Webseiten entweder direkt infiziert oder liefern die Malware über gezielte Anzeigen (Malvertising) aus. Daneben gibt es aber noch eine Vielfalt anderer Angriffswege, wie z. B das Ausnutzen von Sicherheitslücken im Web Server, Erpressung, Bestechung oder auch beim Hersteller oder beim Transport mit Malware infizierte Hardware.

Hat die Malware dann den Weg zum Opfer gefunden und dieses erfolgreich und unbemerkt infiziert, so beginnt die eigentliche Aktionsphase. Gesteuert aus der Ferne über Command-and-Control-Kanäle (C&C) breitet sich die Malware im Netz des Opfers aus, infiziert weitere Systeme und sammelt die vom Angreifer gewünschten Daten. Der Datenaustausch erfolgt dabei gezielt unauffällig und geschieht durch Nutzung z. B. von Blogs, Facebook oder Twitter.

Bisherige Verteidigungsstrategien

Klassische Verteidigungstechniken wie Viren-Scanner, Intrusion Detection Systeme (IDS) oder Firewalls werden von APT-Angriffen gezielt unterlaufen. Zwar wird versucht, über vielfältige Technologien die Erkennungsqualität zu verbessern, aber Untersuchungen legen nahe, dass diese von den jeweiligen Herstellern hochgelobten Technologien zur „Advanced Threat Protection“ oftmals auf einfache Weise unterlaufen werden können und die initiale Malware-Infektion Erfolg hat.

Da man davon ausgehen muss, dass zumindest ein Teil der Angriffe erfolgreich ist, wird mit Breach Detection Systems (BDS) versucht, die erfolgreiche Infektion bzw. die Ausbreitung und die Spionage- und Sabotageaktivitäten der Malware zu erkennen, um so den Schaden zumindest zu beschränken. Letztendlich arbeiten BDS in der Hoffnung, dass ein Angreifer irgendwann Fehler macht und sich dabei gegenüber dem normalen Netzwerkverkehr abhebt. Wie schwer die Entdeckung aber in der Praxis ist, zeigt sich daran, dass selbst ein Angriff gegen den Sicherheitsspezialisten Kaspersky dort erst nach vielen Monaten entdeckt wurde – und das eher wegen eines aufmerksamen Mitarbeiters und nicht eines BDS.

Ein wichtiger Bestandteil der Verteidigung ist daher eine gestaffelte Sicherheitsarchitektur, damit unweigerlich auftretende Sicherheitsvorfälle nur beschränkte Auswirkungen haben und z. B. ein erfolgreicher Angriff auf die Vertriebsabteilung nicht bis in die Steuerung von Produktionsanlagen durchschlagen kann. Auch kann der Einsatz strategisch platzierter Fallen hilfreich sein, um einen erfolgreichen Angriff zu erkennen. Dies können zum Beispiel Nutzer-Accounts, Dokumente oder Computer sein, die im Normalfall nicht benutzt werden sollten. Ein Zugriff auf diese Canary Traps deutet dann auf einen erfolgreichen Einbruch hin.

Unsere Ideen in APT-Sweeper? Demnächst im zweiten Teil dieses Artikels.

Über APT-Sweeper: In dem vom Bundesministerium für Bildung und Forschung geförderten Projekt APT-Sweeper erforschen Experten der Firma genua, der Georg-August-Universität Göttingen und der Friedrich-Alexander-Universität Erlangen neue Methoden, um gezielte Angriffe frühzeitig zu entdecken, d. h., bevor sie Schaden anrichten können.

Bildquelle: ©logo3in1, compressor - Fotolia.com