{"id":5577,"date":"2023-05-10T05:54:00","date_gmt":"2023-05-10T05:54:00","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/deep-dive-into-advanced-persistent-threats\/"},"modified":"2024-12-13T10:39:08","modified_gmt":"2024-12-13T10:39:08","slug":"tiefer-einblick-in-advanced-persistent-threats","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/tiefer-einblick-in-advanced-persistent-threats\/","title":{"rendered":"Ein tiefer Einblick in Advanced Persistent Threats (APT)"},"content":{"rendered":"

M\u00f6glicherweise haben Sie schon einmal etwas von Advanced Persistent Threats (APT) geh\u00f6rt, z. B. im Zusammenhang mit dem Angriff auf die Lieferkette von SolarWinds. Was aber sind fortgeschrittene anhaltende Bedrohungen? Wie unterscheiden sie sich von anderen Cyberangriffen?<\/p>\n

<\/p>\n

Was ist ein APT-Angriff?<\/h2>\n

Eine fortgeschrittene, anhaltende Bedrohung (Advanced Persistent Threat, APT) ist ein Cyberangriff, bei dem der Angreifer \u00fcber einen l\u00e4ngeren Zeitraum unentdeckt in einem kompromittierten Netzwerk operiert, nachdem er sich unbefugt Zugang verschafft hat.<\/p>\n

APT-Angriffe setzen hochentwickelte Tools und Techniken ein, um nicht entdeckt zu werden, Anmeldeinformationen zu stehlen und sich durch das Netzwerk zu bewegen, um an hochrangige Werte zu gelangen. Diese Tools und Techniken erfordern ein erhebliches finanzielles und personelles Kapital, um sie zu erwerben oder zu entwickeln. Deshalb sind APT-Angriffe so konzipiert, dass sie sich auf die schlechtesten Netzwerkverteidigungen fokussieren, die wichtige Organisationen und ihre Assets sch\u00fctzen. Bei diesen Organisationen handelt es sich in der Regel um staatliche Stellen, kritische Infrastrukturen und Gro\u00dfunternehmen. Ziel ist es, sensible Daten wie Staatsgeheimnisse und geistiges Eigentum zu stehlen, langfristige Cyberspionage zu betreiben oder die gesellschaftliche Stabilit\u00e4t zu st\u00f6ren und die nationale Sicherheit zu gef\u00e4hrden. Die Merkmale eines APT-Angriffs bedeuten, dass nur Nationalstaaten und staatlich unterst\u00fctzte Organisationen \u00fcber die Ressourcen und die Absicht verf\u00fcgen, APT-Angriffe auszuf\u00fchren. In der Tat werden die meisten APT-Angriffe verschiedenen Regierungen weltweit zugeschrieben.<\/p>\n

APT-Angriffstrends, die Aufmerksamkeit verdienen<\/h2>\n

W\u00e4hrend APT-Angriffe urspr\u00fcnglich auf hochrangige Unternehmen abzielen, haben sich in den letzten Jahren mehrere wichtige Trends herauskristallisiert, die darauf hindeuten, dass kleinere Organisationen oder unkonventionelle APT-Ziele nicht mehr vor APT-Angriffen sicher sind.<\/p>\n

Angriffe auf die Lieferketten<\/h3>\n

Der Fortschritt von Cybersicherheitstechnologien erh\u00f6hen die Schwierigkeit und die Kosten der Durchf\u00fchrung eines APT-Angriffs immer mehr. Infolgedessen beginnen nationalstaatliche und staatlich gesponserte APT-Bedrohungsakteure, nicht-konventionelle APT-Ziele wie kleinere Unternehmen ins Visier zu nehmen, die Zugang zum Netzwerk des eigentlichen Ziels haben. Indem sie ein kleineres Unternehmen mit schw\u00e4cherer Verteidigung kompromittieren, haben APT-Angreifer eine effizientere M\u00f6glichkeit, in das Netzwerk ihres eigentlichen Ziels einzudringen. Das bedeutet, dass kleinere Organisationen, die bisher als unwahrscheinliche Ziele galten, nicht mehr vor einem APT-Angriff gefeit sind.<\/p>\n

Ransomware-Angriffe<\/h3>\n

Nicht staatlich unterst\u00fctzte Bedrohungsakteure setzen zunehmend APT-\u00e4hnliche Taktiken, Techniken und Verfahren (TTPs) ein, um einen finanziellen Gewinn zu erwirtschaften und Massenst\u00f6rungen zu verursachen. Insbesondere Ransomware-Banden nutzen diese Tools und Techniken, um Daten sowohl zu verschl\u00fcsseln, als auch zu stehlen. Diese Form der doppelten Erpressung erm\u00f6glicht es den Angreifern, von ihren Opfern ein h\u00f6heres L\u00f6segeld zu verlangen. Die st\u00e4ndig steigenden L\u00f6segeldforderungen bei Ransomware-Angriffen<\/a> spiegeln diesen beunruhigenden Trend wider.<\/p>\n

APT Angriffsstadien
\n<\/strong><\/h2>\n

Ein APT-Angriff umfasst mehrere Phasen, die Angreifer durchlaufen m\u00fcssen, um ihre Ziele zu erreichen. Im folgenden Abschnitt werden die typischen Phasen eines APT-Angriffs beschrieben.<\/p>\n

\"Advanced_persistent_threat_lifecycle\"<\/p>\n

Bildquelle: Wikipedia<\/a><\/u><\/p>\n

Phase 1: Zielauswahl und externe Erkundung
\n<\/strong><\/h3>\n

Ein APT-Angriff beginnt immer mit der Identifizierung von Zielen, die den Zielen des Angreifers entsprechen. Sobald ein Ziel ausgew\u00e4hlt wurde, f\u00fchren die Angreifer eine Erkundung des Ziels durch, um potenzielle Einstiegspunkte (Angriffsvektoren) zu entdecken und so viele Informationen wie m\u00f6glich \u00fcber das Ziel zu sammeln.<\/p>\n

Phase 2: Erster Zugang
\n<\/strong><\/h3>\n

Nach gr\u00fcndlicher Vorbereitung versucht der Angreifer, sich durch Ausnutzung eines oder mehrerer praktikabler Angriffsvektoren unbefugten Zugang zum Netzwerk des Ziels zu verschaffen.
\nEine der h\u00e4ufigsten Methoden, um das zu erreichen, sind hochgradig betr\u00fcgerische Social-Engineering-Techniken wie Spear-Phishing-E-Mails. Diese E-Mails sind geschickt so gestaltet, dass sie authentisch erscheinen und die Empf\u00e4nger dazu verleiten, auf eine URL zu klicken, die daraufhin eine b\u00f6sartige Datei herunterl\u00e4dt. APT-Gruppen sind auch sehr geschickt darin, bekannte und unbekannte 0-Day-Schwachstellen in Systemtools, Diensten, Software und Hardware auszunutzen, um sich einen ersten Zugang zu verschaffen. Auch das Eindringen in das Netzwerk durch einen Angriff auf die Lieferkette gewinnt angesichts der j\u00fcngsten aufsehenerregenden Angriffe zunehmend an Bedeutung.<\/p>\n

Phase 3: Ausf\u00fchrung von Malware<\/strong><\/h3>\n

Nachdem er sich Zugang zum Netzwerk des Opfers verschafft hat, f\u00fchrt der Angreifer die erste Malware-Nutzlast auf dem kompromittierten Rechner (Patient Null) aus. Diese anf\u00e4ngliche Malware-Nutzlast wird verwendet, um eine Vielzahl von weitergehenden Zielen zu erreichen, wie z. B. interne Aufkl\u00e4rung, Umgehung der Verteidigung und Befehls- und Kontrollkommunikation.<\/p>\n