Advanced Persistent Threat

Was ist ein Advanced Persistent Threat?

Als Advanced Persistent Threat (APT) bezeichnet man einen Netzwerkangriff, bei dem das Klauen von Daten das vorrangige Ziel ist. Das bedeutet, es wird in der Regel dem System kein direkter Schaden zugefügt. 

Inhaltsverzeichnis

Was ist ein Advanced Persistent Threat?

Ein Advanced Persistent Threat zeichnet sich dadurch aus, dass sich ein Angreifer Zugang zu einem Netzwerk verschafft, um dort Spionage zu betreiben. Er versucht dort hauptsächlich Daten zu Klauen. Diese Art von Angriff erfolgt über einen längeren Zeitraum hinweg und die Angreifer suchen sich sehr gezielt ein Netz oder System aus. Innerhalb des Systems kann sich ein Angreifer dann auch bewegen oder gegebenenfalls ausbreiten. Da die Spionage im Vordergrund steht, wird in den meisten Fällen keine Manipulation vorgenommen, es kann aber dazu kommen. 

Wie funktioniert eine Advanced Persistent Threat Attacke?

Eine Advanced Persistent Attacke ist meist ein gut geplanter Angriff, der viele Schritte beinhaltet. Dies ist der so genannte Advanced Threat Lifecycle. 

1. Vorbereitung 

Zunächst sucht sich ein Angreifer sein Ziel aus, bei dem er Informationen ausspionieren möchte. Bevor er jedoch versucht sich in dem System einzuschleusen sucht er sich Komplizen und bereitet sich technisch auf diesen Angriff vor. Das bedeutet er entwickelt oder besorgt sich entsprechende Programme. Dann wird das Ziel ausgiebig untersucht, um den besten Eintrittspunkt zu finden. In den meisten Fällen passiert dieses Eindringen durch das Anwenden von Phishing oder Social Engineering. 

2. Durchführung 

Nachdem der Angreifer alle notwenigen Informationen gesammelt und den Angriff vorbereitet haben, wird dieser durchgeführt. Dazu versuchen Sie Zugang zu dem System zu erhalten, in dem Sie Phishing oder Social Engineering betreiben. Haben sie das System einmal betreten, etablieren Sie eine Verbindung nach draußen, darüber werden dann die Daten transferiert. Da dieser Angriff in der Regel darauf abzielt so viele Informationen wie möglich zu sammeln, versuchen die Angreifer ihre Position im Netzwerk des Ziels zu festigen. Von dort versuchen Sie so viele Zugänge und Berechtigungen zu erhalten, um möglichst viele  Daten zu erhalten. 

3. Beendigung

Wenn die Angreifer genügend Informationen gesammelt haben, beginnen Sie damit diese Daten aus dem System zu extrahieren. Wenn das geschafft ist, verwischen Sie ihre Spuren und entfernen sich möglichst unbemerkt aus dem Netzwerk. 

Der Zyklus einer APT Attacke

Wer wird angegriffen?

Ziel eines solchen Angriffs sind meistend Unternehmen, die vertrauliche und geschäftskritischen Informationen auf ihren IT-Systemen speichern. Gerade Betriebs- und Geschäftsgeheimnisse, wie Forschungs- und Entwicklungsergebnisse, Verfahern und Entscheidungen sind beliebte Daten, die geklaut werden. Gerade Ministerien und Großunternehmen sind gern gewählte Ziele. Deshalb werden diese Angriff, auch oft von Geheimdiensten verschiedener Länder ausgeführt. Aber auch Kleinunternehmen können Opfer eines solchen Angriffs werden. 

Wie erkennt man einen Advanced Persistent Threat?

Diese Art von Angriff ist sehr aufwändig und da sie darauf aus sind nicht entdeckt zu werden, ist es in der Regel auch sehr schwer diese zu erkennen. Es gibt allerdings fünf mögliche Anzeichen, die auf einen Advanced Persistent Threat deuten.

1. Spear-Phishing

Um sich Zugang zu einem System zu verschaffen, nutzen Angreifer oft Phishing. Dabei werden an die Mitarbeiter E-Mails versendet, die Malware enthalten. Die Mitarbeiter selbst werden dann dazu ermutigt diese Malware auf dem eigenen Computer herunterzuladen. Die E-Mails sind dabei so verfasst, dass die Mitarbeiter dies in der Regel kaum als Phishing erkennen. 

2. Seltsame Anmeldungen

Ein weiterer Weg sich Zugang zu dem System zu verschaffen, sind Anmeldeversuche. Deshalb sollten die Anmeldeversuche im Netzwerk aufgezeichnet und ausgewertet werden. Sind dort Anmeldeversuche, die zu ungewöhnlichen Zeiten oder mehrfach hintereinander von derselben Person durchgeführt werden, ist dies ein Warnzeichen. 

3. Backdoor-Trojaner

Backdoor-Trojaner werden dazu genutzt eine Remote-Verbindung zu einem infizierten Computer aufzubauen. So kann sich ein Angreifer bequem von seinem eigenen Computer auf einen Computer im Zielnetzwerk zugreifen. Sollte ein solcher Trojaner durch ein Virenschutzprogramm identifiziert werden, dann kann dies ein Anzeichen sein. 

4. Verschobene Dateien

Das Hauptziel eines Advanced Persistent Threat ist das Sammeln von Informationen, die er dann aus dem Netzwerk exportiert. Dabei kann es passieren, dass einige Daten nicht mehr an ihrem eigentlichen Speicherort sind. Sollten Dateien oft innerhalb des Netzwerkes verschoben worden sein, ohne dass dies durch eine Person berechtigt wurde, dann kann dies ein Anzeichen für einen APT sein. 

5. Gepackte Daten

Damit die Daten und Informationen möglichst einfach innerhalb des Netzwerkes verschoben werden können, werden sie meist komprimiert.  Sollten große Dateien gepackt an anderen Speicherorten gefunden werden, dann ist es ein Anzeichen dafür, dass ein APT durchgeführt wird. 

Wie kann man sich davor schützen? 

Am wichtigsten ist es, dass ein solcher Angriff präventiv verhindert wird. Generell sollte das eigene System immer auf dem aktuellen Stand sein und Sicherheitslücken sofort geschlossen werden. Sollte allerdings bemerkt werden, dass ein Advanced Persistent Threat vorliegt, dann sollte man so schnell wie möglich handeln. 

1. Prävention

Deshalb sollten alle möglichen Eintrittspunkte geschützt sein. Dazu gehört um Beispiel eine Schulung der Mitarbeiter im Bereich Phishing. Wenn die Mitarbeiter für Phishing sensibilisiert werden, ist die Wahrscheinlichkeit eines erfolgreichen Angriffs verringert. Des Weiteren spielt Social Engineering eine große Rolle. Bei Social Engineering wird der Mensch als Schwachstelle gesehen und versucht ihn so zu manipulieren, dass dieser Informationen preisgibt oder Handlungen durchführt. Da sensible Daten das Hauptziel eines solchen Angriffs sind, sollten diese an möglichst unzugänglichen Orten gespeichert sein und im besten Fall durch Verschlüsselungen geschützt werden. 

2. Reaktion 

Werden zum Beispiel ungewöhnliche Anmeldungen bemerkt, sollte man die entsprechenden Accounts zunächst einmal sperren. Somit unterbindet man die Handlungsmöglichkeit des Angreifer etwas. Danach sollte man sich auf die Suche nach ausgehenden Verbindungen, der Backdoor des Angreifers begeben und diese entfernen. Somit hat der Angreifer keine Möglichkeit die Daten nach außen zu transferieren.

Das Bundesamt für  Sicherheit in der Informationstechnik (BSI) hat dazu noch einige Schutzmaßnahmen und Anleitungen bereitgestellt. 

FAQ

Was ist ein Advanced Persistent Threat (APT)?

Als Advanced Persistent Threat bezeichnet man einen Netzwerkangriff, bei dem das Hauptziel Spionage ist. Dabei verbleibt der Angreifer über einen längeren Zeitraum im Netzwerk. Da hauptsächlich die Spionage im Vordergrund ist, wird bei einem Advanced Persistent Threat das Netzwerk in der Regel nicht direkt angegriffen. 

Wie erkenne ich einen Advanced Persistent Threat?

Es gibt fünf Hauptanzeichen, die einen Advanced Persistent Threat andeuten können. Diese sind

  1. Spear Phishing
  2. Seltsame Anmeldungen
  3. Backdoor-Trojaner
  4. Verschobene Dateien
  5. Gepackte Daten

Um weitere Informationen zu erhalten, lesen Sie hier weiter.

Wie kann ich mich vor einem Advanced Persistent Threat schützen?

Zunächst sollte es erst zu keinem Angriff kommen, weshalb die Prävention am wichtigsten ist. Dazu gehören, das Schulen von Mitarbeitern, das Schützen von sensiblen daten und das ständige Aktualisieren der Systeme. 

Sollte es zu einem APT kommen, dann sollte man zunächst alle wichtigen Daten schützen und die ausgehenden Verbindungen unterbrechen. 

Ähnliche Beiträge
Phishing
Angriffstypen
Was ist Phishing?
Zurück zum Guidebook Beim Phishing wird ein Nutzer so manipuliert, dass er private Informationen...
Read More
Malware
Angriffstypen
Was ist Malware?
Zurück zum Guidebook Als Malware bezeichnet man alle Programme, die einem System Schaden zufügen....
Read More
Advanced Persistent Threat
Angriffstypen
Was ist ein Advanced Persistent Threat?
Zurück zum Guidebook Als Advanced Persistent Threat (APT) bezeichnet man einen Netzwerkangriff, bei dem...
Read More