Phasen eines APT-Angriffs
Die ‚Vorbereitungsphasen‘ (Erkundung, Zielidentifizierung, Einholung der Benutzerkontakte etc.) ebnen den Weg für den eigentlichen Angriff. Doch dieser beginnt erst, wenn das APT das beabsichtigte Ziel erreicht – in der Regel einen Endpunkt. Der APT-Angriff selbst setzt sich aus drei Phasen zusammen:
1. Eindringen:
Ausnutzung von Schwachstellen im Betriebssystem und/oder der Anwendung, um das eigentliche APT auf dem Endpunkt installieren zu können. Im Embedded-Bereich ist das eine gravierende Schwachstelle, weil Embedded-Endpunkte oft unter veralteten Betriebssystemen wie Windows XP betrieben werden, die nicht länger mit Sicherheitspatches aktualisiert werden. Derartige ATM- und POS-Terminals sind viel gefährdeter als gewöhnliche PCs.
2. Infizieren:
Installation des eigentlichen APT, üblicherweise als ‚Dropping‘ (‚Abwurf‘) bezeichnet, wohingegen die APT-Komponente (meist mit einem Rootkit-Modul) als ‚Payload‘ (‚Sprengladung‘) bezeichnet wird. Dies ist DAS kritische Stadium, in dem das Angriffsziel beeinträchtigt ist: Das APT gewinnt genug Macht über das Zielsystem, um seine böswillige Aktivität frei auszuführen.
3. APT-Aktivität:
Die beabsichtigte böswillige Aktivität auf dem infizierten und beeinträchtigten Zielsystem (Kommunikation mit dem C&C-Server, Sammeln persönlicher Informationen, Datenlöschung, Löschung des MBR, Verwandlung des Computers in einen Zombie usw.).
Lücke bei der APT-Erkennung Wie APT-Erkennung derzeit erfolgt:
- • Gängige Anti-Malware-Produkte (Client-Anwendungen, Gateways, Sandboxen und Cloud-Dienste) versuchen das Eindringen zu erkennen und verhindern (Phase 1) innerhalb des Kontextes ihres Host-Betriebssystems – Windows.
- • Existierende Anti-APT-Lösungen konzentrieren ihre Detektion auf die tatsächliche Aktivität des APT auf dem bereits infizierten System (Phase 3) durch das Feststellen und Beobachten der Netzwerkaktivität des APT (in der Regel nur ausgehende Daten). Weder verhindern sie die Infizierung, noch können sie die Infektion vor der Netzwerkaktivität erkennen.
Es gibt keine Lösung, die den eigentlichen APT-Infizierungsvorgang erkennt, die gefährlichste und ausschlaggebende Phase eines APT-Angriffs, und deshalb exakt zum Zeitpunkt des Geschehens Alarm schlägt. Daher die APT-Detektionslücke.
APT-Infizierung: Erkennung
Die meisten APT nutzen Low-Level- und Sub-OS-Rootkits, die speziell entwickelt wurden, vom Betriebssystem bzw. jeder in oder auf ihm installierten Sicherheitsanwendung nicht auffindbar zu sein (daher das ‚P‘ für ‚persistent‘, ‚andauernd‘). Um unauffindbar zu sein und sich dennoch ausreichende Kontrolle über lebenswichtige Funktionen des infizierten Betriebssystems zu verschaffen, benötigt ein Rootkit typischerweise zwei Dinge:
1. Selbstinstallation in verborgenen Teilen der Festplatte, auf die das Betriebssystem nicht zugreifen kann (die unpartitionierten Sektoren zwischen den Festplattenpartitionen und der letzte Sektor der Plattte).
2. Dem infizierten Bestriebssystem übergeordnete Sicherheitsrechte (Untergrabung der OS-Bootsequenz, Selbsstart vor dem OS durch Abänderung der ursprünglichen OS-Bootsektoren – MBR, VBR, UEFI).
Diese Grundmerkmale von Rootkits sind tödlich effektiv: weil die zum Eindringen in das Betriebssystem verwendeten Dateiinfektoren häufig polymorph sind, verändern sich Rootkits viel langsamer. Neue Versionen dieser Rootkits tauchen einmal alle 12-18 Monate auf. Da sie so verborgen und unauffindbar sind, besteht wenig Anlass für Veränderungen.
