Offensive Services

APT – Definition und Erklärung von Advanced Persistent Threat!

Aktualisiert am

Advanced Persistant Threats (APT) sind der Feind eines jeden Unternehmens. Anders als andere Angriffsarten, wo es meist um Erpressung von Geld oder Sabotage geht, versuchen Angreifer bei einem APT möglichst lange unbemerkt in einem Netzwerk zu agieren. Hier steht die Industriespionage im Vordergrund. Es sollen möglichst viele Informationen gesammelt werden. Generell kann zwischen hauptsächlich drei Schritten bei einem solchen Angriff auf ein Unternehmen unterschieden werden.

Schritt 1: Unbemerkt etablieren

Der wohl schwierigste Schritt aus Sicht des Angreifers ist das Eindringen und Etablieren in einem Unternehmensnetzwerk. Häufig wird hier die Methode des Spear-Phishings oder Social Engineerings verwendet. Beim ersten Schritt verwendet die APT Hackergruppe somit kluges Soziales interagieren mit den Mitarbeitern des Unternehmens, um Sie ggf. per Telefon, Mail oder sogar persönlich vor Ort dazu zu bewegen, eine Datei für Sie zu öffnen oder einen USB-Stick einzustecken.

Der USB-Stick könnte zum Beispiel die „Verträge“ beinhalten, welche für das nächste persönliche Meeting ggf. zur Unterzeichnung kommen sollen. Die Datei oder der USB-Stick enthält Malware, welche zunächst nur den eigenen Computer infiziert. Dieser wird dann ein Ausgangsstützpunkt für die Angreifer, von dem aus eine Hintertür zu den Angreifern etabliert wird.

Schritt 2: APT erweitern

Nachdem sich ein Stützpunkt im Unternehmensnetzwerk geschaffen wurde, wird versucht, diesen möglichst weit zu erweitern. Dies Dient dem Zweck nicht nur die Informationen eines einzelnen Computers zu sammeln, sondern auch das gesamte Unternehmenssystem kontrollieren zu können. Dazu zählt auch das Erlangen von Administratorrechten und knacken von wichtigen Passwörtern. Der Vorgang den APT zu erweitern, kann mehrere Wochen dauern.

APT-Angriff
Das Gefährliche an einem APT-Angriff ist, dass dieser meist erst zu spät entdeckt wird. Schafft es ein Angreifer, sich unbemerkt im Unternehmens-Netzwerk auszubreiten, kann dies enormen Schaden verursachen.

Schritt 3: Sammeln

Nachdem das Administratorpasswort geknackt ist, kann sich die Angreifergruppe frei im Netzwerk bewegen. Nun werden spezielle Ziele gesucht, welche sich zusätzlich für eine Infektion lohnen. Dies kann zum Beispiel der Programmierserver mit unveröffentlichtem Code sein.

Dort lassen sich jegliche Informationen über das von dem Unternehmen verwaltete Programm sammeln. Weiter kann gegebenenfalls die Firewall des Unternehmens bearbeitet werden, sodass es einfacher ist, spezielle Daten aus dem Unternehmensnetzwerk zu kopieren. Es ist auch üblich, sich mit den Administratorrechten so viele Zugänge in das Netzwerk zu schaffen wie möglich. Falls einer der Zugänge ausfällt oder entdeckt wird, kann auf ein anderer möglicherweise Unbemerkt zurückgegriffen werden.

Eine APT Bedrohung erkennen

Einen Advanced Persistent Threats zu erkennen ist eine der schwierigsten Entdeckungen, die man in einem IT-Sicherheitskontext finden kann. Meist ist es zum Beispiel schwierig, von normalem Internet-Traffic eines Unternehmens und dem Traffic, welcher einer Angreifergruppe erzeugt wird zu unterscheiden. Ein mögliches Indiz wäre, wenn nach jedem Bauvorgang der vom Unternehmen vermarkteten Software, ein hoher Upload im Netzwerk entsteht. Hier wäre erkennbar, dass jemand die neuste Version der Software bereits vor offiziellem Release auf seinen anderen Ort herunterlädt.

Der höchste Sicherheitsfaktor gegen einen APT vorzugehen liegt darin, die Mitarbeiter zu sensibilisieren und zu schulen. Es sollten keine E-Mails fremder Personen mit Anhängen geöffnet oder fremde USB-Sticks in vernetzte Computer gesteckt werden. Auch sollte ein unangekündigter Mitarbeiter eines fremden Unternehmens keinen Zutritt zu kritischer Infrastruktur gestattet werden.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.