Strategien zur Abschwächung von Advanced Persistent Threats (APTs)

Teil 4: Gefahr erkannt, Gefahr gebannt: die APT-Detektionsstrategie

Bereits verfügbare Produkte von Kaspersky Lab sind in der Lage, die möglichen Verluste, die Unternehmen aufgrund von Advanced Persistent Threats entstehen können, deutlich zu verringern1. Spezialisierte Sicherheitslösungen, die vor zielgerichteten Attacken warnen, sind eine zusätzliche Schutzschicht in der Abwehr von Organisationen. Solche Warnungen können Sicherheitslösungen für IT-Infrastrukturen nicht ersetzen, die schädlichen APT-Modulen Einhalt gebieten. Die Aufgabe von Anti-APT-Systemen liegt vielmehr in der Kontrolle der IT-Umgebung und in der Weitergabe aller nützlichen Informationen an den Sicherheitsbeauftragten. Dadurch wird der allgemeine mehrschichte Schutz von Unternehmen deutlich verbessert.

In der Umsetzung einer jeden zielgerichteten Attacke können wir die Abfolge gewisser typischer Phasen erkennen. In der überragenden Mehrheit der Fälle werden zudem Standardtechniken angewendet. Diese Hinweise sind der Ausgangspunkt für die rechtzeitige Warnung potentieller Opfer. Meist sind APT nicht aufgrund der Ungewöhnlichkeit ihrer Module so einzigartig. Es handelt sich dabei vielmehr um eine effiziente Kombination typischer Komponenten, die zuverlässig ihren Zweck erfüllen. Fundiertes Wissen über die allgemeinen Arbeits-Prinzipien der Übeltäter trägt wesentlich zur erfolgreichen Abwehr zielgerichteter Attacken bei.

In dem letzten Teil dieser Reihe beschreiben wir Kaspersky Labs Vision einer hochqualifizierten spezialisierten Anti-APT-Sicherheitslösung. Als Beispiel einer zielgerichteten Attacke soll uns eine der derzeit berüchtigtsten APTs dienen, und zwar Dark Hotel2. Diese sorgfältig konstruierte, schwerwiegende Attacke wurde wie so viele andere vorher auch (Careto, NetTraveler, Red October)3 von den Experten bei Kaspersky Lab entdeckt.

Typische APT-Phasen

saapt_de_1

Abbildung 1: APT-Umsetzungsphasen

Eine jede zielgerichtete Attacke beginnt mit Auskundschaftung. In diesem vorbereitenden Stadium verschaffen sich die APT-Autoren Informationen, beispielsweise über wichtige Mitarbeiter des Opferunternehmens, die Zugriff auf die wertvollen Daten haben; darüber, welche Art von E-Mail das Interesse dieser Mitarbeiter erwecken könnte; und wann immer möglich versuchen die Gauner, eine Vorstellung von der IT-Infrastruktur des Opfers zu erhalten etc. In den meisten Fällen wird solche Vorbereitungsarbeit nicht mit Hilfe technischer Mittel durchgeführt, und es ist so gut wie unmöglich, diese Aktivität ausschließlich mit irgendeiner Art von Software festzustellen. Wir sprechen hier vielmehr von Spionageabwehr und der allgemeinen Gesamtqualität der Sicherheitsabteilung.

Auf diese vorbereitenden Schritte folgen unmittelbar die technischen Angriffsphasen. Zunächst muss sich der Angreifer Rechte zur Ausführung von Code innerhalb des Unternehmens verschaffen. In diesem Stadium kommen verstärkt Exploits zum Einsatz. Darunter versteht man einen kleinen Programmcode, der Sicherheitslücken in Betriebssystemen oder in gängiger Software auf den anzugreifenden PCs ausnutzt (to exploit – englisch für „ausnutzen“). Im Erfolgsfall sind die Eindringlinge nun in der Lage, ihren eigenen Code auszuführen, der wiederum die Hauptmodule der Attacke herunterlädt und ausführt.

Im letzten Stadium liegt das Hauptziel der gesamten Attacke: Das heimliche Abgreifen der Unternehmensdaten und das Absenden dieser Daten an die Angreifer. Zu diesem Zweck müssen die APT-Module zunächst im Sicherheitsperimeter des Unternehmens angesiedelt werden. Dabei können ganz unterschiedliche Verbreitungsstrategien zum Einsatz kommen. Einige Autoren von zielgerichteten Attacken versuchen so viele PCs innerhalb des Perimeters zu infizieren wie nur möglich. Sowohl solche, die die ersehnten Daten selbst enthalten, als auch Hilfscomputer, die als Ausgangspunkt für die weitere Verbreitung dienen und einen weiteren Schritt in Richtung der erwünschten Daten bedeuten. Andere Übeltäter versuchen ihre APT-Aktivität auf die unbedingt notwendigen Geräte zu beschränken und auf diese Weise die Wahrscheinlichkeit, entdeckt zu werden, weitestgehend zu verringern.

Schließlich sei gesagt, dass die Entwickler von schädlichen Modulen stets bemüht sind, ihre Software vor Entfernungsversuchen zu schützen. Die Module versuchen zu überleben und es bedarf keiner Wiederholung der ersten Angriffsphasen, um sie wiederherzustellen. Alle oben im Text und in den darunter stehenden Abbildungen beschriebenen Phasen haben ihre jeweiligen Indikatoren und können von spezialisierter Sicherheitssoftware aufgedeckt werden.

Dark Hotel Features

Von den gängigen und verbreiteten Taktiken setzt die Dark Hotel-APT Standard-Spear-Phishing ein. Neben der Wasserloch-Methode ist das der häufigste Beginn einer zielgerichteten Attacke. Der Grund für diese Wahl ist die relative Einfachheit dieser Methode und ihre potentielle Einsetzbarkeit in jedem Unternehmen, in dem die Beschäftigten das Internet und E-Mails nutzen. Komplexe Sicherheitssysteme müssen diese Popularität berücksichtigen und diese Taktiken sowohl auf Endpoint-Ebene als auch während der Filterung des Netzwerk-Traffics unschädlich machen.

Der Einsatz der erwähnten effizienten Standardmethoden hält die Cyberkriminellen nicht davon ab, ihren jeweiligen Attacken einige interessante Features hinzuzufügen. Dark Hotel setzt parallel noch eine eigene, unverwechselbare Infektionstechnik ein, der die APT auch ihren Namen verdankt.

saapt_de_2

Abbildung 2. Dark Hotel, Angriff außerhalb des Sicherheitsperimeters des Unternehmens

Während der vorbereitenden Aufklärungsphase wissen die Angreifer normalerweise schon vorher Bescheid, wann die Gäste mit den gewünschten Informationen im Hotel eintreffen werden. Technisch gesehen ist es die Angreifbarkeit der IT-Infrastruktur des Hotels, die es ihnen ermöglicht, die Angriffe auf den PCs der Gäste in Gang zu setzen. Cyberkriminelle wählen Business-Class-Hotels für diese präzisen zielgerichteten Attacken. Die Operation beginnt auf der Startseite, die jedem Gast im Browser angezeigt wird, der über das Hotel-WLAN online geht.

Im Gegensatz zum Spearphishing und zu Wasserlochattacken macht diese Hotel-Technik ganz klar eine langwierige und sicherlich nicht kostengünstige Vorbereitung in der Aufklärungsphase erforderlich, doch dafür können sich die Funde auf den klar ausgesuchten Opfer-PCs auch als überaus wertvoll erweisen. Ein wichtiger Faktor bei diesem Infektionsszenario ist, dass sich das Opfer außerhalb des Sicherheitsperimeters des Unternehmens befindet. Für einen umfassenden vielschichtigen Schutz vor APTs ist es kritisch wichtig, auch diese Art von Szenario zu berücksichtigen und parallel lokale Sicherheitssysteme auf den Geräten der Mitarbeiter zu installieren. In dem Fall informieren die lokalen Sicherheitsinstallationen die Sicherheitsbeauftragten (Anti-APT-Agent) und unterbinden die Ausführung schädlicher Module (Endpoint-Schutz).

Architektur der Lösung

Die Analyse von Objekten im eingehenden Traffic kostet Zeit. Im Blockiermodus wird der Download von E-Mail-Anhängen und Dateien über http von spezialisierten Anti-APT-Lösungen deutlich verlangsamt. Daher sind wir der Meinung, dass eine solche Lösung im Warnmodus laufen sollte. Der Sicherheitsbeauftragte erhält alle benötigten Daten über seine Managementkonsole. Die Aufgabe einer Anti-APT-Software besteht darin, alle notwendigen Ereignisse aufzuzeichnen und bei der Analyse von Vorfällen zu unterstützen, aber nicht die Ausführung von Programmen zu blockieren. Endpoint-Schutz ist zuständig für das Blockieren von schädlichen Modulen zur rechten Zeit. Kaspersky Lab bietet für Unternehmenskunden für diesen Fall das Produkt Kaspersky Endpoint Security (KES)4 an.

Die korrekte Auswahl der Datenmenge ist von entscheidender Wichtigkeit für den Sicherheitsbeauftragten. Sie muss für die Qualitätsanalyse ausreichend sein, aber andererseits sollten endlose Warnungen vor potentiellen Bedrohungen und unnötige Daten die Arbeit des für die IT-Sicherheit zuständigen Mitarbeiters nicht behindern.

saapt_de_3

Abbildung 3. Umfassende Lösungsarchitektur

Das gesamte Anti-APT-System besteht aus Netzwerksensoren, die für die Analyse des Unternehmens-Traffics verantwortlich sind, sowie für die Zusammenstellung von Metadaten, die den Inhalt dieses Traffics beschreiben, und für das Aussortieren von Objekten für die weitere Untersuchung. Ein statistischer Anomalie-Detektor ist für die heuristische Funktionalität zuständig. Dieses Modul bestimmt, ob es irgendwelche Abweichungen von normalen Mustern im Netzwerktraffic des Unternehmens gibt. Das Sandbox-Modul wiederum analysiert das Verhalten der ausgesonderten Objekte.

Der Sicherheitsbeauftragte sieht die Arbeitsergebnisse aller Anti-APT-Module in der Managementkonsole, die alle Daten aus den Modulen an einem Ort sammelt. Zusätzlich zu dieser zentralisierten Lösung, für deren Bereitstellung mehrere Server benötigt werden, ist die parallele Installation von Anti-APT-Agenten direkt auf den Workstations der Nutzer möglich.

Mit Unterstützung der lokalen Agenten kann die spezialisierte Anti-APT-Lösung Informationen über die Prozesse erhalten, die für das Entstehen des verdächtigen Traffic verantwortlich sind. Dadurch kann der Sicherheitsbeauftragte sehr viel genauer gewarnt werden. Beispielsweise muss er über ungewöhnlichen Traffic im Bilde sein, der von svchost.exe und anderen Systemprozessen ausgeht. Und schließlich ermöglicht die Anti-APT-Lösung es, über die Aktivität der Software informiert zu sein, die nicht vom Netzwerk, sondern von USB-Sticks ausgeht oder auf anderen Wegen auf die PCs gelangt.

Die Präzision einer spezialisierten Anti-APT-Lösung nimmt mit der Nutzung einer Cloud-basierten Wissensdatenbank deutlich zu. Ein derartiges zentralisiertes Repositorium wird gewöhnlich auf Anbieterseite untergebracht und es liefert Reputationen von Dateien, Domainnamen und IP-Adressen. Die Cloud macht es außerdem möglich zielgerichtete Attacken von Masseninfektionen zu unterscheiden, indem Anfragen an zentralisierte Datenbanken über die Einmaligkeit der aufgedeckten verdächtigen Aktivität gestellt werden.

Angriffe über Hotels finden außerhalb des Sicherheitsperimeters des Unternehmens statt und geben uns eine Vorstellung davon, warum eine umfassende Abwehr sowohl eine zentralisierte Anti-APT-Lösung enthält, als auch einen fortschrittlichen lokalen Endpoint-Schutz. Diese zwei Ansätze müssen gemeinsam umgesetzt werden.

Wir sind davon überzeugt, dass nur eine vielschichtige Architektur ein angemessenes Schutzlevel bieten kann. Andere Komponenten dieser Architektur sammeln Daten über Ereignisse an Endpoints, analysieren den Netzwerktraffic unter Verwendung anderer heuristischer Algorithmen und nutzen zudem die Vorzüge der Cloud, um schneller an Daten über neue Bedrohungen zu gelangen und das Malware-Erkennungsniveau zu verbessern. Das ist Teamwork einer spezialisierten Anti-APT.Lösung, die sich auf das Warnen vor Attacken konzentriert, mit einer lokalen Sicherheitslösung, die für die Durchsetzung von Aktionen gegen Schadcode zuständig ist.

Ein gemeinsames Handeln setzt die Installation einer einzelnen, voll ausgestatteten Lösung voraus, die aus Sandbox und Netzwerksensor besteht. Im Gegensatz dazu ist eine Lösung mit vielen Sensoren, die Daten für eine zentralisierte Analyse bereitstellt, weitaus effektiver.

Der erste und wichtigste Vorteil von separaten Sensoren ist das flexiblere Bereitstellungsmodell der Lösung in der IT-Infrastruktur eines Unternehmens. In großen Firmen muss das Abfangen des Traffics an vielen Punkten organisiert werden. Das hat viele Gründe: Die Nutzung von Netzwerkadressübersetzung (NAT), nach der ein Teil der Daten in Netzwerkpaketen verloren ist; die Organisation von Branches mit hohem Autonomielevel; ein Teil des Traffics ist nur in gewissen Netzwerksegmenten verfügbar usw. Die Installation einer kombinierten Lösung (Sandbox plus Netzwerksensor) an jedem benötigten Punkt ist vom finanziellen Standpunkt aus gesehen ineffizient. Viele leichtere Sensoren in jedem benötigten Segment sind sehr viel effektiver.

Folglich werden solche Sensoren auch von vornherein dafür entwickelt, alle Daten in einer einzelnen Managementkonsole zu sammeln. Einige kombinierte Geräte sind dagegen nur auf ihr eigenes Web-Interface ausgerichtet. Tatsache ist, dass bei einem solchen Schema also ein weiteres Gerät für das zentralisierte Sammeln der Daten benötigt wird.

Ein weiteres Argument für die Bereitstellung von vielen Sensoren anstelle eines einzelnen Geräts ist die Menge des Traffics, die durch jedes Gerät läuft. Im Falle von SPAN-Verbindungen (Switch Port Analyzer, eine populäre Spiegel-Methode zur Traffic-Analyse) gibt es keine Bestätigung der Integrität von Netzwerkpaketen. Die Verteilung des Traffics auf viele Geräte schützt vor einer zunehmenden Fehlerzahl bei steigendem Datendurchfluss. Gleichzeitig bleibt die einzelne Managementkonsole für die Kontrolle und Analyse bestehen.

Der Implementierungsphase standhalten

Schauen wir uns einmal an, wie die vielschichtige Anti-APT-Lösung in den verschiedenen Stadien einer zielgerichteten Attacke funktioniert. Bei der Ausbreitung via Spear-Phishing verschicken die Autoren von Dark Hotel entweder E-Mails mit dem Link auf das Exploit für den Internet Explorer oder sie hängen ein Exploit für Adobe-Software an die Mitteilung an. Außerdem gibt es das Angriffsszenario, bei dem Word-Dokumente mit integriertem Flash-Exploit benutzt werden (zum Zeitpunkt der Aufdeckung dieser APT waren es Zero-Days).

Die zweite Einschleusungsmethode besteht darin, die Dark Hotel-Module Archiven auf P2P-Torrent-Netzwerken hinzuzufügen. Der dritte Vektor schließlich wurde oben schon erwähnt, und zwar ist die Infektion eines Hotelgastes gemeint. In diesem Fall werden die Nutzer über den Tag „iframe“ auf die Startseite der Hotel-Website umgeleitet, die von den Verbrechern modifiziert wurde. Infolge dieser Manipulation wird dem Opfer die Standardaufforderung angezeigt, die Google-Toolbar oder ein Update für Adobe-Software herunterzuladen. Stimmt der Gast dem Download zu, wird ihm eine verseuchte Datei auf den PC gespielt.

Die Zusammenarbeit von Sandbox und Netzwerksensor bietet hier Abwehrmöglichkeiten. Dateien, die vom Netzwerktraffic extrahiert wurden, werden an die Sandbox geschickt. Die Sandbox wiederum teilt mit, ob es sich dabei um potentiell schädlichen Code handelt. Im Falle der Ausführung von gefährlichem Code erstellt die Sandbox Logs und sendet Daten über diese Entdeckung an das Dashboard des Sicherheitsbeauftragten. Er erhält detaillierte Informationen über die Dateiaktivität auf dem PC sowie über die Aktionen, die die Sicherheitssoftware für verdächtig hält. Im Falle der Infektion eines Hotelgastes würden solche Aktionen durch die lokale Schutzlösung für Endpoints gestoppt.

Der Netzwerksensor erkennt zielgerichtete Attacken an den IP-Adressen und Domains, die während der Aktion benutzt wurden. Auch der Inhalt des Netzwerk-Traffics wird berücksichtigt: In einigen Fällen verwenden APTs ihre eigenen spezifischen Protokolle. Die Sandbox könnte Netzwerksensoren benutzen, um den Traffic der verdächtigen Programme zu kontrollieren, die in der Sandbox ausgeführt werden.

Darüber hinaus können Netzwerksensoren zielgerichtete Attacken auf Grund von spezifischen Traffic-Abnormitäten erkennen. Zu diesem Zweck muss eine Sicherheitslösung über hochqualitative Verhaltensschablonen verfügen, die typisches schädliches Softwareverhalten beschreiben. Hinweise für einen Alarm könnten für diese Schablonen beispielsweise externe Verbindungen mit unbekannten und neu erstellten Domains sein, die Häufigkeit des ausgehenden Traffics, Standorte der Server usw. Wenn ein Unternehmen beispielsweise noch nie mit einem bestimmten Land zusammengearbeitet hat und plötzlich des Nachts eine spürbare Datenmenge in diese Richtung gesendet wird, so ist das ein eindeutiger Grund, um Alarm auszulösen.

Der Ausnutzungsphase standhalten

Wenn der Exploit-Code während der Attacke trotz alledem ausgeführt wird, dann lädt dieser in der Folge weitere APT-Module auf den infizierten PC. In diesem Stadium können alle oben beschriebenen Erkennungsmechanismen greifen, und die Anti-APT-Lösung kann die präzise funktionierenden Module einer zielgerichteten Attacke detektieren.

Ein interessantes Modul von Dark Hotel ist beispielsweise der digital signierte Keylogger auf Kernel-Ebene. Diese Software wird als Windows-Treibern installiert und sie liest die Tastatureingaben direkt vom Tastaturcontroller auf dem Motherboard. Um auch nach Reboots im System zu verbleiben, wird eine simple Ergänzung im HKCU-Run-Schlüssel vorgenommen.

Da die Sandbox ständig ein Auge auf Objekte (Dateien, URLs) von den Netzwerksensoren hat und den Sicherheitsbeauftragten über seltsame Aktivität informiert, bleibt eine typische Ergänzung zu Windows Registry-Schlüsseln nicht unbemerkt.

Fazit

Für Kaspersky Lab ist die Sandbox-Entwicklung schon seit vielen Jahren ein wichtiger interner technologischer Prozess. Wir haben bereits eine umfassende Cloud-Datenbank mit Reputationen von Dateien und URLs zusammengestellt. Die Variante einer Sandbox-Installation als Standalone-Lösung auf Kundenseite ist eine direkte Fortführung einer langfristigen Entwicklung, es ist der nächste Evolutionsschritt. Hardware-Ressourcen von Endpoints zur Analyse von Softwareaktivität sind verglichen mit einer spezialisierten, eigens entwickelten Hardware für eine unabhängige Anti-APT-Sandbox stark eingeschränkt. Es ist von großer Wichtigkeit, alle notwendigen Events innerhalb der Netzwerk-Infrastruktur zu analysieren. Das wird möglich, nachdem der Sandbox Netzwerksensoren hinzugefügt wurden. Und nachdem die einzelne Managementkonsole hinzugefügt wurde, ist es möglich, die Entwicklung von zielgerichteten Attacken sehr viel detaillierter zu analysieren.

Gleichzeitig verfügt Kaspersky Lab bereits über weitreichende Erfahrung in der APT-Analyse. Das Global Research and Analysis Team (GReAT) von Kaspersky Lab verfügt über einmalige Expertise auf diesem Gebiet.

Riesige Mengen bereits existierender und ständig aktualisierter Informationen im 5 von Millionen von Geräten ermöglichen eine Antwort auf die Frage, die wichtig für unsere Kunden ist: Handelt es sich bei diesem Vorfall um eine Masseninfektion oder ist es tatsächlich eine zielgerichtete Attacke auf diese spezielle Unternehmens-Infrastruktur? Diese Daten sind über die Sicherheits-Cloud von Kaspersky Lab verfügbar (KSN), sie können aber auch lediglich auf Kundenseite bereitgestellt werden, in Form des Kaspersky Private Security Network (KPSN). Die Kombination der bewährten Sandbox-Engine mit unserer Erfahrung bei der Ermittlung von Angriffen und der Unmenge von Reputations-Daten in unserer eigenen Cloud prädestiniert Kaspersky Lab für die Entwicklung einer spezialisierten Anti-APT-Lösung. Daher ist es unsere tiefste Überzeugung, dass eine solche Lösung als nur eine Ebene einer umfassenden, vielschichtigen Informationssicherheit angesehen werden kann. Selbst mit einer starken Anti-APT-Lösung kann es sich ein Unternehmen nicht erlauben, die anderen Ebenen außer Acht zu lassen, wie etwa einen fortschrittlichen Endpoint-Schutz, E-Mail-Sicherheit und so weiter.

  1. Genau beschrieben im Whitepaper von Kaspersky Lab „Strategien zur Abschwächung von Advanced Persistent Threats (APT) >>>
  2. Mehr Informationen zur Dark Hotel APT finden Sie unter >>>
  3. Information über aktuelle Bedrohungen finden Sie unter >>>
  4. Hier finden Sie mehr über die Technologien von Kaspersky Lab >>>
  5. Weitere Informationen zu den Technologien von Kaspersky Lab finden Sie hier >>>