In einer neuen Artikelreihe beschäftigen sich Marion Marschalek (G DATA Advanced Analytics) und Raphael Vinot vom Computer Incident Response Center Luxembourg (CIRCL) mit dem, was im Schatten moderner APTs vorgeht. Sie werden hier ihre Ergebnisse von der diesjährigen Troopers Conference in Heidelberg vorstellen. Der erste Teil der Serie beschäftigt sich sowohl mit den Werkzeugen, die Analysten zur Verfügung stehen als auch einigen Überlegungen zu wirtschaftlichen Aspekten und zu den Infrastrukturen hinter einem Angriff.
Spricht man über die Risiken moderner Arbeitsumgebungen, dann wird schnell ins Feld geführt, dass Angreifer "hochspezialisierte und ausgefeilte" Werkzeuge verwenden, um ein Unternehmen um seine wertvollen Daten zu erleichtern. Je spezialisierter und hochentwickelter ein Angriffswerkzeug ist, desto teurer ist es. Vor diesem Hintergund muss man sich vergegenwärtigen, dass fast alle Gruppierungen, von denen eine Bedrohung ausgeht, nach wirtschaftlichen Grundsätzen arbeiten. Nach diesen Grundsätzen sind Zeit und Geld wertvolle Ressourcen, die möglichst sparsam eingesetzt werden. Daher ist jegliches APT-Werkzeug immer nur komplex und ausgefeilt genug für das ausgewählte Ziel. Eine maßgeschneiderte Malware kostet aus dem gleiche Grund wesentlich mehr, aus dem auch ein handgefertigtes und einzigartiges Auto erheblich teurer ist als ein Modell von der Stange.
Um sich einem Ziel nähern zu können, ist zunächst Erkundungsarbeit seitens des Angreifers erforderlich. Diese lässt sich kaum verhindern, da große Teile dieser Phase auf öffentlich zugänglichen Informationen beruhen. Eine Organisation kann an dieser Stelle nur innerhalb eines engen Rahmens aktiv werden, indem sie beispielsweise die Herausgabe potenziell kritischer Informationen begrenzt. Für einen Angreifer ist die Webseite eines Unternehmens eine von vielen möglichen Informationsquellen. Dort wird auch klar, warum es schwierig ist, bestimmte Informationen geheim zu halten. Beispielsweise kann ein Angreifer in einigen Fällen Rückschlüsse auf die interne Infrastruktur eines Unternehmens ziehen, indem er sich die "Karriere" oder "Arbeiten bei..." - Seiten eines Unternehmens anschaut.
Wird dort zum Beispiel nach einem neuen Mitarbeiter für die EDV gesucht, hat die Personalabteilung ein berechtigtes Interesse daran, ein Anforderungsprofil zu definieren:
"Gesucht wird ein(e) Mitarbeiter/in für die interne EDV-Abteilung. Erforderlich: Kenntnisse in Windows Server - Betriebssystemen, Red Hat Enterprise Linux sowie Erfahrung im Administrieren und Konfigurieren von Cisco Firewalls der ASA 5500-Serie".
Gefälschte Emailadressen oder Konten für Soziale Netzwerke anzulegen, um mit Mitarbeitern einer Firma "befreundet" zu sein, ist nicht weiter schwer. Es sind unter anderem genau diese Emailadressen und auch Domains oder Serveradressen, die einen Teil der von Analysten gesammelten Daten ausmachen. Mit Hilfe dieser Daten kann dann eine Verteidigungsstrategie entworfen werden.
Wer sich eingehender mit dem befassen möchte, was moderne Bedrohungen und APTs ausmacht, kann die Details im Blog der G DATA Advanced Analytics nachlesen (Artikel in englischer Sprache).