Advanced Persistent Threats - Wo verrät sich der Angreifer?
Die "Operation Aurora", Stuxnet und der Angriff auf RSA - Advanced Persistent Threats, die man am eingeschleusten Schadcode nicht erkennen konnte. Aber vielleicht verrät sich der Angreifer ja, während er sich im lokalen Netz zu schaffen macht?
Ist ein Angreifer "drin"?
Verrät sich ein Angreifer, wenn er nach dem Einschleusen des Schadcodes im lokalen Netz aktiv wird? Betrachten wir wieder die drei Beispiele:
Über das Vorgehen des Angreifers im lokalen Netz ist wenig bekannt. Er ist aber (soweit bekannt) sehr vorsichtig vorgegangen. Er hatte es (unter anderem oder nur?) auf Googles Single-Sign-On-System 'Gaia' abgesehen. Statt sofort nach der ersten Kompromittierung eines Rechners auf die Daten zuzugreifen, was sehr wahrscheinlich einen Alarm ausgelöst hätte, hat er sich Zugriff auf die Rechner einiger Entwickler verschafft und darüber auf das von denen genutzte Software-Repository zugegriffen.
Das ist eine bei APT-Angriffen übliche Vorgehensweise: Erst wenn der Angreifer die für den Zugriff auf die gewünschten Daten nötigen Rechte hat, greift er darauf zu. Daher lässt sich der unbefugte Zugriff i.A. (d.h. ohne zusätzliche Maßnahmen, zu denen ich noch komme) nicht erkennen: Ein Benutzer greift auf für ihn zugängliche Daten zu - das ist erwünscht und bestimmt kein Grund, misstrauisch zu werden.
Wie der Angreifer den Angriff gesteuert hat, ist leider nicht bekannt. Ebensowenig, ob und ggf. wie der Angreifer die kopierten Daten aus dem lokalen Netz geschafft hat, und wie Google den Angriff erkannt hat.
Der Angreifer hatte es auf die SCADA-Systeme zur Steuerung der Uranzentrifugen abgesehen. Der Wurm enthielt bereits alle nötigen Instruktionen, so dass der Angreifer ihn nach dem Einschleusen nicht mehr kontaktieren musste. Nachdem der eingeschleuste Schadcode die Steuerrechner erreicht hatte, wurden die Ausgangsfrequenzen der von diesen gesteuerten Frequenzwandler und damit die Drehzahl der davon gesteuerten Motoren für kurze Intervalle über einen Zeitraum von Monaten manipuliert, so dass die Zentrifugen zerstört wurden. Parallel wurden den Überwachungsrechnern korrekte Werte vorgetäuscht.
Wie der Angriff erkannt wurde, ist nicht bekannt. Da es weder vom Angreifer an den Schadcode gesendete Anweisungen noch vom Schadcode nach außen gesendete Daten gab, konnte der Wurm an keiner verdächtigen Kommunikation erkannt werden. Da die Zentrifugen-Motoren immer nur für kurze Intervalle manipuliert und parallel den Überwachungsrechnern korrekte Werte untergeschoben wurden, konnte auch die Manipulation kaum erkannt werden. Auf jeden Fall haben die zerstörten Zentrifugen längere Zeit keinen Verdacht erregt, sonst wären nicht so viele zerstört worden.
Der Angreifer ging sehr langsam vor, neue Befehle für das eingeschleuste RAT wurden von diesem nachgeladen, so dass es keine verdächtigen Zugriffe von außen gab. Nach der Kompromittierung des ersten Rechners verschaffte sich der Angreifer die Zugangsdaten höherrangiger Benutzer und damit den Zugriff auf weitere Rechner, bis er Zugriff auf für ihn interessante Server erhalten hatte. Danach kopierte er von dort Daten auf andere lokale Server, wo er sie zusammenfasste, komprimierte und verschlüsselte. Der Zugriff auf diese Daten ist nicht aufgefallen, da sie immer mit den dafür nötigen Rechten erfolgten. Die gesammelten Daten wurden dann als verschlüsselte RAR-Archive über FTP auf einen externen Server übertragen, wobei der Angriff von RSA entdeckt wurde. Vermutlich, da große Datenmengen oder verschlüsselte Daten an unübliche Server gesendet wurden.
Wo verrät sich ein Angreifer?
Welche Ansatzpunkte zum Erkennen des Angriffs gibt es also?
Die Steuerung der Schadsoftware
Der Angreifer muss die eingeschleuste Schadsoftware steuern. Sofern er dafür von außen auf einen lokalen Rechner zugreift, kann der unbefugte Zugriff erkannt werden. Meist verhindert aber schon die Firewall die unerwünschten Zugriffe von außen, so dass der Angreifer einen anderen Weg zur Steuerung wählen muss. I.A. lädt der Schadcode daher seine Befehle nach, wobei er die Zugriffe z.B. als normalen HTTP-Traffic tarnen kann. In all dem vorhandenen HTTP-Traffic unerwünschte Zugriffe zu erkennen, ist äußerst schwierig. Vor allem, da schon die normalen Cyberkriminellen legitime Kommunikationswege wie z.B. Twitter missbrauchen. Bei einem APT, bei dem der Angreifer meist weder Kosten noch Mühen scheut, wird die Tarnung des Steuerungskanals i.A. so gut sein, dass die Suche danach zwecklos ist.
Gibt es wie bei Stuxnet keine Steuerung der Schadsoftware von außen, gibt es auch keine Möglichkeit, den Angriff dran zu erkennen (das ist zwar logisch, ich erwähne es sicherheitshalber aber trotzdem).
Halten wir also fest: Die Steuerung der Schadsoftware kann kaum erkannt werden.
Aber es gibt ja noch zwei weitere Möglichkeiten, den Angriff zu erkennen: Beim Zugriff auf die Daten und beim Abtransport der Daten. Und genau dabei hat man auch die besten Chancen, den Angriff zu erkennen. Wieso und wie, erfahren Sie in der nächsten Folge.
Übersicht über alle Artikel zum Thema
- Was ist ein Advanced Persistent Threat (APT)?
- Ein bekannter Advanced Persistent Threat: Operation Aurora
- Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
- Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
- Kann man Advanced Persistent Threats erkennen?
- Advanced Persistent Threats - Wo verrät sich der Angreifer?
- Advanced Persistent Threats - So verrät sich der Angreifer!
- Gezielte Angriffe und Advanced Persistent Threats
- Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Trackbacks