Advanced Persistent Threat: Angriff und Verteidgung

Advanced Persistent Threat: Ein Interview mit Incident Responder David Mändlen

Seit vielen Jahren ist die SySS GmbH sowohl als Incident Responder als auch in der Vorbereitung auf Sicherheitsvorfälle aktiv. Entsprechend empfiehlt das Bundesamt für Sicherheit in der Informationstechnik die SySS als qualifizierten APT (Advanced Persistent Threat)-Response-Dienstleister.

David Mändlen, Incident Responder und IT Security Consultant bei der SySS GmbH, gibt Einblicke in die Bedrohungen und die Abwehrmöglichkeiten von APT

- Als APT (Advanced Persistent Threat) werden gezielte Angriffe starker, mit umfangreichen Ressourcen und Know-How ausgestatteter Gegner bezeichnet. Können Sie uns Beispiel für solche Angreifer geben?

- David Mändlen: Das sind die Angreifer, über die häufig pauschal als „die Chinesen“, „die Russen“ oder „die Israelis“ die Rede ist. Im Regelfall ist das zu konkretisieren auf eine sog. „state sponsored group“, also eine Gruppe, die in irgendeiner Form mit dem Geheimdienst einer Nation in Verbindung steht. Deren Mitglieder können, müssen aber nicht direkte Geheimdienstmitarbeiter sein. Es können auch beauftragte Firmen sein. Beispiel China: Es ist bekannt, dass es ganze Firmen gibt, die zum Zweck der Wirtschaftsspionage für das Ministerium für Staatsicherheit arbeiten. Die Aufgabe besteht dann beispielsweise darin, herauszufinden, welche Neuerungen es in Deutschland im Bereich Turbinentechnik gibt.

- Was zeichnet einen APT im Vergleich zu herkömmlicheren Angriffen aus?

- David Mändlen: APTs zeichnen sich dadurch aus, dass im Regelfall nach der initialen Kompromittierung Experten den Angriff fortsetzen. Bei APTs ist das Vorgehen meist arbeitsteilig: Auf der untersten Stufe arbeiten die Angreifer stur eine Checkliste ab, werfen einen Scanner an und schauen, ob es von der angegriffenen Firma etwas Interessantes im Internet gibt. Auf der nächsthöheren Stufe schaut sich jemand dann die vielversprechenden Angriffsvektoren an, klassifiziert sie und versucht, eine initiale Infiltration unauffällig umzusetzen. Wenn das gelingt, kann auf der nächsten Stufe versucht werden, wiederum den Brückenkopf zu erweitern und sich ein Stück weiter ins angegriffene Netzwerk vorzuarbeiten. Auf der obersten Stufe ist dann jemand wirklich im Netzwerk – und zwar so weit, dass die Angreifer besser Bescheid wissen als die eigentlichen Systemadministratoren. Man muss aber dazu sagen, dass gezielte Angriffe die absolute Minderheit aller Angriffe ausmachen. Der gemeine Trojanerangriff findet ungleich häufiger statt.

- Laut BSI gehören zu den Aufgaben eines APT-Response-Dienstleisters u.a. die Aufklärung des Umfangs des Angriffs und der aktiven Zugangskanäle sowie die Aussperrung des Angreifers. Können Sie uns erklären, wie Sie hier vorgehen?

- David Mändlen: Als erstes versuchen wir immer, herauszufinden, auf welchen Systemen die Angreifer waren. Wir müssen die Frage beantworten: Was ist für die Angreifer interessant? Bei APTs kommt hinzu, dass meist nicht nur die Systeme kompromittiert werden, mit denen die Angreifer dann täglich zu tun haben, sondern auch Backdoorsysteme, die sie einmal kompromittieren, einen Account einrichten und dann nicht mehr anfassen. Wenn ich nur die Systeme deaktiviere, die im laufenden Angriff als kompromittiert bemerkt worden sind, werfe ich die Angreifer dort zwar raus, sie verhalten sich dann ruhig, bis der Alarmzustand beim Opfer vorbei ist und sind dann teilweise Monate später durch eine ihrer Backdoors wieder drin. Dementsprechend ist es wichtig, dass man generell alles einmal anschaut und versucht herauszufinden, ob es kompromittierte oder zusätzlich angelegte Accounts gibt.

Was man dann konkret technisch macht, hängt stark davon ab, was der Angreifer konkret technisch gemacht hat und was er technisch kann. Wenn der Angreifer die Systeme überwacht und bemerkt, dass die Response tätig ist, ist das für die Aufklärung schlecht. D.h.: Im ersten Schritt wird einfach alles beobachtet. Welche Systeme kommunizieren miteinander? Ist die Kommunikation erlaubt? Ist der Datenaustausch legitim? Sind die Pakete auffällig? Wie sieht das Benutzerverzeichnis aus? Wie sehen die Registry-Einträge aus? Nachdem wir so Daten gesammelt haben, wird im zweiten Schritt die Bereinigung gestartet. Dies geschieht in Absprache mit dem Kunden in einer konzertierten Aktion, um unauffällig zu bleiben häufig in einem vorher bekanntgegebenen Maintenance-Window. Bei Angreifern aus China bietet sich hierfür z.B. die Golden Week an. Zu dieser Zeit wird in China nicht gearbeitet; auch die Hacker machen Pause. Wenn wir in diesem Zeitraum alle Systeme ausschalten, unsere Aufräumaktion durchführen – d.h. bestimmte Accounts sperren sowie Löschungen und Neuinstallationen vornehmen – und danach alles wieder anschalten, wird der Angreifer aus China sich nach der Golden Week wundern, was passiert ist.

- Es gibt in China drei Golden Weeks pro Jahr. Kann man sich mit dem Aufräumen wirklich so viel Zeit lassen?

- David Mändlen: Man muss sich meist so viel Zeit lassen. Es ist ärgerlich, wenn Daten extrahiert werden; aber durch Beobachten wissen wir dann wenigstens, dass welche abgesaugt werden. Es geht um eine laufende Suche nach entsprechenden Vorkommnissen. Schnelles, schlampiges Ausräumen hilft nichts. Incident Response-Projekte dieser Art können sich über 2-3 Jahre erstrecken.

- Das BSI verzeichnet in seiner Liste u.a. die 24/7-Erreichbarkeit der SySS als Kriterium für die Qualifizierung. Wie müssen wir uns einen Einsatz vorstellen, wenn Sie nachts angerufen werden?

- David Mändlen: Die 24/7-Erreichbarkeit der SySS wird mit einem Service Level-Agreement in einem DFIR-Rahmenvertrag verkauft. Unterzeichnet ein Kunde einen solchen Rahmenvertrag, steht ihm rund um die Uhr eine Rufbereitschaft zur Verfügung. Der Kunde erhält eine Telefonnummer, die er auch nachts anrufen kann und spätestens binnen einer Stunde zurückgerufen wird. Der Kunde schildert dann sein Problem und wir entscheiden gemeinsam, ob eine unmittelbare Aktion noch nachts nötig ist oder der Einsatz am nächsten Arbeitstag beginnen soll. Bei einem APT, bei dem es u.U. Jahre dauern kann, die Angreifer aus dem System zu sperren, ist es technisch nutzlos, direkt nachts zu starten. Für die psychologische Komponente dabei kann es aber wichtig sein.

24/7-Erreichbarkeit ist wesentlich sinnvoller bei einem regulären Angriff, bspw. durch einen Verschlüsselungstrojaner. Hier macht es einen erheblichen Unterschied, ob der Angriff schnell gestoppt wird oder nicht.

Wenn wir dann vor Ort sind, bitten wir als erstes um eine Liste an Informationen, v.a. bzgl. Logs und Monitoringreports. Haben wir die nötigen Logs oder Monitoring-Reports, können wir direkt mit der Analyse beginnen und beispielsweise betroffene Systeme identifizieren, die dann forensisch ausgewertet werden können. Leider können uns die meisten Kunden dies nicht zur Verfügung stellen und wir müssen selbst Maßnahmen ergreifen, um diese Informationen zu beschaffen.

- Woran liegt das?

- David Mändlen: Das kann bürokratische Gründe haben, Budgeteinschränkungen können eine Rolle spielen oder politische Gründe können wirksam sein – sei es, dass der Betriebsrat nicht mitzieht oder keine Betriebsvereinbarung existiert. Das ist für uns als Incident Responder sehr frustrierend, aber leider sehr gängig. Gerade kleine und mittelständische Unternehmen haben oft nicht das Budget für eine pauschale Überwachung, was dann bedeutet, dass gar keine Überwachung stattfindet. Überwachung würde dem Kunden aber helfen, einen Vorfall zu erkennen, bevor es zu spät ist. Vielen Kunden fällt es schwer, Angriffe überhaupt zu bemerken. Diese rufen uns dann im Normalfall an, wenn der Trojaner bereits den Domain Controller verschlüsselt hat und wir auch nicht mehr viel tun können. Wenn wir die Überwachung erst einrichten lassen müssen, vergeht eine Woche, bis wir sinnvoll arbeiten können. Wir selber greifen nicht in das Netzwerk der Kunden ein, wir fassen keine Domain Controller an und extrahieren auch keine Logs. Der Kunde bzw. sein Dienstleiter muss Monitorports, Logserver u.ä. bereitstellen, damit wir mit unserer Arbeit beginnen können.

- Als APT-Response-Dienstleister kümmert sich die SySS auch um die Verhinderung erneuter Vorfälle. Wie genau können Sie Unternehmen hier unterstützen?

Zunächst: Als Incident Responder ist es meine Aufgabe, Schäden so gering wie möglich halten. Meine Frage ist: Wie gehe ich mit einem Sicherheitsvorfall um? Die Frage nach der Verhinderung von Vorfällen sollte in erster Linie die IT Security-Beauftragten in den Firmen beschäftigen. Als IT Security Consultant empfehle ich diesen dringend, Logs zu pflegen und zentralisiert zu sammeln. Administratoren empfehle ich ein flächendeckendes Netzwerklogging und Monitoring und das ständige Überwachen der Systemlast. Das meiste hilft hier auch dem täglichen IT-Betrieb enorm weiter und kann von verschiedenen Teams unterschiedlich genutzt werden. So können Synergien gebildet werden, die beispielsweise Budgeteinschränkungen wenigstens teilweise verringern können. Auf der technischen Seite ist eine sichere (statt einer bequemen) Konfiguration wichtig, beispielsweise dass bei Windowssystemen die RDP-Schnittstelle (Remote Desktop Protocol) nicht per Internet erreichbar ist. GandCrab, die Ransomware, die die letzte große Trojanerwelle ausgelöst hat, hat genau auf RDP gezielt. Grundsätzlich sollten reguläre Nutzer keine Admin-Berechtigungen haben. Regulären Nutzern rate ich, firmen- oder institutsintern Fileshares zu nutzen und möglichst ohne E-Mail-Anhänge zu arbeiten. Das Risiko, sich Trojaner einzufangen, ist deutlich geringer, wenn konsequent weder Anhänge noch Links angeklickt und Makros grundsätzlich blockiert werden. Sind Anhänge kein Einfallstor, ist ein großer Angriffsvektor drastisch reduziert. Ein aktuelles Beispiel für eine Spam-basierte Erstinfektion mit teils katastrophalen Folgen ist die „Emotet“ getaufte Schadsoftware. Diese wird im Regelfall durch eine E-Mail mit verseuchtem Anhang oder einem verseuchten Link im Text ins Unternehmensnetzwerk eingebracht und verbreitet sich dort dann teilweise rasend schnell durch das Ausnutzen von Fehlkonfigurationen oder nicht gepatchten Schwachstellen. Sobald die Schadsoftware läuft, lädt sie eine zweite Stufe nach, derzeit oft der „Trickbot“ genannte Bankingtrojaner oder Ransomware, also Verschlüsselungssoftware. Diese zweite Stufe wiederum richtet dann den eigentlichen Schaden an.

Wenn man nun bereits das Eindringen ins Netzwerk stoppen kann, bleibt man im Regelfall verschont. Meine Tipps zur Vermeidung von Emotet im Netzwerk sind

  • aktuelle Patches gute Netzwerkseparierung Powershell / CMD / sonstige Shell-Ausführungen per GPP blockieren
  • Makroausführung komplett deaktivieren
  • Mails von extern mit dickem rotem Warnhinweis "Achtung: Mail von extern!" oder ähnlich versehen
  • HTML in Mails deaktivieren bei Anzeige UND Versand
  • ggf. Admin-Shares deaktivieren

Wenn Sie dennoch von einem Trojaner betroffen sein sollten, ist schnelles Handeln gefragt, um den Schaden so gering wie möglich zu halten. Insbesondere wenn Sie noch keine Erfahrung im Incident Handling haben und vielleicht ihr Netzwerk extern betreuen lassen, sollten Sie sich dringend darum bemühen, die nötigen Voraussetzungen für eine erfolgreiche Incident Response zu schaffen. Die SySS GmbH bietet beispielsweise Schulungen und Workshops  zu diesem Thema an. Bei ausgelagerter IT ist es oft schwierig, eine koordinierte Incident Response umzusetzen. Hier sollte beispielsweise darauf geachtet werden, ein entsprechendes Service Level Agreement mit 24/7 Erreichbarkeiten abzuschließen und die Dienstleister in die entsprechenden Krisenübungen mit einzubeziehen. Wie überall gilt auch bei Outsourcing: „wer billig kauft, kauft zweimal“  – im Zweifelsfall stellt die zweite Rechnung dann eben der Incident Responder.

- Wo genau ist der Zusammenhang von Trojanern und APT?

Die Verteidigung gegen Trojaner schweift zwar etwas vom APT-Thema ab, ist aber extrem wichtige Basisarbeit, die im Zweifelsfall dann den APT-Angreifern das Leben schwerer, uns dafür etwas leichter macht. Außerdem sollte man die Trojanerabwehr als Übung für andere, schwerwiegendere Angriffe betrachten. Was sie hier in Ihren Prozessen lernen und umsetzen, macht Ihnen später einen Umgang mit einem gezielten Angriff deutlich leichter und ermöglicht Ihnen, auch unter hohem Druck mit großen Einsätzen ruhig zu bleiben und den Angriff erfolgreich abzuwehren. Erst aus der Erfahrung mit „kleinen“ Katastrophen erwächst bei den meisten Kunden überhaupt erst das Bewusstsein für die Gefahren und erst, wenn die nötigen Voraussetzungen für das Erkennen von Angriffen geschaffen sind, können APT-Angreifer überhaupt gefunden werden.

- Lieber David Mändlen, ich danke Ihnen für dieses aufschlussreiche Gespräch!

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer