IT-Forschung: Wirksame Abwehr gegen raffinierte APT-Attacken (Teil 1)

IT-Forschung: Wirksame Abwehr gegen raffinierte APT-Attacken (Teil 1)

Advanced Persistent Threats (APT) sind Spionage- und Sabotageangriffe auf ausgewählte Ziele, wie z. B. politische Organisationen, militärische Einrichtungen und Unternehmen. Da ein großer Aufwand betrieben wird, um diese Cyberangriffe zu verbergen, werden sie oft erst nach Monaten oder Jahren entdeckt. Jetzt teilen IT-Forscher ihre Erkenntnisse, wie die raffinierten Angriffe abgewehrt werden können.

Im Forschungsprojekt APT-Sweeper erforschten Experten von genua, der TU Braunschweig und der Friedrich-Alexander-Universität Erlangen neue Ansätze zur frühzeitigen Erkennung und Abwehr von APT-Angriffen. Anlässlich des Projektabschlusses am 31.07.2018 haben wir mit Steffen Ullrich gesprochen, einem am Projekt maßgeblich beteiligten IT-Sicherheitsexperten bei genua.

Immer wieder berichten die Medien über anspruchsvolle Cyberangriffe, bei denen bewährte Sicherheitsarchitekturen ausgehebelt werden. Dabei entwickeln versierte Täter ständig neue Ideen. Was zeichnet die von Euch untersuchten Angriffsmethoden aus?

Steffen Ullrich: Der größte Teil der heutigen Angriffe erfolgt über sogenannte Spear-Phishing-Mails. Das sind Mails, die inhaltlich auf das Opfer zugeschnitten sind und oftmals einen vertrauten Absender suggerieren. Mit diesen Mails verfolgt der Angreifer eine bestimmte Absicht: Der Adressat soll einen Mailanhang öffnen, eine Datei aus dem Internet herunterladen oder die Zugangsdaten für seinen Firmencloud-Account eingeben. Der Inhalt der Mail ist vom Angreifer präpariert. Geht der Plan auf, kann der Angreifer im Netzwerk des Opfers Fuß fassen.

Natürlich gäbe es die Möglichkeit, mit PGP oder S/MIME signierte Mails zu versenden. Ebenso ermöglicht eine Kombination aus den Verfahren DKIM, SPF und DMARC Mails mit gefälschtem Absender zu erkennen, sofern der Absender entsprechende Konfigurationen vorgenommen hat. Leider sind diese Verfahren in der Praxis wenig verbreitet und können daher nur selten als zuverlässige Erkennungshilfe gefälschter Absender herangezogen werden.

Welche wirksamen Abwehrmaßnahmen habt Ihr durch die Forschung gefunden?

Steffen Ullrich: Unser Ansatz setzt auf die Mail-Infrastruktur wie sie aktuell ist und nicht, wie man sie gerne hätte und auch in naher Zukunft nicht bekommen wird. Wir ermitteln aus den beim Empfänger eintreffenden Mails typische Absenderprofile. Dazu extrahieren wir über 100 verschiedene Merkmale und werten diese aus, darunter Eigenschaften des Mailtransports, benutzte Mail-Clients sowie Eigenheiten des jeweiligen Absenders beim Verfassen seiner Mails.

Mittels maschinellen Lernens werden daraus Modelle erstellt, mit denen bei einer neuen Mail schnell die Frage beantwortet werden kann, ob der behauptete Absender bekannt ist und wie ähnlich diese Mail zu früheren Mails desselben Absenders ist. Ein großer Unterschied unseres Ansatzes gegenüber vorhergehenden ist, dass die extrahierten Merkmale praktisch unabhängig vom Inhalt der Mail sind. Stattdessen werden die Struktur der Kommunikation und der Mail betrachtet. Auf diese Weise reichen uns vergleichsweise wenig Mails aus, um ein brauchbares Profil eines Absenders zu erstellen.

Gehen wir von einem erfolgreichen Angriff aus: Welche Chance hat die angegriffene Organisation, im eigenen Netzwerk den Einbrechern auf die Spur zu kommen?

Steffen Ullrich: Die meisten Netzwerke basieren immer noch auf der Idee "harte Schale – weicher Kern". Die Hoffnung beruht primär darauf, dass eine Firewall oder ein Virenscanner auf einem Rechner sämtliche Angriffsversuche abfängt. Und auch wenn die Analysesysteme immer besser werden, so wird diese Hoffnung leider nie erfüllt werden: Die Grenze zwischen gutartig und bösartig ist oft nicht wirklich klar und bösartige Inhalte können sich daher oft als gutartig genug ausgeben und so einer Erkennung entgehen. Zwar würden sie vielleicht bei einer schärferen Inspektion gefunden, diese würde dann aber auch viele gutartige Inhalte als bösartig markieren und entsprechend viele Fehlalarme auslösen.

Es hängt also nur von den Fähigkeiten des Angreifers ab, wie viel Zeit er benötigt, um einen Weg in das Netzwerk zu finden. Hier versucht er sich dann vorsichtig zu bewegen, indem er seine bösartigen Aktivitäten im Schatten üblicher gutartiger Aktivitäten ausführt. Bedingt durch die Komplexität der heutigen Netze und der großen Variabilität gutartiger Kommunikationsmuster, welche zudem häufigen Veränderungen unterworfen sind, gelingt es dem Angreifer meist ohne größere Probleme, unentdeckt zu bleiben.

Daher sollte man eigentlich immer davon ausgehen, dass sich ein Angreifer im eigenen Netz befinden könnte. Vorsichtiges Agieren ist also ratsam und die Kommunikation sollte ständig überwacht werden, um Abweichungen zu erkennen. Angreifer lassen sich am besten entdecken, wenn man weiß, was im eigenen Netz eigentlich vorgehen sollte und was nicht dahingehört – ein Wissen, das vielen Firmen fehlt. Um hier zu helfen, haben wir im Forschungsprojekt auch ein passives Fingerprinting für Web-Clients entwickelt, über das ein Administrator recht schnell Aktivitäten ungewöhnlicher Clients erkennen kann. Damit kann er in der Vielfalt des Webverkehrs zum Beispiel auf Malware aufmerksam werden, die sich neue Instruktionen von außen holt oder erbeutete Informationen exfiltriert.

Schwer zu fassen: Advanced Persistent Threats

Warum haben viele IT-Systeme bisher bei der Abwehr von Advanced Persistent Threats versagt?

Steffen Ullrich: "Advanced Persistent Threats" ist ein sehr schwammiger Begriff. Dabei geht es um zahlreiche Aspekte, für die es kein einzelnes Allheilmittel gibt.

Aktuelle Lösungen sind meist gut genug darin, bekannte Angriffe oder leichte Variationen bekannter Angriffe zu finden. Doch je mehr Abweichungen von bekannten Merkmalen auftreten, desto schwieriger fällt die Entscheidung, ob gut oder böse. Und wie gesagt – so eindeutig lässt sich die Grenze oft auch gar nicht ziehen. Dazu kommt, dass bösartige Inhalte tatsächlich nur einen sehr kleinen Teil von Kommunikation oder von Software ausmachen. Selbst eine sehr gute Erkennungsmethode würde also viele Fehlalarme auslösen, sofern sie möglichst sämtliche potentiell bösartigen Inhalte melden will. Das würde dann wiederum der Anwender als sehr störend empfinden.

Vielen Anwendern fehlt darüber hinaus die Erkenntnis, dass IT-Sicherheit durchaus mit Gesundheit vergleichbar ist. Zur Gesundheit gehört nicht nur, dass man bei einem gebrochenen Bein einen Arzt konsultiert, sondern auch gesunde Ernährung, Hygiene, Maßnahmen zur Früherkennung von Erkrankungen usw. Und genauso reicht für IT-Sicherheit nicht die Installation einer Firewall oder eines Virenscanners. Es gehört auch "Cyber-Hygiene" dazu, d. h. man sollte nicht alles mögliche aus dem Internet herunterladen und nicht jedes beliebige IoT-Gerät im Netzwerk installieren. Es geht auch darum zu wissen, wie sich das eigene Netzwerk verhalten sollte. IT-Sicherheitslösungen können auch gegen komplexere Angriffe helfen, aber sie brauchen ein entsprechendes Umfeld dazu. Je chaotischer dieses Umfeld ist, desto weniger helfen diese Produkte und desto leichter hat es ein Angreifer.

Im zweiten Teil unseres Experten-Interviews sprechen wir mit Steffen Ullrich über Maßnahmen zum Schutz vor Advanced Persistent Threats.

Das Forschungsprojekt APT-Sweeper wurde vom Bundesministerium für Bildung und Forschung gefördert.

 

Bildquelle: © chinnarach - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz Cookies akzeptieren