Warum Software nicht ausreichend vor zielgerichteten Attacken schützt

Sprungbrett ins lokale Netzwerk

APTs im engeren Sinne sind Cyber-Angriffe, die anhand speziell entwickelter, optimal an ihren Einsatzzweck angepasster Schadsoftware („Advanced“) auf bestimmte, im Vorfeld eigens selektierte Opfer abzielen. Deshalb weisen, wie forensische Analysen ergeben haben, APTs keine einheitlichen Muster auf. Sie nutzen häufig den ersten infizierten Rechner als „Sprungbrett“ in das lokale Netzwerk und verbreiten sich von dort aus weiter („Persistent“) und werden so zur Bedrohung für das gesamte Netzwerkt (Threat“). Ziel des Angriffs sind nicht primär vertrauliche Daten, zum Beispiel zum Verkauf auf dem Schwarzmarkt – typisch für herkömmliche Malware – sondern Zugangsdaten zu weiteren Systemen im Opfernetz. Das übergeordnete Ziel ist im Sinne klassischen Cyber-Warfares die Spionage oder Sabotage.

Damit ein APT erfolgreich ist, muss er möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen oder anderweitig Schaden anzurichten. Insbesondere durch die Installation von Rootkits auf dem kompromittierten System werden zukünftige Anmeldevorgänge („Logins“) des Eindringlings verborgen, Prozesse getarnt und Dateien versteckt. Eine weitere Sammlung von Softwarewerkzeugen oder Bootloadern ist das Bootkit – eine Mischung aus Bootsektorviren und Rootkits. Die unautorisierten Programmcodes werden eingeschleust um die Hardware und die Software des Computers unter die Kontrolle der Angreifer zu bringen. So wird sukzessive die gesamte IT-Struktur unterwandert. Es ist daher von höchster Bedeutung, APTs frühzeitig zu erkennen, um eine Ausbreitung zu verhindern und adäquat reagieren zu können. Kritischste Phase bei einem APT-Angriff ist demzufolge die Erstinfektion des Zielrechners. Wird das Einfallstor („Rechner 0“) früh genug ausfindig gemacht, kann ein Übergreifen auf das Netzwerk verhindert werden. Mit dem Bekanntwerden früher APTs witterten Anbieter von Next-Generation-Firewalls, Intrusion-Prevention und E-Mail-Sicherheitslösungen das große Geschäft. Beworben werden aufwändige, Softwarebasierte Multi-Layer-Ansätze: Schwachstellen-Detektoren, Antivirus-Software, Black-Lists, Sicherheitsfeeds, Scans des Datenverkehrs und SSL-Scanning für verschlüsselte Daten, Big-Data-Analyse und verschiedene Tools zur Verhaltensanalyse versprechen Frühwarnungen. Man wirbt damit, dass der gesamte Lebenszyklus eines APTs in Betracht gezogen wird. Leider liegt bei diesem Arsenal an Abwehrmechanismen der tatsächliche Fokus verstärkt auf der Abwehr statt auf der Früherkennung von APTs. Typische Achillesfersen der Netzwerke sind mobile Mitarbeiter und Geräte sowie kleine Unternehmenseinheiten. Da sie außerhalb des Netzwerks liegen, sind sie ideale Ziele.

Es gibt aber noch ein größeres Problem: APTS und Rootkits verstecken sich an Orten die von diesen traditionellen Abwehrmechanismen nicht erkannt werden, weil diese sich außerhalb des Betriebssystems (OS) des Computers befinden, im Schattenreich zwischen Hard- und Software, dem BIOS („basic input/output system“). Das BIOS enthält die Firmware des Computers. Es ist in einem nichtflüchtigen Speicher des PCs abgelegt und wird unmittelbar nach dessen Einschalten ausgeführt. Aufgabe des BIOS ist es unter anderem, den PC zunächst durch das Starten der Hardwarekomponenten (Bildschirm, Tastatur, Festplatte) funktionsfähig zu machen und so im Anschluss den Start des Betriebssystems einzuleiten. Läuft das Betriebssystem, starten auch Firewall und Virusscanner. Der Faktor Zeit ist entscheidend in der rechtzeitigen Eindämmung von APTs – deshalb besteht der wirksamste Schutz in der Erkennung von versteckten Root- beziehungsweise Bootkits im BIOS selbst.

Nachdem der PC eingeschaltet wurde, wird die BIOS-Firmware ausgeführt. Das Startprogramm für das Betriebssystem, das Bootblock, wird im zweiten Schritt ausgeführt und startet zum Beispiel Windows. Wurden durch einen APT Boot- beziehungsweise. Rootkits eingeschleust, können diese Einfluss auf die Prozessoren (CPUs) ver-schiedener Hardwarekomponenten nehmen (wie etwa von Graphikkarten, Tastatur, Bildschirm), und/oder den Arbeitsspeicher (Memory) des Betriebssystems.

Anhand eines speziellen Chips – dem TPM („Trusted Platform Module“), einem nach offenen Industriestandards entwi-ckelten Sicherheitschip, fest verbunden mit der Basisplatine („Motherboard“) des PCs – können die PCR-Werte („Platform Configuration Registers“) des Computers auf Anomalien überprüft werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Warum Software nicht ausreichend vor zielgerichteten Attacken schützt
2. Sprungbrett ins lokale Netzwerk
3. Trusted-Computing

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft