Skip to content
#
Wiki
<

APT – Advanced Persistent Threat

/>

Was ist ein Advanced Persistent Threat (APT) und wie unterscheidet es sich von herkömmlichen Cyberangriffen?

Die Eigenschaften und Merkmale von APTs

Als Advanced Persistent Threats (dt. fortgeschrittene, andauernde Bedrohungen) bezeichnet man Angriffe, die in mehreren Stufen durchgeführt werden. Des Weiteren sind an dieser Art von Angriff in aller Regel professionelle „Hacker“ beteiligt.
Der Begriff APT wird fälschlicherweise gerne für alle Arten von Angriffen verwendet die komplexer aufgebaut sind, als beispielsweise eine Ransomware Kampagne.

APTs werden häufig im Zusammenhang mit Nation State Actors (Regierungen) genannt. Im Grund kann ein APT Angriff aber von jedem durchgeführt werden, der das Wissen und die Geduld mitbringt, in mehreren Stufen und mit verschiedenen Werkzeugen in ein Netzwerk einzudringen und Daten und Informationen zu stehlen.

Die 8 Stufen eines APT - Advanced Persisten Threat Angriffs

1. Informationsbeschaffung, Reconnaissance

Die Angreifer sammeln alle Informationen die sie im Netz und durch Social Engineering über das Ziel bekommen können.

2. Das Eindringen / The initial compromise

Jetzt werden die im vorigen Schritt gefundenen Lücken und Schwachstellen ausgenutzt, um in das System einzudringen.

3. Brückenkopf einrichten / Establish beachhead

In diesem Schritt errichten die Angreifer einen dauerhaften Zugangspunkt in das System, beispielsweise durch Backdoors, um später einen bequemen Zugang zum System zu haben.

4. Rechteausweitung / Privilege Escalation

Die Rechteausweitung auf dem System hat zum Ziel, den Angreifern administrativen Zugriff auf das System zu gewähren.

5. Interne Informationsbeschaffung / Internal Reconnaissance

Mit administrativen Rechten ausgestattet, werden nun Informationen über die Netzwerkstruktur gesammelt und ausgewertet.

  • Wo befinden sich die Datenbanken?
  • Wo werden die Entwicklungsergebnisse gelagert?
  • Wie kann ich mich weiter ausbreiten?

6. Ausbreitung / Network Colonization

In diesem Schritt versuchen die Angreifer weitere Geräte im Netzwerk zu kompromittieren und unter Ihre Kontrolle zu bringen.

7. Einnisten / Persist

Die Angreifer haben das Netzwerk bereits ganz oder teilweise unter Ihrer Kontrolle. Jetzt werden Maßnahmen getroffen, um die Werkzeuge unentdeckt zu halten und Spuren zu verwischen.

8. Exfiltration / Complete the Mission

Der finale Schritt eines APT ist das Exfiltrieren der erbeuteten Daten und Informationen, oder allgemeiner ausgedrückt:
„Das Vollenden der Mission“
Zusätzlich werden in der Regel die Spuren verwischt, oder die Systeme zerstört.

Ein prominentes Beispiel für einen APT war der Angriff auf das Stromversorgungsnetz der Ukraine Ende Dezember 2015. Dabei gelang es Angreifern, in mehreren Schritten Zugang zu einem sonst abgeschotteten Teil der Steuerung zu erlangen. Die Folge waren Stromausfälle zur Weihnachtszeit und daraus resultierendes Chaos.

Sie haben Fragen zu APT und ob Sie betroffen sind?