Infoguard Innovation Day
24.01.2018, 15:18 Uhr
Auf der Jagd nach APT-Hackern
Vor allem Hacker, die gezielt Firmen angreifen, bedienen sich ausgefeilter Methoden, um lange unerkannt im Unternehmensnetz ihr Unwesen zu treiben. Trotzdem sind ihnen Security-Experten auf der Spur. Wie sie dabei vorgehen, wurde am Innovation Day von Infoguard aufgezeigt.
Stefan Rothenbühler von Infoguard ist spezialisiert auf die Jagd nach APT-Angreifern
(Quelle: Jens Stark / NMGZ)
Sogenannte APT-Angriffe (Advanced Persistent Threat) sind schwierig zu entdecken. Das ist auch die Absicht der Hacker. Sie möchten sich möglichst lange, manchmal über Jahre hinweg, unentdeckt in einem Zielnetz einnisten und auf den richtigen Zeitpunkt für eine dann meistens sehr gezielte Attacke warten.
Trotzdem werden APT-Hacker gejagt, und zwar etwa von Stefan Rothenbühler, der als Security Analyst im Cyber Defense Center der Baarer Infoguard arbeitet. In seinem Vortrag am Innovation Day am Hauptsitz von Infoguard zeigte er auf, wie sein Team und er dabei vorgehen.
Wichtigste Strategie, so Rothenbühler, sei dabei, sich auf die Spuren zu konzentrieren, welche der Attacker zwar hinterlässt, aber die er selbst nicht kennt. Die meisten traditionelleren Strategien würden dagegen zu sehr auf bekannte Vorgehensweisen des Angreifers setzen, also ob er eine bestimmte Malware verwendet, wo sein Command-and-Control-Server steht und den Weg, über den er schlussendlich den Schadcode ausliefert, beispielsweise via Phishing-Mails. «Gegen diese Detektivarbeit kann sich der Hacker gut schützen, indem er beispielsweise Malware so umschreibt, dass sie von den Virenscannern unerkannt bleiben, oder Standorte des Command-and-Control-Dienstes verschleiert», führt er aus.
«Wir fokussieren dagegen auf das, was der Angreifer nicht weiss. So kann er nicht genau wissen, wie wir nach ihm fahnden», umreisst Rothenbühler die Vorgehensweise. So würden auch Hacker Fehler begehen. Darüber hinaus wisse der Angreifer etwa auch nicht, dass die Jäger ein «Dynamic Baselining» der zu schützenden Infrastruktur erstellten. Dabei wird laut dem Experten von Infoguard der normale Gebrauch der IT-Umgebung eines Unternehmens aufgezeichnet, was die Security-Analysten in die Lage versetzt, anomale Verhaltensweisen von Anwendern, Programmen und Diensten aufzudecken.
Jetzt gehe es darum, das Netz nach solchen Anomalien abzugrasen. Dabei stünden dem APT-Hunter diverse Tools zur Verfügung, von der Gratis-Anwendung bis hin zur spezialisierten Appliance wie etwa von Tanium.
Demo mit der Jagdwaffe
Für die Demo-Jagd greift dann Rothenbühler auf das Tool CIS-ESP zurück, das Informationen aus Windows-Umgebungen zusammenträgt. Eine der angezapften Quellen ist dabei der sogenannte Shimcache. Eingerichtet wurde dieser ursprünglich von Microsoft ab Windows XP, um die Kompatibilität von Programmen festzustellen. Denn in dem Speicher wird jeder Programmstart aufgezeichnet. Seit Windows 7 fliessen noch weitere Informationen in den Shimcache, etwa wenn ein Anwender in ein bestimmtes Verzeichnis geht und sich eine Datei anzeigen lässt. «Das alles sind wertvolle Informationen, die wir für unser Threat-Hunting nutzen können», führt Rothenbühler aus.
Aus der Liste an Prozessen des mit CIS-ESP untersuchten Systems versucht er sodann Anomalien herauszulesen. So fällt ihm auf, dass der Internet-Explorer auf dem untersuchten System lediglich 3 Prozesse ausführt. Die geringe Zahl macht den Jäger stutzig. «Dies könnte ein Zeichen sein, dass hier etwas faul ist und dass dies genauer untersucht werden muss», schlussfolgert er. Hier würde der APT-Hunter beispielsweise die Log-Files des betroffenen Programms in einem weiteren Schritt genauer analysieren.