Schlagwort-Archive: APT

XDR-Untersuchung deckt mit PlugX eine einzigartige Technik bei APTs auf

Schreibe eine Antwort

Originalbeitrag von Gilbert Sison, Abraham Camba, Ryan Maglaque

Advanced Persistent Threats (APT) sind für ihre Aktionen im Verborgenen allgemein gefürchtet. Die Hintermänner entwickeln ihre Techniken aktiv weiter, um der Entdeckung zu entgehen und sicherzustellen, dass sie ihre Präsenz in einer Umgebung so lange wie möglich aufrechterhalten. Mithilfe des Apex One mit Endpoint Sensor (iES) entdeckten die Sicherheitsforscher von Trend Micro einen Vorfall, bei dem ein Angreifer ausgeklügelte Techniken einsetzte, um sensible Informationen aus einem Unternehmen zu exfiltrieren. Die einzigartigen Taktiken, Techniken und Prozeduren (TTPs), die bei diesem Angriff verwendet wurden, machen nochmals deutlich, wie wichtig mehrschichtige Erkennungs- und Reaktionslösungen sind.
Weiterlesen

Gezielte Angriffe verstehen: Von den sieben Mauern von Minas Tirith lernen

Schreibe eine Antwort

Originalartikel von Martin Roesler, Director for Threat Research

Bei gezielten Attacken befinden sich die Angreifer im Vorteil, und Anwender sind gut beraten, dies zu akzeptieren, um gegen die Angriffe vorgehen zu können. Wie bereits in einem früheren Beitrag aufgezeigt, haben die Kriminellen zwar die bessere Kontrolle über das Geschehen, doch heißt das nicht, dass Unternehmen keine Handhabe dagegen besitzen.
Weiterlesen

Gezielte Angriffe verstehen: Wogegen müssen wir uns tatsächlich wehren?

Schreibe eine Antwort

Originalartikel von Martin Roesler, Director for Threat Research

Das meiste, was die Sicherheitsindustrie über gezielte Angriffe weiß, hat sie auf die harte Tour gelernt – nämlich über die Analyse erfolgreicher Angriffe. Dabei mussten die Branchenvertreter feststellen, wie wenig sie über die Hintergründe und derzeitigen Methoden der Angreifer wissen. Das fehlende Verständnis aber führt auch dazu, dass der Umgang mit den Attacken schwierig ist. Haben also die Angreifer die Oberhand? Die Antwort lautet leider ja.
Weiterlesen

2013: Schach den Cyberkriminellen

Schreibe eine Antwort

Originalartikel von Trend Micro

Man kennt es aus dem Fußball: Um gegen das gegnerische Team zu gewinnen, ist es enorm wichtig, die Videoaufnahmen der vergangenen Spiele des Gegners zu analysieren, um dessen Strategien zu verstehen und auf dieser Basis eine eigene Taktik aufzubauen. So wie das Fußballteam dem Können und den Stärken des Gegners mit einer solchen Analyse Respekt entgegenbringt, so sollten auch die Taktiken der Cyberangreifer genau untersucht werden, um eine eigene Verteidigung aufbauen zu können.

In einem neuen Papier The Knight Fork: Defining Defense in 2013 durchleuchtet Tom Kellermann von Trend Micro die APT-Kampagnen des letzten Jahres und skizziert Verteidigungstaktiken und Risikomanagement für 2013. Er benutzt als Vergleich dafür eines der Schlüsselprinzipien zur Verteidigung im Schachspiel, nämlich die so genannte „Springergabel“. Dies ist ein Zug, bei dem gleichzeitig zwei gegnerische Figuren angegriffen werden. In Analogie dazu, beschreibt er die Bereiche, in denen die größtmöglichen Verteidigungserfolge bei geringstmöglichem Budget erreicht werden können. „Wir müssen uns fragen, wie wir das Schachbrett so drehen können, dass wir eine Springergabel hinkriegen“, sagt Tom Kellermann.

APT-Forschung 2011, die weniger öffentlich bekannt ist

Schreibe eine Antwort

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

  • Die “Contagio Dump”– und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig für eine Analyse zur Verfügung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
  • Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
  • “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. Für jeden, der APT-Angriffe erforschen will, eine Pflichtlektüre.
  • „1.php“ – ist ein Bericht von Zscaler über eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage für Verteidigungsmaßnahmen.
  • Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen über einen Cyberkrieg Chinas gegen die USA – oder anders rum?
  • “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst überfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
  • “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit für Gmail genutzt wurden, über den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufügen konnten