Advanced Persistent Threats (APTs): Erkennen, Abwehren, Reagieren

APT1 (China), APT28 “Fancy Bear” (Russland), Lazarus Group (Nordkorea), Volt Typhoon - diese Akteure operieren in Unternehmensnetzwerken nicht Minuten, sondern Monate. Das durchschnittliche Unternehmen bemerkt eine APT nach 207 Tagen. Was können Sie tun um diese Zeit drastisch zu verkürzen?

Was unterscheidet APTs von normaler Malware?

Merkmal	Standard-Cyberkriminalität (Opportunistisch)	Advanced Persistent Threat (Gezielt)
Angreifer	Automatisierte Malware-Kampagne, viele Ziele	Qualifiziertes Team (oft staatlich gesponsert)
Ziel	Schnelles Geld (Ransomware, Banking-Trojaner)	Spionage, Sabotage, langfristige Kontrolle
Dauer	Minuten bis Stunden	Monate bis Jahre in einem Netzwerk
Methodik	Mass-Exploit, bekannte Schwachstellen	Zero-Days, Living-off-the-Land, individuelle Malware
Tools	Commodity-Malware (kaufen, nicht selbst entwickeln)	Selbst entwickelt, signaturlos, EDR-umgehend
Erkennung	Verhältnismäßig einfach (Signaturen, Verhalten)	Sehr schwierig (bewusst auf Tarnung ausgelegt)

APT-Charakteristika

• Geduld: keine Eile, lieber unentdeckt bleiben
• Ressourcen: Budget für 0-Day-Exploits, Hardware-Implants
• Fokus: ein spezifisches Ziel über lange Zeit
• Redundanz: mehrere Backdoors für Persistenz
• Living off the Land: nutzt legitime Windows-Tools (PowerShell, WMI, PsExec) - kein eigener Malware-Code → EDR findet nichts!
• Custom Malware: einmalig entwickelt für dieses Ziel → keine Signatur

Wer ist betroffen?

• Klassisch: Rüstung, Energie, kritische Infrastruktur, Regierung
• Zunehmend: Pharmaunternehmen (COVID-Impfstoff-Diebstahl!), Anwaltskanzleien
• KMU als Einstiegspunkt: “Island Hopping” - KMU angegriffen um größeres Ziel zu erreichen
• 43% aller APT-Angriffe starten mit einem Lieferanten (Mandiant 2024)

Die APT Kill Chain

Phase 1: Reconnaissance (Aufklärung)

Dauer: Wochen bis Monate

Methoden:

• LinkedIn: Mitarbeiterprofile, Technologien, Zulieferer
• OSINT: Job-Postings enthüllen verwendete Technologien (“Suchen Java-Entwickler mit Spring Boot und Elasticsearch”)
• Shodan: öffentlich erreichbare Systeme
• Social Media: Reisepläne, Konferenz-Teilnahmen (für physische Annäherung)

Bekannte APT-Taktiken: APT29 betreibt monatelange Aufklärung bevor das erste Phishing-Mail verschickt wird.

Phase 2: Weaponization (Waffe entwickeln)

• Zero-Day-Exploit entwickeln oder kaufen (Preis: 100k - 2 Mio. USD!)
• Custom Backdoor/RAT entwickeln (einmalig, keine Signatur)
• Spear-Phishing-Dokument vorbereiten (Office-Macro, LNK-Datei)
• Infrastruktur aufbauen: Command-and-Control-Server, Domänen

Phase 3: Delivery (Lieferung)

Spear-Phishing (häufigster Vektor):

• Sehr zielgerichtetes E-Mail: kennt Empfänger, Kontext, Sprache
• Beispiel APT28: E-Mail mit “Tagesordnung Vorstandssitzung.docx” → Macro lädt Backdoor nach

Watering Hole:

• APT kompromittiert Website die das Ziel regelmäßig besucht
• Besucher wird automatisch infiziert (Drive-by)

Supply Chain:

• Kompromittierung von Software-Update (SolarWinds!)
• Ziel bekommt legitimes Update → enthält Backdoor

Phase 4: Exploitation (Ausnutzung)

• Zero-Day wird ausgeführt
• Oder Social Engineering: User aktiviert Macro
• Oder ungepatchte Schwachstelle (warum Patch-Management kritisch ist!)

Phase 5: Installation (Persistenz)

Living off the Land (LotL) - häufig bei APTs:

• Scheduled Task erstellt: PowerShell-Befehl täglich
• WMI Event Subscription: Backdoor startet bei Systemstart
• Registry Run Key: klassisch, aber erkennbar
• DLL Side-Loading: legitime App lädt modifizierte DLL
• Bootkit: Malware im Master Boot Record (sehr persistent!)

Phase 6: Command & Control (C2)

APT-typische C2-Techniken (Tarnung):

• HTTPS zu legitimen Cloud-Diensten: OneDrive, Google Drive, GitHub - “Traffic geht zu microsoft.com” → Firewall erlaubt
• DNS Tunneling: Daten in DNS-Queries (langsam, aber schwer zu erkennen)
• Slow Beaconing: C2-Check-in alle 8-24h (kein erkennbares Muster!)
• Domain Fronting: Traffic erscheint von CDN (Cloudflare, Azure CDN)

Phase 7: Actions on Objectives (Ziele erreichen)

• Lateral Movement: von initialem PC zu höher privilegierten Systemen
• Data Exfiltration: gestohlene Daten (oft langsam, in kleinen Paketen)
• Sabotage: Malware deployen (NotPetya, Industroyer)
• Persistenz sichern: mehrere Backdoors, falls eine entdeckt wird
• Credential Harvesting: Passwörter für langfristigen Zugang

Indikatoren für APT-Aktivität

Netzwerk-Indikatoren

• Ungewöhnliche HTTPS-Verbindungen zu Cloud-Diensten (OneDrive C2)
• Hohe DNS-Query-Frequenz zu unbekannten Domains (DNS Tunneling)
• Große Datenmengen in ungewöhnliche Richtungen (Exfiltration)
• Verbindungen zu Tor-Exit-Nodes oder bekannten C2-IPs (Threat Intel)
• Beaconing: regelmäßige Verbindungen mit konstantem Intervall

KQL-Beispiel (Microsoft Sentinel):

DeviceNetworkEvents
| where RemoteUrl has "onedrive"
and InitiatingProcessFileName != "OneDrive.exe"

DnsEvents
| summarize count() by Name
| where count > 100

Endpoint-Indikatoren (EDR)

• PowerShell mit encoded/obfuscated Befehlen - Regel: ProcessCommandLine has "encodedcommand" oder "IEX("
• WMI für Persistenz: wmic /namespace:\root\subscription
• Scheduled Tasks erstellt von ungewöhnlichen Prozessen
• LSASS-Memory-Dump (Credential-Diebstahl!): ProcessName = “procdump” oder “taskmanager” → LSASS als Target
• Pass-the-Hash / Pass-the-Ticket: Logon-Typ 3 mit ungewöhnlichem Source
• Shadow Copy Deletion: vssadmin delete shadows (Ransomware-Vorbereitung)

Active Directory-Indikatoren

• Kerberoasting: ungewöhnliche TGS-Anfragen für Service-Accounts - Event ID 4769 (viele in kurzer Zeit)
• BloodHound-Reconnaissance: LDAP-Abfragen für AD-Struktur
• DCSync: Replikationsanfragen von nicht-DC (AD-Dump!) - Event ID 4662: Directory Service Access auf Domain Controller
• Golden Ticket: Kerberos-Tickets mit ungewöhnlicher Lifetime (10+ Jahre)
• Admin-Account-Erstellung um 3 Uhr nachts

MITRE ATT&CK Techniken (häufig bei APTs)

Technik-ID	Beschreibung
T1059.001	PowerShell (Living off the Land)
T1078	Valid Accounts (gestohlene Credentials)
T1003.001	LSASS Memory Dump (Credential Access)
T1021.002	SMB/Windows Admin Shares (Lateral Movement)
T1053.005	Scheduled Task (Persistence)
T1041	Exfiltration Over C2 Channel
T1071.001	Web Protocols (C2 via HTTPS)

Threat Hunting gegen APTs

Proaktiver Ansatz

Ansatz	Beschreibung
Reaktiv (SIEM-Alert)	“Ein Alert sagt es gibt ein Problem”
Proaktiv (Threat Hunting)	“Ich suche aktiv nach APT-Aktivitäten”

Hunting Hypothese (Beispiel)

“Unsere Branche wird von APT28 angegriffen (Threat Intel). APT28 nutzt T1059.001 PowerShell + T1078 Valid Accounts. Suche nach: PowerShell mit Encoded Commands von normalem User-Context in den letzten 30 Tagen.”

KQL-Hunts (Microsoft Sentinel)

Hunt 1: PowerShell Obfuscation

DeviceProcessEvents
| where FileName == "powershell.exe"
| where ProcessCommandLine has_any ("encodedcommand", "-enc", "IEX", "Invoke-Expression")
| where InitiatingProcessFileName !in ("powershell_ise.exe", "vscode.exe")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
| order by Timestamp desc

Hunt 2: Ungewöhnliche LSASS-Zugriffe

DeviceEvents
| where ActionType == "OpenProcessApiCall"
| where FileName == "lsass.exe"
| where InitiatingProcessFileName !in ("svchost.exe", "csrss.exe", "wininit.exe",
  "lsaiso.exe", "services.exe", "MsMpEng.exe", "WindowsSandboxClient.exe")
| project Timestamp, DeviceName, AccountName, InitiatingProcessFileName,
  InitiatingProcessCommandLine

Hunt 3: DC-Replikation von Nicht-DCs (DCSync)

SecurityEvent
| where EventID == 4662
| where Properties has "Replicating Directory Changes All"
| where SubjectAccount !endswith "$"  // Kein Computer-Account
| project TimeGenerated, SubjectAccount, ObjectName, IpAddress

Hunt 4: Kerberoasting

SecurityEvent
| where EventID == 4769
| where ServiceName !endswith "$"
| where TicketEncryptionType == "0x17"  // RC4 = kein AES = Kerberoasting!
| summarize count() by Account, ServiceName, IpAddress
| where count > 5  // Mehrere TGS-Anfragen = Verdacht
| order by count desc

Abwehrmaßnahmen speziell gegen APTs

1. Credential-Schutz (häufigster APT-Angriffsweg)

• Credential Guard aktivieren (Windows 10+): GPO → Computer Config → Admin Templates → System → Device Guard → Turn On Virtualization Based Security = Enabled → LSASS in isolierter VM → Credential-Dump unmöglich!
• Protected Users Security Group (AD): Kerberos Constrained Delegation für Admins deaktivieren, 4h Token-Expiry für Admin-Accounts, NTLM für Protected Users deaktiviert
• LAPS (Local Admin Password Solution): verhindert Pass-the-Hash zwischen Workstations

2. Attack Surface Reduction (ASR)

ASR-Regeln in Defender aktivieren:

• Block Office Macros from calling Win32 APIs
• Block Office from creating executable content
• Block executable content from email
• Block credential stealing from LSASS
• PowerShell Constrained Language Mode für normale User
• AppLocker/WDAC: nur genehmigte Executables zulassen

3. Network Segmentation gegen Lateral Movement

• Workstations können nicht zu anderen Workstations verbinden (SMB!) - Firewall-Regel: Block Workstation → Workstation Port 445
• Privilegiertes Management-VLAN: nur für Admin-Aktivitäten
• East-West-Traffic monitoren: ungewöhnliche interne Verbindungen

4. Threat Intelligence Integration

• MISP oder kommerziellen TI-Feed an SIEM anbinden
• APT-Group-Profile für eigene Branche verstehen
• BSI-Lageberichte und CISA Alerts abonnieren
• ISACs der Branche beitreten (German Healthcare ISAC, etc.)

5. Deception Technology

• Honeytokens: gefälschte Admin-Credentials in Dateien - wenn genutzt: sofort Alert!
• Honeypot-PCs im VLAN
• Fake Active-Directory-Objekte

6. Supply Chain

• Lieferanten nach Security-Kriterien bewerten
• Third-Party-Access: separates VLAN, JIT-Zugang
• Software-Signing prüfen, SBOM fordern

---

APTs erkennen zu können erfordert nicht nur Technologie - es braucht Threat Hunting, aktuelle Threat Intelligence und eine gut konfigurierte Detektionsinfrastruktur. AWARE7 unterstützt beim Aufbau von Detection-Capabilities und führt Threat-Hunting-Engagements durch.

Threat-Hunting-Beratung anfragen | Red Team Assessment