Begriff
Advanced Persistent Threat (APT)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Normale Hacker sind wie Einbrecher. Fenster einschlagen, Fernseher klauen, wegrennen. (Laut, schnell). Ein APT ist wie ein Spion im kalten Krieg.
- Advanced: Sie haben Top-Werkzeuge (Zero-Days), die niemand kennt. Oft staatlich finanziert (NSA, Russland, China).
- Persistent: Sie wollen nicht schnell rein und raus. Sie wollen bleiben. Monate, Jahre. Sie nisten sich tief im Netzwerk ein, um dauerhaft Daten abzusaugen.
- Threat: Sie haben ein klares Ziel (Industriespionage, Sabotage), kein zufälliges Opfer.
Merksatz: Ein komplexer, zielgerichteter Cyberangriff, bei dem sich Angreifer (oft staatliche Akteure) langfristig und unbemerkt Zugang zu einem Netzwerk verschaffen.
Als Verteidiger ("Blue Team") suchst du APTs nicht mit Virenscannern (die finden nichts). Du machst Threat Hunting. Du suchst nach winzigen Anomalien. "Warum loggt sich der CEO nachts um 3 Uhr aus Nordkorea ein?" "Warum sendet der Drucker 5 GB Daten an einen unbekannten Server?" APT-Gruppen haben Nummern: APT28 (Russland, Fancy Bear), APT1 (China).
1. Cyber Kill Chain
Modell von Lockheed Martin, wie APTs vorgehen:
- Reconnaissance (Ausspähen).
- Weaponization (Virus bauen).
- Delivery (Phishing Mail).
- Exploitation (Lücke nutzen).
- Installation (Backdoor).
- C2 (Command & Control).
- Actions on Objectives (Daten klauen). Man muss die Kette möglichst früh brechen.
2. Living off the Land (LotL)
APTs nutzen oft keine Malware. Sie nutzen Windows-Tools (powershell, wmic), die eh da sind.
Das macht sie unsichtbar für Virenscanner ("Warum alarmieren? PowerShell ist doch erlaubt.").
1. Lateral Movement & Golden Ticket
Ist ein APT auf dem ersten kompromittierten System (z. B. dem Rechner des Empfangschefs), beginnt das Lateral Movement. Das Ziel sind oft Active Directory Domain Controller. Ein gefürchteter Move ist der Golden Ticket Attack. Wenn Angreifer den Passwort-Hash des krbtgt-Accounts (Kerberos TGT) extrahieren können, schmieden sie sich fortan selbst als Domain Admin ausstellende Ticket-Granting-Tickets. Dieses Ticket ist kryptografisch valide und selbst wenn man das Passwort aller User ändert, bleibt das Golden Ticket bestehen, bis man das krbtgt Passwort (oft mehrfach) rollt.
2. Supply Chain Angriffe als Infiltration
Warum mühsam die Firewall einer CIA-Contractor-Firma knacken, wenn man die Update-Software knacken kann, der sie vertrauen? Der SolarWinds Hack (UNC2452) war der Masterclass-APT der Supply-Chain-Kategorie. Angreifer kompromittierten den Build-Server von SolarWinds. Die von SolarWinds signierten, völlig legitimen Updates enthielten die "Sunburst" Backdoor. Resultat: Etliche US-Ministerien installierten sich die Backdoor selbst. Solche Angriffe sind extrem teuer in der Entwicklung (Wissen über CI/CD der Target-Firma), aber die Skalierung ist verheerend.
3. Detection via C2-Beaconing
Wie bleiben Verteidiger im Spiel? APTs müssen mit ihrem Heimat-Server kommunizieren, um Befehle (Command & Control, C2) abzuholen. Wenn ein infizierter Server jede Sekunde pingt, fällt das dem SOC (Security Operations Center) sofort auf. Gute APTs machen daher Jitter-Beaconing (sie pingen in randomisierten, langen Abständen). Blue Teams kontern mit Machine Learning auf NetFlow-Daten: Modelle scannen nach periodischen Mustern in verschlüsselten DNS-Anfragen oder analysieren die Entropie in TLS-Zertifikatsnamen, um Domain Generation Algorithms (DGA) von C2-Infrastruktur aufzuspüren.
Quick-Check
Bin ich ein Ziel?
Als Privatperson eher nicht (zu uninteressant). Als Rüstungskonzern, Bank oder Regierung: Definitiv. Aber: Manchmal wirst du als "Sprungbrett" genutzt, um an das eigentliche Ziel zu kommen.Wie fliegt ein APT auf?
Meistens durch dumme Fehler nach Monaten. Oder durch Whistleblower. Die durchschnittliche "Dwell Time" (Zeit bis zur Entdeckung) liegt bei ca. 200 Tagen!Was war der berühmteste APT?
Stuxnet. Ein Computerwurm (USA/Israel), der iranische Atomanlagen sabotierte. Er war so advanced, dass er Zentrifugen physisch zerstörte, während er den Monitoren "Alles OK" meldete.