Die Kunst, Cyber-Dinoknochen zu finden

“APT-Forschung ist wie Paläontologie…”

Nach der Veröffentlichung unseres Berichts über die von einem Nationalstaat geförderte Regin-Operation wurden Stimmen laut, die fragten, ob Antimalware-Unternehmen auf Bitten von Regierungen und Kunden wissentlich Informationen – und auch Detektionen – zurückhalten. Eine ähnliche Frage warf Bruce Schneier im Jahr 2013 auf.

Um den wichtigsten Punkt gleich von vornherein aus der Welt zu räumen: Wir wurden noch nie von einem Kunden oder einer Regierungsorganisation aufgefordert, ein bestimmtes Malware-Sample auf die Weiße Liste zu setzen oder die Detektion einzustellen. Und wir würden nie auf eine solche Forderung eingehen, ganz egal, woher sie stammt.

So etwas kommt einfach nicht vor. In manchen Fällen werden im Rahmen von Ermittlungen zielgerichteter Attacken Geheimhaltungsvereinbarungen mit Kunden abgeschlossen, und wir sind verpflichtet, den Fall vertraulich zu behandeln, aber das betrifft nie das Hinzufügen von Detektionen und den Schutz unseres gesamten Kundenstammes vor Bedrohungen.

Warum hat es also zwei Jahre gedauert, bis wir endlich einen Bericht über Regin veröffentlichten? Ohne passenden Kontext kann es sein, dass Forscher etwas wirklich Wichtiges für eine ungewöhnlich lange Zeit geheim halten. Doch Sicherheitsermittlungen – ähnlich wie forensische Ermittlungen – machen akribische Untersuchungen und Analysen erforderlich und in vielen Fällen ist es wichtig zu beobachten, wie sich das Verbrechen in Echtzeit entfaltet, um einen richtigen Fall daraus machen zu können.

In unserem Fall – ohne unbegrenzte Mittel im Hintergrund und eingedenk der Tatsache, dass wir eine Vielzahl von APT-Akteuren gleichzeitig verfolgen (Careto/Mask, EpicTurla, Darkhotel, Miniduke/Cosmicduke, um nur einige zu nennen) -, werden Ermittlungen zu einem Monate, ja sogar Jahre währenden Prozess, wenn das Ziel das vollständige Verständnis einer Cyber-Operation sein soll.

Sean Sullivan von F-Secure lieferte die perfekte Beschreibung einer APT-Untersuchung, indem er sie mit der Arbeit eines Paläontologen verglich, der einige Knochen eines Dinosauriers gefunden hat. Jeder hat vielleicht einen Knochen, aber niemand hat das vollständige Skelett.

Im Fall von Regin entdeckten wir im Jahr 2012 als erstes einen leicht beschädigten Knochen von einem unbekannten Teil eines Monsters, das in einem mysteriösen Bergsee legt.

(Freundlicherweise zur Verfügung gestellt von southampton.ac.uk)

Findet irgendjemand einen Knochen, so mag er ihn wegwerfen und weiterziehen, doch wir in der Sicherheitsforschung sammeln die Dinge. Der Originalfund landete in unserer Sachen-Sammlung im Hinterhof. Wir haben viele solcher angeschlagenen Knochen von niemals gesehenen Monstern oder vielleicht auch von harmlosen Kreaturen. Manchmal hören wir etwas über Knochenteile, die von anderen gefunden wurden und das verleitet uns dann dazu, einen genaueren Blick darauf zu werfen. Doch in diesem frühen Stadium – ohne ausreichende Beweise – ist es nicht möglich, sinnvolle Schlussfolgerungen zu ziehen, und es ergibt keinen Sinn, mit den Entdeckungen an die Öffentlichkeit zu gehen, bevor man nicht mit Sicherheit behaupten kann, dass die Monster wirklich real, groß und gefährlich sind.

Wir forschen in viele Richtungen, um unterschiedliche Artefakte zu sammeln, die zu einigen Stücken aus unserer Sammlung passen oder eben auch nicht passen. Manchmal arbeiten wir mit anderen "Paläontologen" zusammen und teilen unsere Entdeckungen. Haben wir einmal ausreichend viele Knochen von einem Monster zusammengetragen, um seine potentielle Größe, die Gefahr, die von ihm ausgeht und seinen möglichen Lebensraum zu bestimmen, können wir in die nächste Phase eintreten, bei der es sich dann schon um echte, aktive Ermittlungsarbeit handelt, die uns zu dem mysteriösen Bergsee führen könnte.

Ein umfassendes APT-Forschungsprojekt läuft in mehreren Stufen ab:

  1. Detektion für bekannte Module hinzufügen
  2. Samples sammeln
  3. Samples reversieren
  4. Raffinierte Verschlüsselungs – und Komprimierungstechniken entschlüsseln
  5. Laterale Bewegungen nachvollziehen
  6. Die einzelnen Angriffsstufen in die richtige Reihenfolge bringen
  7. Die C&C-Infrastruktur aufzeichnen
  8. Sinkholes errichten
  9. Den gesammelten Traffic und die Kommunikationsprotokolle analysieren
  10. Andere Hosts abarbeiten, die dasselbe Protokoll verstehen
  11. C&C-Server demontieren und Abbilder von ihnen erstellen
  12. Opfer identifizieren, Opfer und die globalen CERTs benachrichtigen
  13. Forensische Analyse anwenden und Protokolle, gestohlene Dateien und andere Komponenten herausziehen
  14. Die Daten vom KSN, den C&C-Servern und individuellen Opfern, die gewillt sind, mit uns zusammenzuarbeiten, von Sinkholes, Crawlern usw. sammeln und analysieren
  15. Einen umfassenden Bericht schreiben

Wenn wir Glück haben, finden wir ein Monster in freier Wildbahn – die beste Quelle für wissenschaftliche Studien. In den meisten Fällen, Regin eingeschlossen, lernen wir von dem Verhalten eines lebendigen Monsters. Wir zeichnen jeden einzelnen Schritt und jedes Vorhaben auf.

Gleichzeitig können wir es auch einfangen und im Labor studieren wie Zoologen. Trotzdem bekommen wir in vielen Forschungsuntersuchungen nur ein Skelett eines Monsters zu sehen. Wir müssen alles zusammensetzen und rekonstruieren, wie das Monster sich bewegt und verhalten hat, welche Arten es angegriffen hat und wie diese Attacken koordiniert wurden. Einfach ausgedrückt: Es erfordert Zeit und Geduld.

Außerdem: Wenn wir die Eigenschaften einer bestimmten Kreatur analysieren, berücksichtigen wir dabei auch, dass die Evolution voranschreitet und es auch noch andere Spezies gibt, lebendig und aktiv, dabei aber komplett unsichtbar für uns.

Während einige der Regin-Samples schon früh auf unserem Radar erschienen und während wir im Laufe unserer Untersuchungen immer wieder zusätzliche Samples und Artefakte gefunden haben, sind wir doch überzeugt, dass es auch noch andere gibt, die bisher noch unbekannt und unentdeckt sind. In der Vergangenheit wusste man nur wenig über ihre Leben und ihre Existenz, aber wir wissen, dass sie da waren, weil wir im Laufe der Zeit winzige Fragmente gefunden haben. Und ich muss erneut einen Bezug zur Paläontologie herstellen, denn an dem Großen und Ganzen gemessen haben wir erst einen kleinen Teil des gesamten Biests entdeckt, aber immerhin schon genug, um einen öffentlichen Alarm auszulösen.

Wie im Fall von Regin detektieren wir manchmal schon seit Jahren Teile einer Malware, bevor wir bemerken, dass sie Teil einer globalen Cyberspionage-Kampagne sind. Ein gutes Beispiel dafür ist die Geschichte von Roter Oktober. Wir haben schon lange Komponenten von Roter Oktober detektiert, bevor wir herausfanden, dass sie in zielgerichteten Attacken gegen diplomatische Einrichtungen, Regierungsorganisationen und wissenschaftliche Forschungsinstitute eingesetzt wurden.

Bei Kaspersky Lab bearbeiten wir tagtäglich hunderttausende Samples. Die Kunst, herauszufinden, welche von ihnen von Bedeutung sind, und weiterhin auszumachen, welche als Teil einer groß angelegten APT-Attacke zusammengehören, ist mit der Suche nach Nadeln in einem großen Heuhaufen vergleichbar. Hat man welche gefunden, muss man anschließend noch herauszufinden, welche Nadeln zu welcher Strickarbeit gehören. Wir sind dankbar für jede Nadel, die wir finden, denn dadurch wird die Welt ein wenig sicherer.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.