Spear-Phishing E-Mail: die beliebteste APT-Angriffstechnik - Trend Micro Forschungspapier 2012
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Trend Micro
Forschungspapier
2012
Spear-Phishing E-Mail:
die beliebteste
APT-Angriffstechnik
Autor: TrendLabsSM APT Research Team
Inhalt
Einleitung................................................................................................................................................. 1
Was ist Spear Phishing?....................................................................................................................... 1
Bestandteile von Spear Phishing-Angriffen .................................................................................. 2
Die E-Mail ....................................................................................................................................... 2
Der Anhang ................................................................................................................................... 2
Die üblichen Ziele ........................................................................................................................ 3
Die am häufigsten betroffenen Branchen ..............................................................................4
Die am meisten betroffenen Regionen ...................................................................................4
Spear Phishing als Mittel des Ausspähens von Netzwerken ..................................................... 5
Fazit ........................................................................................................................................................ 6
seite ii | Spear-Phishing Email: die beliebteste APT Angriffstechnik
Einleitung Was ist Spear Phishing?
Die aktuelle Bedrohungslandschaft wird zunehmend von Der Ausdruck Spear Phishing steht in Analogie zu
Advanced Persistent Threat (APT: Komplexe zielgerichtete Spearfishing (deutsch Speerfischen) und lässt sich
Angriffe) Kampagnen bestimmt. Einige davon bleiben als „sehr gezieltes“ Phishing definieren, das sich „auf
sogar dann noch aktiv, wenn sie bereits eine hohe bestimmte Personen oder Gruppen innerhalb einer
öffentliche Aufmerksamkeit erregt haben. Die Routinen Organisation bezieht“. Die Technik nutzt Informationen
der Kampagnen mögen sich mit der Zeit ändern, das Ziel über ein Ziel, um die Angriffe besser darauf zuzuschneiden
bleibt jedoch das Gleiche: sich Eingang in das Netzwerk und „persönlicher“ zu gestalten 3. Beispielsweise werden
einer Organisation zu verschaffen, um dort vertrauliche die potenziellen Opfer beim Namen, mit Titel oder Position
Informationen abzugreifen. im Unternehmen angesprochen, statt generisch wie in
breiter gestreuten Phishing-Kampagnen 4.
Spear Phishing ist nach wie vor ein beliebtes Mittel von-
Angreifern, um sich gezielt in Netzwerke einzuschleichen. APT-Kampagnen setzen Spear Phishing häufig ein, weil
Bei einem typischen Spear Phishing-Angriff wird eine damit auch hochrangige Zielpersonen dazu verleitet
speziell angefertigte E-Mail an bestimmte Adressaten in werden können, bösartigen Phishing-Mails zu öffnen.
einer anvisierten Organisation versendet. Über geschickte Dieser Zielgruppe sind entweder die Sicherheits-Best
Social Engineering-Taktiken werden die Empfänger dazu Practices zu gut bekannt, um auf „gewöhnliche“ Phishing-
verleitet, entweder einen schädlichen Dateianhang Nachrichten hereinzufallen oder sie haben keine Zeit, um
herunter zu laden oder einen Link auf eine Malware generisch klingende Mails zu lesen. In vielen Fällen nutzen
beziehungsweise eine mit einem Exploit bestückte Site Spear Phishing-Mails Anhänge, die legitimen Dokumenten
anzuklicken und damit eine Infektion anzustoßen. gut nachempfunden sind. Die Chancen auf Erfolg stehen
damit gut, denn in großen Unternehmen und Behörden –
Obgleich Spear Phishing keine neue Technik darstellt, ist der Hauptzielgruppe für komplexe, zielgerichtete Angriffe
sie sogar in heutigen Web 2.0-Umgebungen noch effektiv. – ist es üblich, Dokumente über E-Mail auszutauschen.
2011 hatte beispielsweise ein solch gezielter Angriff beim
Sicherheitsanbieter RSA Erfolg. Die Analyse des Vorfalls
ergab, dass die Infektion mit dem Öffnen einer Spear
Phishing-Mail startete 1. Im selben Jahr wurde auch der
E-Mail Service Provider Epsilon Opfer eines solchen
Angriffs, der das Unternehmen etwa vier Milliarden Dollar
kostete 2.
Dieses Forschungspapier präsentiert Trend Micro’s
Erkenntnisse, die die Experten zwischen Februar und
September 2012 aus der Analyse von Spear Phishing-Mails
in Verbindung mit komplexen, zielgerichteten Angriffen
gewonnen haben. Die Untersuchungen ergaben nicht
nur Informationen über Einzelheiten zu Spear Phishing
sondern auch zu gezielten Angriffen. Es stellte sich etwa
heraus, dass 91 Prozent aller gezielten Angriffe über Spear
Phishing-Mails verursacht werden.
1 3
http://blogs.rsa.com/rivner/anatomy-of-an-attack/ http://en.wikipedia.org/wiki/Spearfishing
2 4
http://www.informationweek.com/security/attacks/epsilon-fell-to- http://about-threats.trendmicro.com/Glossary.
spear-phishing-attack/229401372 und aspx?index=P&language=au
http://www.net-security.org/secworld.php?id=10966
seite 1 | Spear-Phishing Email: die beliebteste APT Angriffstechnik
BEstanDtEIlE VOn spEar phIshIng-angrIFFEn
Die E-Mail Der Anhang
Bei einem Spear Phishing-Angriff wird das anvisierte Spear Phishing-Mails können Anhänge mit verschiedenen
Opfer dazu verleitet, entweder einen scheinbar harmlosen Dateitypen umfassen. Die am häufigsten verwendeten
Dateianhang herunter zu laden oder auf einen Link zu Dateitypen in Unternehmen (z. B. .XLS, .PDF, .DOC, .DOCX
klicken, der zu einer mit einem Exploit oder einem Schädling und .HWP) machten 70 Prozent der gesamten Anzahl
verseuchten Webseite führt. Die Datei, häufig ein Programm, der Mail-Anhänge in Spear Phishing-Nachrichten aus, die
welches eine Schwachstelle ausnutzt (Exploit), installiert Trend Micro untersucht hat.
einen Schädling auf dem Computer des Opfers. Die
Schadsoftware greift dann auf einen bösartigen Command Ausführbare Dateien (.EXE) sind in Spear Phishing-Mails nicht
& Control Server (C&C) zu und holt sich dort weitere Befehle sehr häufig anzutreffen. Der Grund dafür liegt wahrscheinlich
ab. Gleichzeitig hinterlegt die Malware meistens eine Köder- darin, dass normalerweise jede Sicherheitslösung Mails mit
Datei, die sich öffnet, sobald der Schädling oder Exploit seine .EXE-Anhängen erkennt und blockiert. Auch werden deshalb
versteckten schädlichen Aktivitäten ausführt. .EXE-Dateien meist komprimiert und in Archive gepackt, bevor
CVE-2009-3129
CVE-2010-3333
CVE-2011-1980
CVE-2009-3129
CVE-2012-0754
Umfasst normalerweise
als Dokumente getarnte
Schadsoftware als
Anhänge
E-Mail mit
bestimmtem Ziel
und Inhalt
Bösartige C&C Server
Zeigt normale Dateien an
Bild 1: Ablauf der infektion, die mit dem Öffnen einer Spear Phishing-Mail startet
sie verschickt werden. Sie kommen also im Format .LZH, .RAR oder .ZiP an. Manchmal sind die komprimierten Dateien sogar mit
einem Kennwort geschützt, um zu verhindern, dass Sicherheitslösungen die inhalte erkennen. Die Kennwörter werden im E-Mail-
Text zusammen mit dem Social Engineering-Köder angegeben.
Werden angehängte ausführbare Dateien extrahiert, so sehen sie üblicherweise verdächtig aus. Deshalb werden schädliche
ausführbare Dateien als Dokumente mit gefälschten icons kaschiert, unter Verwendung der Right-to-Left Override (RLO)-Technik
und mit vielen Leerzeichen im Dateinamen, die die .EXE-Erweiterung verstecken 5.
SEiTE 2 | Spear-phiShing email: die beliebteSte apt angriffStechnik
.LZH - 2% 6%
.HWP - 1%
gezielte Mails
.DOCX - 2% ohne Anhänge
.EXE - 1%
.JPG - 4%
.DOC - 7%
.PDF - 8%
.RTF - 38%
.RAR - 11% 94%
gezielte Mails mit Anhängen
.ZIP - 13%
.XLS -15%
Bild 2: Die am häufigsten in Anhängen von Bild 3: Anteil von gezielten E-Mails mit
Spear Phishing-Mails genutzten Dateitypen Anhängen zu solchen ohne Anhänge
Die üblichen Ziele
Das Monitoring von Trend Micro zeigte, dass 94 Prozent 3%
unbekannt
der gezielten E-Mails schädliche Dateianhänge enthalten,
während die restlichen sechs Prozent andere Methoden 21%
wie die installation einer Malware oder das Herunterladen Ziele außerhalb von
Unternehmen/Behörden
schädlicher Dateien durch das Anklicken von Links auf
infizierte Webseiten verwenden 6.
76%
Ziele in Unternehmen/Behörden
Wie bereits erwähnt, tauschen Mitarbeiter in Unternehmen
und Behörden Dateien (Berichte, Geschäftsdokumente
oder Zusammenfassungen) häufig per Mail aus, da ein
Download über das internet in solchen Umgebungen eher
missbilligt wird. Daher sind genau diese Organisationen
auch häufig potenzielle Opfer von Spear Phishing- Bild 4: Anteil von APT auf Unternehmen/Behörden zu
Angriffen mit bösartigen Anhängen. Angriffen auf Ziele außerhalb von Unternehmen/Behörden
Gezielte E-Mails ohne Anhänge gehen im Gegensatz dazu
viel häufiger an Personen aus Aktivistengruppen und
internationalen Organisationen, deren Mitglieder sich in
verschiedenen Ländern befinden. in diesen Fällen werden
die Opfer dazu verleitet, auf eine Link zu klicken, um
eine Datei von einer Webseite herunterzuladen, die nicht
verdächtig scheint.
5
http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/
6
http://blog.trendmicro.com/trendlabs-security-intelligence/targeted-
attacks-on-popular-web-mail-services-signal-future-attacks/
SEiTE 3 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Die am häufigsten betroffenen Branchen Normalerweise veröffentlichen sie dort auch Kontakt-
möglichkeiten und informationen zu den Mitgliedern, denn
sie suchen die Kommunikation mit der Öffentlichkeit,
Die Beobachtungen während der acht Monate zeigten, um Kampagnen zu organisieren oder neue Mitglieder zu
dass Behörden und Aktivistengruppen am häufigsten gewinnen. Somit stellen sie ein einfaches Ziel dar.
von APT Angriffen über Spear Phishing betroffen waren.
Abgesehen davon, dass Behörden ein häufiges Cyber-
Spionageziel darstellen, könnte der Grund für den Platz Die am meisten betroffenen Regionen
an der Spitze der Ziele darin liegen, dass informationen
zu Regierungsbehörden im internet viel einfacher
zugänglicher sind als solche zu Unternehmen, da sie Zum Schutz von Kunden sowie ihren wertvollen Daten,
öffentlichen Dienstleistungen anbieten und dazu ihre überwacht und entschärft Trend Micro lückenlos mögliche
Kontaktdaten im internet angeben. zielgerichtete Angriffe. Die folgende Grafik zeigt, welche
geografischen Regionen in den acht Monaten der
Aktivistengruppen wiederum haben häufig neben Überwachung am meisten von Spear Phishing-Angriffen
eigenen Webseiten auch Seiten in sozialen Netzwerken. betroffen waren.
Government 65
Activist 35
Heavy equipment 22
Aviation 13
Financial 10
Aerospace 7
Steel 5
Electrical equipment 3
Electronics 2
Education 2
National parties 1
Military 1
Media 1
Machine tools 1
Internet 1
Information services 1
Industrial 1
Engineering 1
Conglomerate 1
Biomedical research 1
Academic research 1
Unknown 6
Bild 5: Branchen, die am häufigsten von APT-bezogenem Spear Phishing betroffen sind
SEiTE 4 | Spear-phiShing email: die beliebteSte apt angriffStechnik
spEar phIshIng als MIttEl DEs
ausspÄhEns VOn nEtZWErKE
Um die Wahrscheinlichkeit für einen erfolgreichen
gezielten Angriff zu erhöhen, erkunden die Angreifer
zunächst ihre ausgewählten Ziele. Das Ausspähen
wird definiert als „Profiling eines Ziels mit dem Zweck,
informationen bezüglich des Schutzes und der dafür
eingesetzten Software zu erhalten, sowie darüber, welche
Rollen und Verantwortlichkeiten die anvisierte Person
innehat“. Diese Daten werden dann für die Wahl der Social
Engineering-Taktik genutzt 7. Das Ausspähen lässt sich in
zwei Phasen aufteilen – vor und nach der infiltrierung.
Die Phase vor der infiltrierung steht in erster Linie
im Zusammenhang mit menschlichen Faktoren. Hier
betreiben die Angreifer ein gezieltes Profiling von
30
interessanten Personen, um sich einen initialen Eintritt
in das anvisierte Netzwerk zu verschaffen. in dieser
25 Phase wird auch die „Liefermethode“ festgelegt, etwa
20 eine Spear Phishing-Mail mit Social Engineering-Technik.
Personenbezogenen Daten wie Name, Job-Titel und Mail-
15
Adresse lassen sich entweder im Untergrundmarkt kaufen,
10 von Hintergrundmännern beziehen oder, als bequemste
Möglichkeit, im internet finden. Soziale Netzwerke,
5
Unternehmens- oder institutspublikationen sowie die
0 Websites von Organisationen erlauben es den Kriminellen,
relevante informationen über ihre Ziele zu sammeln. Die
R
Z
L
AI
NI
LI
T
R
RI
US
UA
BE
ÄR
JU
M
JU
AP
EM
G
M
BR
potenziellen Opfer haben meist hohe Positionen inne
AU
FE
PT
SE
und damit Zugriff auf Dokumente, die für die Angreifer
interessant sind.
JAPAN EMEA NABU APEJ ANDERE
Trend Micro‘s Untersuchungen haben ergeben, dass
Bild 6: Geografische Regionen, die am häufigsten von fast die Hälfte aller genutzten Mail-Adressen für Spear
APT-bezogenem Spear Phishing betroffenen sind Phishing über Google-Suchanfragen zugänglich sind.
Mehr als die Hälfte der restlichen Adressen, die nicht
über Google gefunden werden konnten bestanden
wiederum aus dem Namen des Empfängers und dem
Unternehmens-Mail-Konto nach dem Muster:
empfaenger_name@unternehmen.com.
Fazit: Drei Viertel der mit Spear Phishing in
Zusammenhang stehenden Mail-Adressen
standen im Web zur Verfügung.
7
http://www.trendmicro.co.uk/media/wp/apt-primer-whitepaper.pdf
SEiTE 5 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Das Ausspähen nach der infiltrierung führen die Angreifer
durch, nachdem sie einen Remote Access Trojaner
(RAT) für den Fernzugriff erfolgreich im System des
Opfers installiert haben. Der RAT wird dazu genutzt,
ein Profiling des Zielnetzwerks durchzuführen. Hier
werden informationen darüber gesammelt, welches 54 46%
Betriebssystem auf dem Computer läuft, welche %
Sicherheitssoftware genutzt wird und wie der Zugriff
auf lokale iP-Adressen, Proxy Server und andere Mailadressen, die nicht als Suchabfrage einer Mail-Domänen
Ergebnis einer Google- eines anvisierten Opfers führt zu
Maschinen im Netzwerk erlangt werden kann. All diese Suchanfrage angezeigt werden Unternehmens-Mailadressen
Mailadressen, die als Ergebnis Suchabfrage einer Mail-Domänen
informationen sollen die Langlebigkeit des Angriffs einer Google-Suchanfrage eines anvisierten Opfers führt nicht
erhöhen, die Ausbreitung im infizierten Netz verbessern, angezeigt werden zu Unternehmens-Mailadressen
um schlussendlich so an die gewünschten Daten
heranzukommen. Bild 7: Verhältnis von Spear Phishing Empfänger-Mailadressen im
Web zu solchen, die nicht im Web zu finden sind
FaZIt
Über Trend Micro
Spear Phishing ist auch weiterhin die erste Wahl von Trend Micro, der international führende Anbieter für Cloud-Security,
Cyberkriminellen, um komplexe, zielgerichtete Angriffe ermöglicht Unternehmen und Endanwendern den sicheren Austausch
digitaler informationen. Als Vorreiter bei Server-Security mit mehr
zu veranlassen. Warum? Weil Anwender nach wir vor als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und
Spear Phishing E-Mails zum Opfer fallen und somit einen cloud-basierte Sicherheitslösungen an. Diese Lösungen für internet-
beträchtlichen Schaden in ihren Unternehmen anrichten Content-Security und Threat-Management erkennen neue Bedrohun-
können. Anhänge in Spear Phishing-Mails sind nur gen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-
schwer von normalen Dokumenten zu unterscheiden, die infrastruktur des Trend Micro Smart Protection Network basierenden
tagtäglich in Unternehmen ausgetauscht werden und Technologien, Lösungen und Dienstleistungen wehren Bedrohungen
somit steigt die Wahrscheinlichkeit einer erfolgreichen dort ab, wo sie entstehen: im internet. Unterstützt werden sie dabei
infektion. von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro
ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet
seine Sicherheitslösungen über Vertriebspartner weltweit an.
Zudem erleichtern die im internet verfügbaren
Unternehmensdaten den Angreifern das Sammeln von Weitere informationen zu Trend Micro sind verfügbar unter
Adressen möglicher Opfer. Organisationen sollten daher http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter
ihre vorhandenen Schutzmaßnahmen verbessern und http://blog.trendmicro.de.
gut überlegen, welche informationen sie im internet Folgen Sie uns auch auf Twitter unter
veröffentlichen. www.twitter.com/TrendMicroDE.
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Kunden Hotline 0800 / 330 45 33 14 Cent/Minute aus dem deutschen Festnetz. Bei Anrufen aus dem
Reseller Hotline 01805 / 01 08 73 deutschen Mobilfunknetz abweichende Preise von höchstens 42 Cent/Minute.
sales_info@trendmicro.de
www.trendmicro.com
©2012 by Trend Micro, incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, incorporated. All other product or company
names may be trademarks or registered trademarks of their owners.
SEiTE 6 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Sie können auch lesen
