Timo Steffens Auf der Spur der Hacker Wie man die Täter hinter der Computer-Spionage enttarnt Auf der Spur der Hacker Timo Steffens Auf der Spur der Hacker Wie man die Täter hinter der Computer-Spionage enttarnt TimoSteffens Bonn,Deutschland ISBN978-3-662-55953-6 ISBN978-3-662-55954-3(eBook) https://doi.org/10.1007/978-3-662-55954-3 DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;detaillierte bibliografischeDatensindimInternetüberhttp://dnb.d-nb.deabrufbar. SpringerVieweg ©Springer-VerlagGmbHDeutschland2018 DasWerkeinschließlichallerseinerTeileisturheberrechtlichgeschützt.JedeVerwertung,dienichtausdrücklich vomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenZustimmungdesVerlags.Dasgiltinsbesondere fürVervielfältigungen,Bearbeitungen,Übersetzungen,MikroverfilmungenunddieEinspeicherungundVerar- beitunginelektronischenSystemen. DieWiedergabevonGebrauchsnamen,Handelsnamen,Warenbezeichnungenusw.indiesemWerkberechtigt auchohnebesondereKennzeichnungnichtzuderAnnahme,dasssolcheNamenimSinnederWarenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. DerVerlag,dieAutorenunddieHerausgebergehendavonaus,dassdieAngabenundInformationenindiesem WerkzumZeitpunktderVeröffentlichungvollständigundkorrektsind.WederderVerlag,nochdieAutorenoder dieHerausgeberübernehmen,ausdrücklichoderimplizit,GewährfürdenInhaltdesWerkes,etwaigeFehler oderÄußerungen.DerVerlagbleibtimHinblickaufgeografischeZuordnungenundGebietsbezeichnungenin veröffentlichtenKartenundInstitutionsadressenneutral. GedrucktaufsäurefreiemundchlorfreigebleichtemPapier SpringerViewegisteinImprintdereingetragenenGesellschaftSpringer-VerlagGmbHDeutschlandundistTeil vonSpringerNature DieAnschriftderGesellschaftist:HeidelbergerPlatz3,14197Berlin,Germany Danksagung Zuerst gilt mein Dank Jürgen Schmidt, der durch eine Anfrage nach einem Artikel über Attributionsmethoden den Stein ins Rollen gebracht hat. Zudem hat er bei der Arbeit an dem Artikel geholfen, das Themenfeld initial zu strukturieren. Martin Börger, Dorothea Glausinger und Sophia Leonhard haben den Lektorats- und Verlagsprozess zu einer produktivenundunkompliziertenErfahrunggemacht.MeinemArbeitgeberdankeichfür denFreiraum,denermirfürdiesesBuchgewährthat. Vielen Dank an Stefan Ritter für eine Fülle von Anregungen zur Darstellung und Gliederung.SelmaJabourhatbeiderBewertungderVault7-Dokumenteunterstütztund mitspitzerFederStellenidentifiziert,indermeineSubjektivitätzusehrdurchschienoder die logische Abfolge nicht überzeugte. Gavin O’Gorman hat wichtige Einblicke in die Analyse-Arbeitgegeben.CollinAndersongiltmeinDankfürdenGedankenaustauschzu ethischenFragestellungenderAttribution. Schließlich danke ich den Analysten und Sicherheitsforschern, deren Berichte ich zitiert habe und die mit ihrer Arbeit das Feld der Attribution jeden Tag ein Stück weiterentwickeln. V Inhaltsverzeichnis TeilI Einführung 1 DieTäter............................................................................ 3 1.1 AdvancedPersistentThreats................................................ 4 1.2 DiePhaseneinesAngriffs .................................................. 7 1.3 AuskundschaftendesOpfers................................................ 9 1.4 AusbringendesSchadcodes ................................................ 12 1.5 InstallationdesSchadcodes................................................. 14 1.6 LateralMovement........................................................... 16 1.7 Exfiltration................................................................... 17 1.8 VerwischenvonSpuren..................................................... 19 Literatur ............................................................................. 19 2 DerAttributionsprozess........................................................... 21 2.1 WarumüberhauptAttribution? ............................................. 22 2.2 WiemanAngriffebeschreibt............................................... 24 2.3 EbenenderAttribution...................................................... 30 2.4 SchrittederAttribution...................................................... 31 Literatur ............................................................................. 37 TeilII Methoden 3 AnalysevonSchadprogrammen ................................................. 41 3.1 Täterperspektive:EntwicklungvonSchadprogrammen................... 41 3.2 QuellenfürAnalysten....................................................... 45 3.3 SpurenausderEntwicklungsumgebung ................................... 47 3.4 FunktionaleSpuren.......................................................... 52 Literatur ............................................................................. 54 VII VIII Inhaltsverzeichnis 4 DieInfrastrukturderTäter ...................................................... 57 4.1 Täterperspektive:DieVerwaltungvonKontrollservern ................... 57 4.2 ÖffentlicheInformationenundWerkzeuge ................................ 61 4.3 AktivesScannen............................................................. 65 Literatur ............................................................................. 69 5 UntersuchungvonKontrollservern.............................................. 71 5.1 Täterperspektive:NutzungvonKontrollservern ........................... 71 5.2 Netzwerkverkehr ............................................................ 73 5.3 Festplatten ................................................................... 77 Literatur ............................................................................. 79 6 GeopolitischeAnalyse............................................................. 81 6.1 Täterperspektive:Auftragsvergabe ......................................... 81 6.2 AnalysevonOrganisationenanhandihrerAufgabenbereiche ............ 84 6.3 AnalysevonOrganisationsstrukturen ...................................... 89 6.4 Inner-undzwischenstaatlicheKonflikte ................................... 91 6.5 WirtschaftlicheInteressen .................................................. 92 Literatur ............................................................................. 94 7 Telemetrie–DatenvonSicherheitsunternehmen.............................. 97 7.1 TelemetrieausTäter-Sicht .................................................. 97 7.2 ArtenvonTelemetrie-Daten ................................................ 98 7.3 NutzungderTelemetrie-Daten.............................................. 100 Literatur ............................................................................. 104 8 NachrichtendienstlicheMethoden............................................... 105 8.1 Täterperspektive:SchutzvorGegenspionage.............................. 105 8.2 OSINT ....................................................................... 108 8.3 AllgemeineSIGINT......................................................... 109 8.4 SIGINTfürCyber-Aktivität ................................................ 111 8.5 HUMINT .................................................................... 113 8.6 Gegenangriffe ............................................................... 114 8.7 Attribution-betreibendeStellen............................................. 115 Literatur ............................................................................. 116 9 PersonenbezogeneRecherchen–Doxing ....................................... 121 9.1 Täterperspektive:DieeigeneIdentität...................................... 121 9.2 PersonenbezogeneRecherchen............................................. 122 Literatur ............................................................................. 126 Inhaltsverzeichnis IX 10 FalscheFährten.................................................................... 127 10.1 Täterperspektive:FalscheFährtenlegen ................................... 127 10.2 FalscheFährtenerkennen................................................... 132 Literatur ............................................................................. 136 TeilIII Strategie 11 KommunikationderErgebnisse ................................................. 141 11.1 ZielgruppenundZweck..................................................... 141 11.2 PräsentationderErgebnisse................................................. 146 Literatur ............................................................................. 148 12 DieEthikderAttribution......................................................... 151 12.1 Neutralität.................................................................... 151 12.2 Konsequenzen............................................................... 153 12.3 SchutzvonIndividuen ...................................................... 154 12.4 MöglichkeitvonFehlern.................................................... 155 Literatur ............................................................................. 156 13 Fazit................................................................................. 157 Literatur ............................................................................. 161 Glossar ................................................................................... 163 Sachverzeichnis.......................................................................... 167 Akronyme 3PLA DritteAbteilungdesGeneralstabsderchinesischenVolksbefreiungsarmee ACH AnalysisofCompetingHypotheses AD ActiveDirectory APK AndroidPackage APT AdvancedPersistentThreat BfV BundesamtfürVerfassungsschutz BND Bundesnachrichtendienst BSI BundesamtfürSicherheitinderInformationstechnik CIA CentralIntelligenceAgency CSIS CanadianSecurityIntelligenceService C&C Command-and-Control DC DomainController DNC DemocraticNationalCommittee DNS DomainNameSystem GCHQ GovernmentCommunicationsHeadquarter GSM GlobalSystemforMobileCommunications GUI GraphicalUserInterface HTTP(S) HypertextTransferProtocol(Secure) HUMINT HumanIntelligence ICS IndustrialControlSystems IDF IsraelischeVerteidigungsstreitkräfte IoC IndicatorofCompromise MICE Money,Ideology,CoercionandEgo MPS MinistryforPublicSecurity MSS MinistryforStateSecurity NSA NationalSecurityAgency OSINT OpenSourceIntelligence PDB ProgramDatabase PE PortableExecutable PLA ChinesischeVolksbefreiungsarmee PtH Pass-the-Hash XI XII Akronyme RAT RemoteAdministrationTool RDP RemoteDesktopProtocol RGB ReconnaissanceGeneralBureau SIGINT SignalIntelligence SQL StructuredQueryLanguage SSH SecureShell SSL SecureSocketsLayer TAO TailoredAccessOperations TKÜ Telekommunikationsüberwachung TLS TransportLayerSecurity TRB TechnicalReconnaissanceBureau TTP Tactics,Tools,Procedures VPS VirtualPrivateServer WMI WindowsManagementInstrumentation