Wie erkennt ein APT-Scanner Cyberangriffe? Im Unterschied zur klassischen Antivirus-Software wird bei einem APT-Scanner nicht nach Fragmenten eines Schadcodes gesucht, sondern nach Spuren eines Angriffs, sogenannten Indicators of Compromise (IOCs), wie bei einer forensischen Untersuchung. Hierfür wird im APT-Scanner ein Regelwerk verwendet, das Indicators of Compromise (IOCs) enthält.

Dieses Regelwerk wird auf diverse Artefakte in einem System angewendet (Dateien, Ordnerstrukturen, laufende Prozesse, Inhalt des RAM, Logdaten…), um nach Spuren vergangener oder noch laufender Cyberangriffe zu suchen.

Durch die internationale Zusammenarbeit der Cyber Defense Community werden ständig neue Cyberangriffe analysiert, Indicators of Compromise abgeleitet und als neue Regeln im APT-Scanner hinterlegt.

Dies sorgt dafür, dass ein APT-Scanner mit der Zeit im Ergebnis immer präziser wird und anders als klassische Antivirus-Software eine extrem hohe Erkennungsrate bei kompromittierten Systemen aufweist.

Bei einem Cyberangriff verwenden Angreifer bzw. eine APT-Gruppe verschiedene Tools und Techniken, um ihre Ziele zu erreichen. Diese Tools und Techniken hinterlassen zwangsläufig nachweisbare Spuren auf den kompromittierten Systemen. Clevere Angreifer werden einige dieser Spuren verwischen, das Beseitigen aller Spuren ist jedoch nicht möglich!

Durch die Analyse kompromittierter IT-Systeme und das Sammeln von Evidenzen ist es möglich, Indicators of Compromise (IOCs) abzuleiten.

Diese Indicators of Compromise (IOCs) werden im Regelwerk des APT-Scanners eingepflegt und bei zukünftigen Scans herangezogen.

Verwendet ein Angreifer ähnliche Tools und Techniken, werden sie sehr effizient durch den APT-Scanner erkannt und die aufwendige forensische Untersuchung kann enorm beschleunigt werden.