Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als Leader eingestuft. Bericht herunterladen. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Angriffs-Techniken

CISAs August-Beratung: Warum Sie Post-Compromise Detection brauchen

August 28, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
CISAs August-Beratung: Warum Sie Post-Compromise Detection brauchen

Im vergangenen Dezember wurde durch die Veröffentlichung eines gemeinsamen Leitfadens der CISA und ihrer Partner deutlich, dass chinesische staatlich unterstützte Gruppen systematisch Telekommunikationsanbieter ins Visier nehmen. Diese Kampagne, die in der Branche als Salt Typhoon bekannt ist , machte deutlich, wie tief sich die Gegner in den Netzen, die die sensibelsten Kommunikationsmittel der Welt transportieren, verschanzen können.

Am 27. August 2025 veröffentlichte dieselbe Koalition internationaler Sicherheitsbehörden eine noch ernüchterndere Warnung. Diesmal geht die Warnung weit über Telekommunikationsunternehmen hinaus. Die Ergebnisse zeigen, dass chinesische Advanced Persistent Threats (APT) eine Vielzahl kritischer Infrastrukturen kompromittieren, von Regierungs- und Militärnetzwerken bis hin zu Transport- und Unterkunftssystemen, und Daten in ein globales Spionagesystem einspeisen.

Es geht nicht mehr um einzelne Vorfälle in einem bestimmten Sektor. Es geht um einen anhaltenden, heimlichen Zugang über das Rückgrat der internationalen Kommunikation und Dienste. Für die Verteidiger ist die Lektion klar: Abhärtungsmaßnahmen sind notwendig, aber sie reichen allein nicht aus. Hartnäckige Angreifer mit globaler Reichweite benötigen nach der Kompromittierung Sichtbarkeit und Erkennung, um langfristige Spionage und Datendiebstahl zu verhindern.

Neuigkeiten in der August 2025 Beratung

Die Empfehlung von CISA, NSA, FBI und mehr als einem Dutzend internationaler Partner vom 27. August skizziert eine breitere, aggressivere Kampagne als die im Dezember 2024 beschriebene. Drei Verschiebungen stechen hervor:

1. Ausweitung über die Telekommunikation hinaus.

Während Salt Typhoon in erster Linie auf den Kommunikationssektor konzentrierte, zeigt dieser jüngste Bericht, dass chinesische staatlich unterstützte Akteure eine breitere Palette von Infrastrukturen weltweit kompromittieren. Zu den Zielen gehören nun auch Regierungsbehörden, Transportsysteme, Unterkunftsnetzwerke und sogar militärische Umgebungen. Das Ausmaß ist global, mit Aktivitäten in den Vereinigten Staaten, Europa, Asien und darüber hinaus.

2. Einheitliche Zuordnung zu einem globalen Spionagesystem.

Die Industrie hat Teile dieser Aktivitäten unter Namen wie Salt Typhoon, RedMike, GhostEmperor und UNC5807 lange verfolgt. Das Gutachten macht deutlich, dass es sich hierbei nicht um isolierte Gruppen handelt, sondern um Teil einer nachhaltigen Kampagne , die darauf abzielt, einen dauerhaften, langfristigen Zugang zu schaffen und Informationen in ein zentralisiertes Spionagesystem einzuspeisen.

3. Der Schwerpunkt liegt auf Beharrlichkeit und Heimlichkeit statt auf Ausbeutung.

Die Ausnutzung bekannter CVEs in Edge-Geräten ist nach wie vor eine typische Taktik, wobei wiederholt Schwachstellen von Cisco IOS XE, Ivanti und Palo Alto ausgenutzt wurden. Das Advisory widmet jedoch der Art und Weise, wie sich Angreifer nach dem ersten Zugriff verschanzen, große Aufmerksamkeit. Im Klartext: Wenn sie erst einmal drin sind, arbeiten sie hart daran, sich zu verstecken und die Tür offen zu halten. Das sieht folgendermaßen aus:

  • Ändern von Zugriffskontrolllisten (ACLs):
    Betrachten Sie ACLs als die "Gästeliste" für ein Netzwerk. Indem sie heimlich ihre eigenen IP-Adressen zu diesen Listen hinzufügen, verschaffen sich Angreifer einen permanenten "VIP-Pass", mit dem sie jederzeit wieder eindringen können, selbst wenn andere Abwehrmaßnahmen gepatcht sind.
  • Abfangen von Anmeldedaten durch TACACS+- und RADIUS-Datenverkehr:
    Mit diesen Protokollen wird gesteuert, wie sich Administratoren bei wichtigen Systemen anmelden. Angreifer richten Paketaufzeichnungen ein, um diesen Anmeldedatenverkehr unbemerkt aufzuzeichnen. Wenn die Anmeldedaten im Klartext übertragen werden oder nur schwach geschützt sind, können Angreifer sie abspielen oder wiederverwenden (ähnlich wie beim Abhören eines Passworts an der Tür und dessen späterer Verwendung).
  • Aufbau von verschlüsselten Tunneln mit GRE oder IPsec:
    Um ihren Datendiebstahl zu verbergen, bauen Angreifer geheime Tunnel innerhalb des Netzwerks auf, die wie normale sichere Verbindungen aussehen. Stellen Sie sich vor, Schmuggler tarnen ihre Sendungen in legitimen Frachtcontainern; der Datenverkehr fügt sich in den normalen Betrieb ein, sodass die Exfiltration schwer zu erkennen ist.
  • Missbrauch der Cisco Guest Shell zur Bereitstellung von Tools:
    Guest Shell ist eine legitime containerisierte Linux-Umgebung innerhalb von Cisco-Geräten. Angreifer missbrauchen sie, um Skripte auszuführen, gestohlene Daten zu speichern und sogar zusätzliche Software zu installieren. Da Guest Shell nicht immer genau überwacht wird, bietet dies den Angreifern einen versteckten Workshop auf dem Gerät selbst, in dem sie unbemerkt agieren können.

Diese Methoden zusammengenommen ermöglichen es Angreifern, in der Struktur des Netzwerks zu verschwinden. Selbst wenn Verteidiger Schwachstellen flicken oder Konfigurationen verschärfen, haben Angreifer oft immer noch einen Weg, sich wieder einzuschleichen.

TA0043Erkundung TA0042Entwicklung von Ressourcen TA0001Erster Zugang TA0002Ausführung TA0003Persistenz TA0004Privilegien-Eskalation TA0005Verteidigung Umgehung TA0006Zugang zu Anmeldeinformationen TA0007Entdeckung TA0008Seitliche Bewegung TA0009Sammlung TA0011Command & Control TA0010Exfiltration
T1590Sammeln von Informationen über das Opfernetzwerk T1583Erwerben Sie Infrastruktur T1190Öffentlich zugängliche Anwendung ausnutzen T1059Interpreter für Befehle und Skripte T1098Kontomanipulation T1068Ausnutzung für Privilegieneskalation T1027Verdeckte Dateien oder Informationen T1003OS Credential Dumping T1016Erkennung der Systemnetzwerkkonfiguration T1021Remote-Dienste T1005Daten vom lokalen System T1071Protokoll der Anwendungsschicht T1048Exfiltration über ein alternatives Protokoll
T1595Aktives Scannen T1584Infrastruktur kompromittieren T1199Vertrauensvolle Beziehung T1569System Dienstleistungen T1136Konto erstellen T1110Brachiale Gewalt T1070Ausbau der Anzeige T1040Netzwerk-Sniffing T1082Ermittlung von Systeminformationen T1560Gesammelte Daten archivieren T1090Vollmacht
T1588Fähigkeiten erlangen T1609Befehl zur Containerverwaltung T1543Systemprozess erstellen oder modifizieren T1562Verteidigungen beeinträchtigen T1110Brachiale Gewalt T1602Daten aus dem Konfigurations-Repository T1095Nicht-Anwendungsschicht-Protokoll
T1599Überbrückung der Netzwerkgrenzen T1556Authentifizierungsprozess modifizieren T1571Nicht-Standard-Anschluss
T1610Container bereitstellen T1572Protokoll-Tunneling
Von chinesischen APTs verwendete TTPs

Grenzen der alleinigen Prävention

Die Empfehlung enthält seitenweise detaillierte Hinweise zur Absicherung: Patches für Geräte mit bekannten Schwachstellen, Einschränkung von Verwaltungsprotokollen, Erzwingen einer starken Authentifizierung und Deaktivieren ungenutzter Dienste. Diese Schritte sind wichtig, aber sie reichen allein nicht aus.

Sie können ein CVE patchen, aber Sie können keine gestohlenen Zugangsdaten patchen.

Warum Vorbeugung nicht genug ist:

  1. Angreifer nutzen bestehende Schwachstellen aus.
    In der Empfehlung wird betont, dass Angreifer mit bekannten CVEs "beträchtlichen Erfolg" hatten. Selbst wenn Unternehmen schnell Patches bereitstellen, finden Angreifer oft ungepatchte Systeme oder nutzen verspätete Updates in komplexen Umgebungen aus.
  2. Persistenzmechanismen umgehen die Härtung.
    Wenn Angreifer erst einmal Tunnel aufgebaut, ACLs geändert oder Anmeldedaten abgefangen haben, können sie nicht einfach den ursprünglichen Angriffspfad schließen. Gehärtete Perimeter können die bereits in die Umgebung eingebettete Persistenz nicht aufheben.
  3. Der Diebstahl von Zugangsdaten untergräbt die sichere Zugangskontrolle.
    Durch das Sammeln von TACACS+- oder RADIUS-Datenverkehr können sich Angreifer als legitime Administratoren anmelden. Für Verteidiger, die nur auf "unbefugte" Anmeldungen achten, sieht diese Aktivität normal aus, so dass es fast unmöglich ist, sie allein durch Prävention zu stoppen.
  4. Lücken in der Sichtbarkeit ermöglichen es Angreifern, zu verweilen.
    In der Empfehlung selbst wird eingeräumt, dass anfängliche Zugriffsvektoren oft unbekannt bleiben, was bedeutet, dass Unternehmen möglicherweise nicht einmal wissen, wie Angreifer in das System gelangt sind. Ohne kontinuierliche Überwachung und Korrelation der Aktivitäten können Angreifer über Monate oder Jahre im Verborgenen bleiben.

Die Botschaft ist klar: Prävention verringert die Gefährdung, beseitigt aber nicht die Bedrohung. Gegen hochgerüstete, staatlich unterstützte Akteure müssen die Verteidiger eine Kompromittierung planen und in Fähigkeiten investieren, die das Verhalten der Angreifer identifizieren können, nachdem der Einbruch bereits erfolgt ist.

Der Imperativ nach dem Kompromiss

Wenn Verteidiger aus den Empfehlungen vom August etwas lernen können, dann, dass Härtung und Patches nur ein Teil der Antwort sind. Wenn die Angreifer so entschlossen sind, muss man davon ausgehen, dass sie irgendwann eindringen werden. Die Herausforderung besteht darin, sie schnell aufzuspüren, ihre Verweildauer zu begrenzen und die Exfiltration zu stoppen, bevor ein dauerhafter Schaden entsteht.

Was Sicherheit nach der Kompromittierung in der Praxis bedeutet:

  1. Kontinuierliche Sichtbarkeit.
    Angreifer mischen sich absichtlich in den normalen Datenverkehr ein, indem sie GRE- oder IPsec-Tunnel verwenden oder legitime administrative Konten nutzen. Die Erkennung von Sicherheitslücken erfordert eine ständige Überwachung des Datenverkehrs, der Authentifizierungen und der Geräteaktivitäten - und nicht nur eine Verlässlichkeit der Perimeter-Verteidigung.
  2. Verhaltenserkennung, nicht nur Signaturen.
    Da diese Akteure bekannte CVEs ausnutzen und sich dann in verschlüsselten Tunneln verstecken, werden sie von regelbasierter Prävention und statischen Signaturen oft übersehen. Sicherheitsteams müssen das Verhalten von Persistenzen erkennen (z. B. ungewöhnliche ACL-Änderungen, unerwartete Tunnel oder neue Konten), anstatt darauf zu warten, dass ein bekanntes Exploit-Muster auftaucht.
  3. Korrelierte Erkenntnisse.
    Eine einzelne abnormale Anmeldung mag harmlos aussehen. In Kombination mit ungewöhnlichen Änderungen in der Routing-Tabelle und verschlüsselten Dateiübertragungen ergibt sich jedoch ein klares Angriffsmuster. Die Korrelation von Netzwerk-, Identitäts- und Gerätetelemetrie ist unerlässlich, um versteckte Kampagnen aufzudecken.
  4. Schnellere Reaktion.
    Wenn Angreifer erst einmal hartnäckig sind, arbeitet die Zeit zu ihren Gunsten. Der Bericht zeigt, dass sie mehrere Hintertüren beibehalten und sich über vertrauenswürdige Verbindungen bewegen. Eine schnelle Erkennung und Sichtung ist die einzige Möglichkeit, sie auszuschalten, bevor sie vertrauliche Daten oder Anmeldeinformationen ausspionieren.

Kurz gesagt: Prävention bremst die Angreifer aus, aber erst die Sichtbarkeit nach der Kompromittierung stellt sicher, dass sie nicht unentdeckt operieren können, wenn sie einmal eingedrungen sind. Für Unternehmen, die Ziel dieser Kampagnen sind, ist diese Fähigkeit der Unterschied zwischen dem frühzeitigen Erkennen eines Eindringens und der unwissentlichen Beteiligung an einem globalen Spionagesystem.

Mit Vectra AI die Lücken schließen

Das Gutachten vom August macht deutlich: Chinesische staatlich finanzierte Akteure starten keine einmaligen Angriffe. Sie bauen ein dauerhaftes Spionagesystem innerhalb globaler Netzwerke auf. Härtungsmaßnahmen sind wichtig, aber wenn die Angreifer erst einmal drin sind, kann man sie mit Prävention allein nicht mehr loswerden.

Hier bietet die Vectra AI Platform die entscheidende fehlende Ebene:

  • Erkennt Persistenz-Taktiken wie Privilegienänderungen, versteckte Tunnel und Missbrauch von Zugangsdaten
  • Korreliert Benutzer-, Host- und Geräteaktivitäten zu klaren Bedrohungsberichten über Netzwerk, cloud und Identität
  • Zeigt das Verhalten von Angreifern auf , das in verschlüsseltem oder vertrauenswürdigem Datenverkehr verborgen ist
  • Identifiziert den Missbrauch legitimer Tools wie Cisco Guest Shell und VPN-Sitzungen
  • Integration mit bestehenden Technologien (wie EDR und SOAR) zur Verbesserung der Warnmeldungen und Beschleunigung der Reaktion
  • Priorisierung von Entdeckungen, die direkt mit den in der Empfehlung beschriebenen TTPs übereinstimmen

Durch das Schließen von Erkennungs- und Reaktionslücken stellt Vectra AI sicher, dass sich Angreifer nicht mehr verstecken können, selbst wenn sie präventive Schutzmaßnahmen durchbrochen haben.

Staatlich gesponserte Angreifer spielen ein langes Spiel. Mit Post-Compromise Detection können Sie dieses Spiel drastisch verkürzen.

→ Sehen Sie sich eine selbstgeführte Demo der Vectra AI Platform an, um zu erfahren, wie.

Häufig gestellte Fragen