APT-Operationen — Referenz.

Initial Access — nachhaltige vs opportunistische Muster

• Spear-Phishing gegen namentlich genannte Personen. Custom-Pretext, Wochen OSINT, Targeting einer einzelnen Rolle (Sysadmin, Finance-Director) pro Kampagne.
• Supply-Chain-Kompromittierung. Vendor mit Zugriff zum echten Ziel kompromittieren. Software-Update-Injection (SolarWinds-Klasse), Code-Signing-Cert-Diebstahl, Dependency-Confusion in privater Package-Registry.
• Public-Facing-App-Exploitation. n-Day gegen ungepatchte Edge-Devices (VPN-Appliances, Mail-Gateways, Firewalls). Ivanti, Citrix NetScaler, FortiGate, Pulse Secure — alle wiederholt von nachhaltigen Actors genutzt.
• Valid Accounts. Gekaufte Credentials, Infostealer-Logs, frühere Breach-Wiederverwendung. Billig, leise, schwer attribuierbar.
• Trusted-Relationship-Missbrauch. Einen MSP kompromittieren, dessen privilegierten Zugriff in mehrere Kunden mitreiten.

Windows-Persistenz — gerankt nach beobachteter APT-Präferenz

1. Scheduled Task mit COM-Trigger. Überlebt Reboot, kann als SYSTEM laufen, kann durch User-Logon getriggert werden. Defender sweept Run-Keys zuerst; Tasks hängen hinterher.
2. Service mit Binary-Path-Hijack. Legitimer Service, Angreifer ersetzt ImagePath oder Binary. Überlebt Restarts, läuft SYSTEM.
3. WMI-Event-Subscription. __EventFilter + __EventConsumer + __FilterToConsumerBinding. Persistent, läuft SYSTEM, oft in Autoruns-Scans verpasst.
4. Run / RunOnce-Keys. Klassik. Erster Ort, an dem Defender schaut. Höchstens als Köder nutzen.
5. COM-Hijack. Angreifer-DLL als CLSID-Handler registrieren. Triggert, wenn irgendeine App das COM-Objekt instantiiert.
6. BITS-Job. Background-Intelligent-Transfer-Service-Job, der herunterlädt + ausführt. Langlebig, nativ, geräuscharm.
7. Image File Execution Options. "Debugger"-Key angehängt z.B. an notepad.exe — jeder notepad-Launch führt zuerst Angreifer-Binary aus.
8. Group-Policy-Preferences. Domain-weite Persistenz via GPO wenn Angreifer Domain-Admin hat. Mächtigste, detektierbarste.
9. Office-Add-In / Template. Word-/Excel-Add-In oder normal.dotm. Triggert bei jedem Office-Launch.

Discovery + Impact-Assessment ohne Adversary zu warnen

1. Read-Only-Triage. Keine aktiven Sweeps. EDR-Telemetrie, Network-Flow-Logs, DNS-Queries für betroffenen Host ziehen. Host nicht anfassen.
2. Lateral aus Telemetrie scopen, nicht aus Scans. Auth-Trail des Hosts (Security-Log 4624/4768-Events) matchen, um andere Hosts zu identifizieren, die der Angreifer berührt haben könnte.
3. Evidenz erhalten. Memory-Dump verdeckt (Live-IR-Tool mit niedrigen IOCs oder Snapshot vom Hypervisor). Disk-Image nach Memory.
4. Objektiv identifizieren. Worauf war der Adversary aus? Aktive Staging-Dirs, Exfil-DNS, Beaconing-Destination sagen dir was zu schützen ist.
5. Eviction-Fenster planen. Eviction muss synchron sein — C2 killen + Credentials resetten + Certs rotieren + Tokens revoken alles gleichzeitig. Sequenziell gibt dem Adversary Zeit, sich neu zu etablieren.
6. Sparsam kommunizieren. Nur IR-Team + benannter Exec-Sponsor. E-Mails über den Incident reisen durch Systeme, die der Adversary kontrollieren könnte.

Attribution — Overlap-Analyse

• Tooling-Overlap. Spezifische Custom-Backdoor-Familien sind zuverlässig an spezifische Actors gebunden (HAFNIUM China-Chopper-Varianten, APT28 X-Agent, Sandworm Cyclops Blink). Public + Open-Source-Tooling (Cobalt Strike, Sliver) gibt schwache Attribution.
• Infrastruktur-Overlap. C2-IP-Reuse, Certificate-Reuse, Hosting-Provider-Muster. Einzelnes geteiltes Cert über zwei Intrusionen = starker Link.
• TTP-Overlap. Reihenfolge der Operationen, charakteristische Command-Line-Muster, charakteristische LOLBin-Wahlen.
• Caveat. Attribution ist eine probabilistische Behauptung. "Konsistent mit als X gemeldeten TTPs" statt "ist X". Vorzeitige öffentliche Attribution ist, wie Vendors Glaubwürdigkeit verbrennen.