Case Study: Mittelständler entdeckt APT nach 9 Monaten — durch THOR-Scan

1 Min. Lesezeit

Ein Maschinenbauunternehmen entdeckte bei einem routinemäßigen Compromise Assessment mit THOR, dass Angreifer seit 9 Monaten unbemerkt im Netzwerk aktiv waren. Der Fall zeigt: EDR allein reicht nicht.

Das Wichtigste in Kürze

Ein Maschinenbauunternehmen entdeckte bei einem routinemäßigen Compromise Assessment mit THOR von Nextron Systems, dass Angreifer seit 9 Monaten unbemerkt im Netzwerk aktiv waren. Die APT-Gruppe hatte Konstruktionsdaten und Patentinformationen exfiltriert. Der Fall zeigt: EDR allein reicht nicht — regelmäßige Compromise Assessments sind unverzichtbar.

Ausgangslage

Das Unternehmen ist ein Spezialmaschinenbaür mit 450 Mitarbeitern und Standorten in Deutschland, China und den USA. Die IT-Infrastruktur war mit einem namhaften EDR-Produkt ausgestattet. Es gab keine bekannten Sicherheitsvorfälle.

Im Rahmen einer NIS2-Vorbereitungsmassnahme beauftragte das Unternehmen einen Dienstleister mit einem Compromise Assessment. Eingesetzt wurde THOR Full in Kombination mit Velociraptor für die zentrale Steürung.

Was THOR fand

Der Scan über 320 Endpoints und 40 Server lieferte innerhalb von 48 Stunden mehrere kritische Findings:

Modifizierte Windows-Systemdateien auf drei Engineering-Workstations (YARA-Match auf bekanntes APT-Toolset)
Anomale Scheduled Tasks für persistente Backdoor-Kommunikation
Sigma-Treffer in Windows Event Logs: Verdächtige Lateral-Movement-Muster über 9 Monate
Webshell auf einem internen Webserver, der als Pivot-Punkt diente

Warum das EDR den Angriff nicht erkannte

Die Angreifer verwendeten Living-off-the-Land-Techniken (LOLBins): Legitimate Windows-Tools wie PowerShell, certutil und wmic für ihre Aktivitäten. Das EDR klassifizierte diese Ausführungen als normal, da sie im Kontext der Engineering-Software häufig vorkamen.

THOR hingegen suchte nicht nach verdächtigen Ausführungen, sondern nach den Artefakten, die die Angreifer hinterliessen: modifizierte Dateien, verdächtige Registry-Einträge und Log-Spuren.

Ausmass der Kompromittierung

Die forensische Analyse ergab:

Initialer Zugang über eine Spear-Phishing-Mail an einen Ingenieur
Laterale Bewegung über 5 Systeme in 9 Monaten
Exfiltration von ca. 12 GB Konstruktionsdaten und 3 Patentanmeldungen
Kein destruktiver Schaden (Spionage, nicht Sabotage)

Lessons Learned

EDR erkennt nicht alles — besonders LOLBin-basierte APTs werden oft übersehen
Regelmäßige Compromise Assessments (mindestens halbjährlich) finden, was EDR übersieht
THOR + Velociraptor ist eine kosteneffektive Kombination für Enterprise-Scans
Engineering-Workstations sind Hochwertziele und brauchen besondere Überwachung

Key Facts

Branche: Maschinenbau

Verweildaür des Angreifers: 9 Monate (Dwell Time)

Erkennung durch: THOR Compromise Assessment

Exfiltrierte Daten: 12 GB Konstruktionsdaten, 3 Patentanmeldungen

EDR war installiert, erkannte den APT nicht

Fakt: Mandiant beziffert die durchschnittliche Dwell Time bei APT-Angriffen 2024 auf 10 Tage – bei unentdeckten Kompromittierungen aber oft über 200 Tage.

Fakt: Laut CrowdStrike hat sich die Zahl der staatlich unterstützten Angreifergruppen seit 2020 mehr als verdoppelt – auf über 230 aktive Gruppen weltweit.

Häufige Fragen

Warum hat das EDR den APT nicht erkannt?

Die Angreifer nutzten Living-off-the-Land-Techniken – also legitime Windows-Tools wie PowerShell und certutil. EDR-Systeme erkennen diese oft nicht als verdächtig, wenn sie im Kontext normaler Geschäftsprozesse auftreten.

Wie oft sollte man Compromise Assessments durchführen?

Mindestens halbjährlich für Unternehmen mit hohem Risikoprofil. Zusätzlich nach jedem Verdachtsfall, bei Übernahmen (Due Diligence) und als Ergänzung zu regulären Penetrationstests.

Warum bleiben APT-Angriffe so lange unentdeckt?

APT-Gruppen verwenden sogenannte Living-off-the-Land-Techniken, bei denen sie legitime Systemwerkzeuge wie PowerShell oder WMI nutzen, um sich im Netzwerk zu bewegen. Da diese Tools zum normalen Betrieb gehören, lösen sie selten Alarme aus. Erst spezialisierte Compromise-Assessment-Tools wie THOR erkennen die subtilen Spuren solcher Angriffe.