Lebenszyklus eines Cyberangriffs

Um sich gegen Cyber-Angriffe zu schützen, ist es essenziell zu wissen, wie Angreifer vorgehen. Anhand der von Lockheed-Martin konzipierten Cyber Kill Chain®1 können wir nachvollziehen, welche Vorgehensweise Cyberkriminelle nutzen, um Schadsoftware ins Unternehmen zu schleusen.

Im Folgenden finden Sie einen Beispiel-Angriff. Dazu haben wir den Angriffs-Prozess zusammengefasst und zu jedem Schritt mögliche Verteidigungsmaßnahmen ergänzt.2

Wichtig zu wissen: Es handelt sich hierbei um ein mögliches Angriffsszenario. Ein Angreifer hat eine Vielzahl an diversen Angriffsvektoren.

Cyber Kill Chain - Reconnaisance

1. Auskundschaften (Reconnaisscance)

In der ersten Phase werden alle verfügbare Information gesucht und gesammelt. Die im Technischen Jargon benutzen Begriffe OSINT, SOCMINT, TECHINT, HUMINT bieten eine Vielzahl an Techniken zur Informationsgewinnung an.

OSINT – Open Source Intelligence – Dient zur Sammlung von Information und Gewinnung von Erkenntnissen. Angreifer nutzen frei verfügbare, offene Informationsquellen wie Fernsehen, Radio, Printmedien, Publikationen, Foren, Blogs oder Klassisch die Unternehmens-Website.

SOCMINT – Social Media Intelligence – Dient zur Sammlung von Informationen in den Sozialen Medien wie LinkedIn, Xing, Facebook und co.

TECHINT – Technical Intelligence – Dient der Analyse von Technischen Systemen wie z.B. Netzwerke oder Server durch technische Hilfsmittel.

HUMINT – Human Intelligence – Ist die Beschaffung der Informationen mittels menschlicher Quellen durch z.B. Ehemalige Mitarbeiter.

Name, E-Mail-Adresse und Position kombiniert mit privaten Informationen reichen schon aus und bieten eine ideale Vorlage für eine Spear-Phishing-Mail.

Noch einfacher können es sich die Cyberkriminellen machen, wenn sie Datensätze mit Zugängen oder weiteren Informationen im Darknet kaufen. Mittlerweile existieren zahlreiche Marktplätze, die mit dem Handel von Zugangsdaten Geschäfte abschließen.

Planen technisch versierte Angreifer einen Angriff, beschaffen sie sich typischerweise technische Informationen über verschiedene Wege. Abhilfe bieten Netzwerkscanner an. Mit so einem Sicherheitstool ist es möglich mehr über die Netzwerk Topologie des Unternehmens zu erfahren, um anschließend zielgerichtete Angriffe gegen ungenügend geschützte Schnittstellen zu fahren.

Ziel der Angreifer: Alle nützlichen Informationen finden und sammeln.

Wie können Sie sich schützen?

  • Limitieren Sie die zur Verfügung gestellten Information nach außen. Publizieren sie nur das nötige.
  • Erklären Sie ihren Mitarbeiter die Gefahr von Öffentlichen Profilen in den Sozialen Medien.
  • Deaktivieren Sie nicht genutzte Dienste und Ports. Schützen Sie ihr Unternehmen mit einer Firewall und anderen Sicherheitstools.
Cyber Kill Chain - Weaponization

2. Bewaffnung (Weaponization)

In der zweiten Phase werden die gefunden Information dazu genutzt eine geeignete Angriffsmethode zu finden. Sind die Technischen Barrieren zu groß oder hat man gerade keine Sicherheitslücke parat greifen Cyberkriminelle üblicherweise auf andere Wege, die die Sicherheitssysteme umgehen. Sie nutzten Social-Engineering Angriffe wie Spear-Phishing-Mails oder CEO-Fraud3. Diese Angriffsmethoden zeichnen sich dadurch aus, dass keine Sicherheitsmaßnahmen wirklich Abhilfe schaffen, da die Psychologie des Menschen ausgenutzt wird.

Ziel der Angreifer: Auf Basis der gewonnen Informationen Angriffsvektoren nutzen.

Wie können Sie sich schützen?

  • Führen Sie ein geeignetes Patchmanagement und achten Sie darauf, dass die Systeme immer auf dem neuesten Stand sind.
  • Deaktivieren Sie Office-Makros und begrenzen Sie die Nutzung von JavaScript.
  • Deaktivieren Sie Add-Ons wie Flash. Diese können dazu beitragen das Schadsoftware ohne Installation auf ihrem System ausgeführt wird.
  • Nutzen Sie die gängigen Technischen Schutzmaßnahmen wie Antiviren-Programme, Intrusion Prevention Systeme, Multi-Faktor-Authentifizierung und führen Sie ein Security Information and Event Management
Cyber Kill Chain - Delivery

3. Lieferung (Delivery)

In der dritten Phase sucht der Angreifer einen optimalen Weg den Schadcode in das System zu platzieren. Der beliebteste und zugleich einfachste Weg den Schadcode zu verbreiten ist mittels Phishing-Mails. Laut dem 2019 Data Breach Investigation Report4 sind sage und schreibe 94% der Zustellungsmethoden für Schadcode die E-Mail und 45 % der E-Mails erhalten infizierte Office Dokumente. Neben E-Mails bieten sich auch USB-Sticks an, die in der Nähe des Unternehmensgelände verteilt werden. Abhängig von dem Zugang zu ihrem Unternehmen könnten Angreifer auch den präparierten USB-Stick an unauffälligeren Orten liegen lassen, wie in der Kantine, in der Lounge oder in einem Büro.

Ziel der AngreiferDen Schadcode in das System zu schleusen.

Wie können Sie sich schützen?

  • Sensibilisieren Sie Ihre Mitarbeiter.
  • Führen Sie eine Security-Awareness-Kampagne durch.
  • Gefundene USB-Sticks oder andere Geräte sollten auf keinen Fall einfach in den Rechner gesteckt werden.
Cyber Kill Chain - Exploitation

4. Ausnutzung von Schwachstellen (Exploitation)

Nehmen wir an, Buchhaltungsmitarbeiter Paul hat eine E-Mail von seiner Finanzleiterin Klara erhalten mit der Bitte das im Anhang beigefügte Excel-Dokument mit den aktuellen Daten zu updaten und es ihr zurückzusenden. Pflichtbewusst wie Paul ist, macht er sich zügig an die Arbeit. Er lädt das Dokument herunter, aktiviert die Makros und ist verblüfft, den das Spreadsheet ist leer. So ähnlich erfolgen meist reale Cyberangriffe. Sobald ein Mitarbeiter einen infizierten Anhang runterlädt und die Makros aktiviert kann der Angreifer Wege finden sich systematisch auszubreiten.

Ziel der Angreifer: Erlangen der privilegierten Rechte auf dem System.

Wie können Sie sich schützen?

  • Nutzen Sie Data Execution Prevention System (DEP) um eine Ausführung von Schadcode in einem privilegierten Bereich zu verhindern.
  • Installieren Sie Anti-Exploit Software, um Schutz vor Sicherheitslücken zu haben.
Cyber Kill Chain Installation

5. Sicherung des Zugangs (Installation)

Angreifer versuchen, wenn sie sich erstmaligen Zugang beschaffen haben, Administrationsrechte zu erlagen. Anschließend suchen sie nach Wegen sich im Netzwerk auszubreiten. Sie nutzen Tools, die bei herkömmlichen Systemen vorhanden sind, bei Windows wäre das PowerShell, WMI oder weitere Tools wie psexec. Diese Tools erlauben Schadcode nachzuladen und eine Verbindung zu einem externen Server, einem Kontrollserver, herzustellen. Man nennt diese Angriffsmethode „Living off the Land“.

Ziel der Angreifer: Zugang zum System sichern

Wie können Sie sich schützen?

  • Um den Schaden zu begrenzen empfiehlt es sich Endpoint Detection and Response (EDR) Lösungen zu nutzen, diese bestehen aus Tools die bösartige Aktivitäten in Ihren Netzwerken entdecken.
  • Halten Sie für Ihre Mitarbeiter einen Notfall-Plan bereit, damit diese im Falle einer Kompromittierung wissen was zu tun.
  • Setzen Sie nach einem Befall Ihre Systeme komplett neu auf.

6. Fernsteuern (C&C)

Der Kontrollserver ist ein System, welches die Kommunikation zwischen Angreifer und Infiziertem System regelt. Mittels dem Kontrollserver kann der Angreifer das System aus der Ferne steuern und nach Belieben Manipulieren oder Schadcode nachladen. Heutzutage mieten Angreifer Cloud-Dienste mit automatisierten Domänengenerierungsalgorithmen, um eine Verfolgung deutlich zu erschweren.

Ziel der Angreifer: Fernzugriff und Steuerung des System.

Wie können Sie sich schützen?

  • Segmentieren Sie Ihre Netzwerke, um eine Laterale Bewegung zu erschweren.
  • Nutzen Sie Next Generation Firewalls, diese untersuchen nicht nur das verwendete Protokoll und den Port, sondern kontrollieren auch deren Inhalt, um ungewöhnliche Aktivitäten feststellen zu können.
  • Nutzen Sie aktuelle Kompromittierungsindikatoren (Indicator of Compromise – IoC) die auf eine mögliche Kompromittierung hinweisen.
Cyber Kill Chain - Actions on objectives

7. Aktionen (Actions on objectives)

Je nach Motivation des Angreifer bestehen hier zahlreiche mögliche Szenarien, in denen der Angreifer sein Werk vollbringen kann. In der letzten Phase führt der Angreifer seinen ursprünglichen Plan aus. Mögliche Szenarien wären zum Beispiel das Kopieren der Betriebsgeheimnisse, das Manipulieren oder Auslesen von Daten, Sabotage der gesamten Systeme oder das Eindringen in weitere Systeme.

Beispiel: Gewiefte Angreifer haben bei einer Könizer Firma, Haag-Streit, den Zahlungsverkehr umgeleitet und damit 2,4 Millionen Schweizer Franken erbeutet5. Laut dem Konzernsprecher Christof Gassner haben die Täter eine Zeit lang den Mailverkehr mitgelesen und bemerkt das eine Transferzahlung ansteht. Die Zahlung wurde auf ein Konto in Mexiko umgeleitet. Die Kriminellen sind mit dem Geld weg und das Verfahren läuft noch, doch die Aussichten für Haag-Streit das Geld wieder zubekommen stehen schlecht.

Ziel der Angreifer: Die gewünschte Aktion durchführen

Wie können Sie sich schützen?

  • Nutzen Sie Data Leakage Prevetion (DLP) Systeme, um unerwünschten Datenabfluss zu verhindern.
  • Mittels User Behaviour Analysis (UBA) können Sie Muster in den Nutzerdaten erkennen, die auf ein mögliches bösartiges Verhalten hinweisen.

 

Angreifer müssen den gesamten Prozess durchlaufen, um an ihr Ziel zu gelangen, während Verteidiger lediglich auf einer Stufe den Angriff stoppen können. In einigen Fällen beispielweiße Vishing werden einzelne oder auch mehrere Schritte übersprungen. Wie Sie anhand der Cyber Kill Chain sehen, existieren zahlreiche technische Lösungen, um eine Schadensbegrenzung zu erreichen. Um es erst gar nicht zu einem erfolgreichen Angriff kommen zu lassen, empfehlen wir die Sensibilisierung gegen mögliche Zustellungen.

Ihre Mitarbeiter sind meisten die erste Linie der Verteidigung. Sind Ihre Mitarbeiter mittels einer Security Awareness Kampagne oder einer Phishing Simulation geschult darin mit den Gefahren umzugehen, haben Sie die Sicherheit Ihres Unternehmens erheblich gesteigert. Sind die Barrikaden für den Angreifer im Vorfeld zu hoch, wird es ebenfalls für andere Angreifer unattraktiv sein Sie als Angriffsziel zu verfolgen.

1 https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

² The CISO Perspective (05.02.2019). Breaking the Kill Chain: A defensive Approach.

[Video] Youtube. https://www.youtube.com/watch?v=II91fiUax2g

3 https://www.sans.org/security-awareness-training/blog/applying-security-awareness-cyber-kill-chain

4 https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

5 https://www.nau.ch/ort/koniz/konizer-firma-wird-gehackt-und-ausgebeutet-65764179