13. April 2021 / LR / Lesedauer: 7 Min.

Die Cyber Kill Chain: 7 Schritte für einen höheren Reifegrad Ihrer Security

Wussten Sie, dass mit Cybercrime mehr Geld als im internationalen Drogenhandel umgesetzt wird – und das bereits seit zehn Jahren? Die Kosten von Industriespionage in der deutschen Wirtschaft werden mit 11,8 Milliarden Euro beziffert und statistisch gesehen ist jedes zweite Unternehmen in vergangenen Jahren schon ein Angriffsziel von Hackern geworden. [1]

Eine Investition in die Informationssicherheit des eigenen Unternehmens ist daher unabdingbar. Doch um zu wissen, welche Maßnahmen man zur Vorbeugung und Abwehr eines Angriffs planen sollte, ist es zunächst einmal wichtig sich mit der Vorgehensweise von Cyberkriminellen auseinanderzusetzen. Eine Strategie, welche häufig angewendet wird, ist das sogenannte Modell der Cyber Kill Chain.

In diesem Beitrag möchten wir Ihnen die wichtigsten Informationen dazu liefern.

 

Was bedeutet Cyber Kill Chain?

 

Die Cyber Kill Chain entstand aus einem Angriffsmodell des Militärs, welches „F2T2EA“ [2] genannt wird.

  1. Find adversary targets suitable for engagement.
  2. Fix their location.
  3. Track and observe.
  4. Target with suitable weapon or asset to create desired effects.
  5. Engage adversary.
  6. Assess effects

Das Modell wurde von Lockheed Martin für die Informationssicherheit adaptiert und Cyber Kill Chain* [3] genannt. Die Methode wurde entwickelt, um Unternehmen einen Leitfaden an die Hand geben zu können, der beschreibt wie Angriffe zu identifizieren, zu verhindern oder unschädlich zu machen sind, bevor diese einen vielleicht unwiderruflichen Schaden anrichten können. Hierbei wird das Vorgehen eines Täters beschrieben, welcher gerade einen Cyberangriff auf Ihr Unternehmen plant, beziehungsweise durchführt.

Im Folgenden werden wir Ihnen die einzelnen Schritte und vorgeschlagenen Sicherheitsmaßnahmen nach dem Modell von Lockheed Martin genauer erklären.

 

 Wie sieht das Angriffsmodel aus?

 

Das Angriffsmodel stellt eine vollständige „Kill Chain“, also eine Angriffskette eines erfolgreichen Angriffs dar. Die Teilschritte dieses Angriffsmodels werden auch als IoC (Indicators of Compromise) bezeichnet.

 

Die 7 Teilschritte (IoC) – kurz erklärt:

 

 

1. Reconnaissance: Ziele suchen

 

Im ersten Schritt werden Hacker auf die Suche nach passenden Angriffszielen gehen. Hierfür sammeln sie über einen längeren Zeitraum Informationen über mögliche Opfer, indem sie Plattformen wie Google, soziale Medien oder normale Firmenwebsites durchsuchen. Diese gesammelten Daten werden danach für Angriffe weiterverarbeitet. Finden sie zum Beispiel Schwachstellen (siehe CVE Beitrag), so können sie diese ausnutzen.

Die aktive Reconnaissance beschreibt den Vorgang, bei dem Daten nicht nur „still“ gesammelt werden, sondern aktiv abgefangen werden. Hier wird unter anderem das Social Engineering angewendet, um menschliche Komponenten auszunutzen und so sicherheitskritische Daten und Insider Informationen in Erfahrung zu bringen. Auch „Deepfakes“ werden genutzt, um zum Beispiel Zugangsdaten zu erhalten.

Die hier eingesetzten Tools sind keinesfalls unbekannt und werden auch vielfach für völlig legitime Zwecke verwendet. Um einige Beispiele zu nennen: Nmap für Netzwerk- und Portscans, OpenVAS für die Prüfung auf bekannte Schwachstellen (CVEs), sowie DNSMap, sqlmap und SMBMap für die Prüfung der jeweiligen Dienste. Die Aufzählung ist keinesfalls abschließend, soll jedoch einen ungefähren Eindruck vermitteln welche Möglichkeiten hier zum Einsatz kommen. Hier gilt es außerdem den „Hacker Paragraph“ § 202c StGB einzuhalten.

Des Weiteren können auch selbst entwickelte Tools für das Auffinden potenzieller Ziele (sog. „Crawler“) zum Einsatz kommen und Informationen aus diversen Quellen wie beispielsweise dem Darknet herangezogen werden, um beispielsweise geleakte Informationen auszunutzen.

 

Mögliche Gegenmaßnahmen

Es ist nahezu unmöglich die Reconnaissance zum Zeitpunkt der Ausführung zu erkennen.   Dennoch kann man Website-Besucherprotokolle für Warnmeldungen und historische Recherchen sammeln und mit Web-Administratoren zusammenarbeiten, um deren Browser-Analysen nutzen zu können. Mithilfe dieser Daten können Sie Browsing-Verhaltensweisen erkennen und Abwehrmaßnahmen für Personengruppen und Technologien priorisieren.

 

 

2. Weaponization: Angriff vorbereiten

 

Als zweiten Schritt werden Angreifer ihre „Waffen“ vorbereiten und gezielt nach Schwachstellen im gesamten Unternehmen suchen über die sie dann zuschlagen können.

Dabei bedienen diese sich teils an einer Fülle von leicht zugänglichen „out-of-the-box“ Lösungen. Falls noch mehr Aufwand auf die Vorbereitung in dieser Phase aufgewendet wird, sind auch Informationsmaterialien zur Erstellung eigener Tools verhältnismäßig einfach zugänglich. Auch der Aufbau bzw. die Miete von Botnets für temporäre oder dauerhafte Angriffe ist ein beliebtes Mittel der Wahl. Außerdem gibt es natürlich noch einen Schwarzmarkt für sogenannte Zero-Day-Exploits, die der breiten Öffentlichkeit bisher noch nicht bekannt sind und vom Angreifer ausgenutzt werden können.

 

Mögliche Gegenmaßnahmen

Während dieser Phase, kann man sich nur bedingt wehren. Führen Sie dennoch Analysen durch, um aktuelle Malware-Artefakte zu verstehen und erstellen Sie Verfahren zur Früherkennung. Mithilfe gesammelter Dateien und Metadaten können zukünftige Analysen durchgeführt und neuartige Angriffe entdeckt werden.

Hierfür können bekannte Tools aufgebaut und verwendet werden:

 

 

 

3. Delivery:  Durchführung starten

 

Nachdem ein Ziel ausgesucht und alle „Waffen“ vorbereitet wurden, startet der aktive Angriff – die Malware muss zugestellt werden. Hier werden häufig die „üblichen“ Kommunikationswege über E-Mails oder über USB-Speichermedien genutzt.

Die Angriffe werden meist als „typische“ Dateien, wie Bewerbungsunterlagen oder Abrechnungen, getarnt. Dabei wird häufig menschliches Fehlverhalten (z.B. USB-Sticks mit der Aufschrift: „Gehaltsabrechnung“, „Private Bilder“, …) ausgenutzt. Aber auch präparierte Webseiten (z.B. Waterholing, Drive-By-Download, …) können versteckte Viren verteilen oder Probleme verbreiten.

 

Mögliche Gegenmaßnahme

Ab dieser Stufe können Sie Angriffe zum ersten Mal aktiv abwehren. Hierfür muss zuerst analysiert werden, über welche Übertragungsmedien die Einbruchsversuche stattfinden und welche Server und Personen anvisiert werden. Durch die Nutzung der Artefakten des Waffensystems können dann neue Nutzlasten am Übermittlungszeitpunkt erkannt werden. Zusätzlich könnten technische Schutzmaßnahmen zur Verwendung von USB-Speichermedien (siehe ondeso DC) die Sicherheit erhöhen.

 

 

4. Exploitation: Ausnutzen von Sicherheitslücken

 

Wurde die Schadsoftware zugestellt, wird der Angreifer Schwachstellen nutzen, um sich in späteren Schritten vollständigen Zugang auf Ihr Unternehmensnetzwerk verschaffen zu können. Dies kann „silent“ erfolgen, indem er sein Angriffsfeld nur durchsucht, es kann aber auch direkt zu einer aktiven Beeinflussung der produktiven Systeme kommen.

 

 

Mögliche Gegenmaßnahmen

Regelmäßiges Patchen und automatisch ausgeführte Schwachstellenscans der eigenen Hard- und Software sind hier das A und O. Auch Benutzerschulungen und E-Mail-Phishing-Tests für Mitarbeiter sowie Schulungen zur sicheren Websoftware-Entwicklung sind nicht zu vernachlässigen.

 

 

5. Installation: Zugang persistieren

 

Hat der Angreifer seine Angriffsumgebung inspiziert und erforscht, wird er beginnen seine Schadsoftware, sowie den Zugriff auf das System zu persistieren. Beliebt sind hierbei die Erstellung von Backdoors in bestehenden anderen Programmen oder die Nutzung einer sogenannten „Reverse Shell“ zur Ausführung von Befehlen auf dem betroffenen Gerät. Die Kommunikation zu diesem kann über verschiedenste Wege stattfinden, dazu mehr in Phase 6.

Hat der Angreifer dann längerfristig Zugriff auf Ihr System – man spricht dann von einem „Advanced Persistent Threat“ (APT) – ist es ein leichtes für ihn, sich auch auf Lieferanten- und Kundennetzwerke auszuweiten oder weitere Teile Ihres eigenen Netzwerks zu infiltrieren.

 

Mögliche Gegenmaßnahmen

Hier gilt es mithilfe von implementierten Security Lösungen die Installationsvorgänge zu erkennen, zu protokollieren und mittels dieser Analysen neue Security-Maßnahmen zu erstellen. Das Verständnis über benötigte Administratoren- oder nur Benutzerrechte und dessen Einschränkungen, können gewisse Angriffe erschweren.

 

 

6. Command and Control (CC oder C2): Fernsteuerung ausbauen

 

Da der Angreifer mittlerweile permanenten Zugriff hat, kann er spezifische Maßnahmen einleiten und zum Beispiel eine Verbindung zu CC-Servern aufbauen um von dort weitere Anweisungen, Schadsoftware oder Updates zu beziehen.

 

Mögliche Gegenmaßnahmen

In dieser Phase können Sie versuchen, die Kommunikation zu bekannten CC-Servern zu unterbinden, in dem Sie zum Beispiel Verbindungen zu Botnetzen abschalten, oder, wie in vorherigen Schritten bereits erwähnt, den eigenen Datenverkehr bzw. die Datenmenge überwachen und Alarmierungen bei Grenzwertüberschreitungen aktivieren.

 

 

7. Actions on Objectives: Angriff abschließen

 

Je länger ein Angreifer Zugriff auf die Systeme hat, desto größer können die Auswirkungen sein. Beispiele dafür sind die Verschlüsselung oder die Veröffentlichung von Dokumenten sowie deren Manipulation. Wie in der Vergangenheit durch Stuxnet und Co. bewiesen wurde, sind nicht nur Office-Umgebungen, sondern auch Produktionsprozesse in Gefahr, da diese gezielt negativ beeinflusst werden können. Dadurch ist nicht nur das Tagesgeschäft bedroht, sondern auch die gesamte Firmenexistenz könnte auf dem Spiel stehen.

 

Mögliche Gegenmaßnahmen

Unter anderem kann der Einsatz von IT-Forensik bei der Auswertung und Rekonstruktion des Angriffs helfen.

 


 

Unser Experten-Tipp

 

Abschließend möchten wir noch einmal darauf hinweisen, dass es sich in diesem Beitrag um beispielhafte Sicherheitsmaßnahmen nach Lockheed Martin handelt.  Welche Maßnahmen für Ihr Unternehmen und Ihren konkreten Anwendungsfall am besten geeignet sind, ist immer abhängig von den tatsächlichen Gegebenheiten wie zum Beispiel Bedrohungslage, Tragweite und Relevanz Ihres Systems.

 

Grundsätzlich gilt: Prävention statt Reaktion!

 

Im Vorfeld sollte strukturiert die eigene Umgebung analysiert und eingeschätzt werden, um sowohl im „Normalfall“ wie auch im „Ernstfall“ einen kühlen Kopf bewahren zu können. Selbstverständlich können Sie auch Experten zu Rate ziehen.

Zusätzlich sollte ein Notfallplan für den Ernstfall erarbeitet und auch erprobt werden. Hierbei sollten Sie beachten, dass ein Notfallplan erst möglich ist, wenn zuvor Transparenz bezüglich des Sicherheitsrisikos geschaffen wurde. Hier lohnen sich folgende Downloads für Ihr Unternehmen:

 

Internationale Quellen:

Nationale Quellen:

 

Wenn Sie Unterstützung bei der Absicherung Ihrer Produktion benötigen, kontaktieren Sie uns gerne!

 

*Cyber Kill Chain ist ein eingetragenes Warenzeichen der Lockheed Martin Corporation.

 


 

Klingt interessant?

Hier können Sie sich eine Zusammenfassung als PDF kostenlos herunterladen:

 

 

Alle Inhalte haben wir außerdem in diesem Video kurz für Sie zusammengefasst:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenverarbeitung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iQ3liZXIgS2lsbCBDaGFpbiIgd2lkdGg9IjY0MCIgaGVpZ2h0PSIzNjAiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQvbk1jVVZoT1NWdnc/ZmVhdHVyZT1vZW1iZWQiIGZyYW1lYm9yZGVyPSIwIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPjwvaWZyYW1lPg==
kontakt-ondeso-it

Kontakt aufnehmen

Möchten Sie mehr erfahren? Zögern Sie nicht uns zu kontaktieren, wir helfen Ihnen gerne weiter.

produkte-ondeso-industrial-it-new

Produkte

Hier finden Sie eine Übersicht unserer Produkte und Lösungen.

flur-ueber-ondeso

Über ondeso

Hier erfahren Sie mehr über unser Unternehmen und unsere Expertise als Pionier und Marktführer.