Die Cyber Kill Chain: 7 Schritte für einen höheren Reifegrad Ihrer Security

1. Reconnaissance: Ziele suchen

Im ersten Schritt werden Hacker auf die Suche nach passenden Angriffszielen gehen. Hierfür sammeln sie über einen längeren Zeitraum Informationen über mögliche Opfer, indem sie Plattformen wie Google, soziale Medien oder normale Firmenwebsites durchsuchen. Diese gesammelten Daten werden danach für Angriffe weiterverarbeitet. Finden sie zum Beispiel Schwachstellen (siehe CVE Beitrag), so können sie diese ausnutzen.

Die aktive Reconnaissance beschreibt den Vorgang, bei dem Daten nicht nur „still“ gesammelt werden, sondern aktiv abgefangen werden. Hier wird unter anderem das Social Engineering angewendet, um menschliche Komponenten auszunutzen und so sicherheitskritische Daten und Insider Informationen in Erfahrung zu bringen. Auch „Deepfakes“ werden genutzt, um zum Beispiel Zugangsdaten zu erhalten.

Die hier eingesetzten Tools sind keinesfalls unbekannt und werden auch vielfach für völlig legitime Zwecke verwendet. Um einige Beispiele zu nennen: Nmap für Netzwerk- und Portscans, OpenVAS für die Prüfung auf bekannte Schwachstellen (CVEs), sowie DNSMap, sqlmap und SMBMap für die Prüfung der jeweiligen Dienste. Die Aufzählung ist keinesfalls abschließend, soll jedoch einen ungefähren Eindruck vermitteln welche Möglichkeiten hier zum Einsatz kommen. Hier gilt es außerdem den „Hacker Paragraph“ § 202c StGB einzuhalten.

Des Weiteren können auch selbst entwickelte Tools für das Auffinden potenzieller Ziele (sog. „Crawler“) zum Einsatz kommen und Informationen aus diversen Quellen wie beispielsweise dem Darknet herangezogen werden, um beispielsweise geleakte Informationen auszunutzen.

Mögliche Gegenmaßnahmen

Es ist nahezu unmöglich die Reconnaissance zum Zeitpunkt der Ausführung zu erkennen.   Dennoch kann man Website-Besucherprotokolle für Warnmeldungen und historische Recherchen sammeln und mit Web-Administratoren zusammenarbeiten, um deren Browser-Analysen nutzen zu können. Mithilfe dieser Daten können Sie Browsing-Verhaltensweisen erkennen und Abwehrmaßnahmen für Personengruppen und Technologien priorisieren.

2. Weaponization: Angriff vorbereiten

Als zweiten Schritt werden Angreifer ihre „Waffen“ vorbereiten und gezielt nach Schwachstellen im gesamten Unternehmen suchen über die sie dann zuschlagen können.

Dabei bedienen diese sich teils an einer Fülle von leicht zugänglichen „out-of-the-box“ Lösungen. Falls noch mehr Aufwand auf die Vorbereitung in dieser Phase aufgewendet wird, sind auch Informationsmaterialien zur Erstellung eigener Tools verhältnismäßig einfach zugänglich. Auch der Aufbau bzw. die Miete von Botnets für temporäre oder dauerhafte Angriffe ist ein beliebtes Mittel der Wahl. Außerdem gibt es natürlich noch einen Schwarzmarkt für sogenannte Zero-Day-Exploits, die der breiten Öffentlichkeit bisher noch nicht bekannt sind und vom Angreifer ausgenutzt werden können.

Mögliche Gegenmaßnahmen

Während dieser Phase, kann man sich nur bedingt wehren. Führen Sie dennoch Analysen durch, um aktuelle Malware-Artefakte zu verstehen und erstellen Sie Verfahren zur Früherkennung. Mithilfe gesammelter Dateien und Metadaten können zukünftige Analysen durchgeführt und neuartige Angriffe entdeckt werden.

Hierfür können bekannte Tools aufgebaut und verwendet werden:

3. Delivery:  Durchführung starten

Nachdem ein Ziel ausgesucht und alle „Waffen“ vorbereitet wurden, startet der aktive Angriff – die Malware muss zugestellt werden. Hier werden häufig die „üblichen“ Kommunikationswege über E-Mails oder über USB-Speichermedien genutzt.

Die Angriffe werden meist als „typische“ Dateien, wie Bewerbungsunterlagen oder Abrechnungen, getarnt. Dabei wird häufig menschliches Fehlverhalten (z.B. USB-Sticks mit der Aufschrift: „Gehaltsabrechnung“, „Private Bilder“, …) ausgenutzt. Aber auch präparierte Webseiten (z.B. Waterholing, Drive-By-Download, …) können versteckte Viren verteilen oder Probleme verbreiten.

Mögliche Gegenmaßnahme

Ab dieser Stufe können Sie Angriffe zum ersten Mal aktiv abwehren. Hierfür muss zuerst analysiert werden, über welche Übertragungsmedien die Einbruchsversuche stattfinden und welche Server und Personen anvisiert werden. Durch die Nutzung der Artefakten des Waffensystems können dann neue Nutzlasten am Übermittlungszeitpunkt erkannt werden. Zusätzlich könnten technische Schutzmaßnahmen zur Verwendung von USB-Speichermedien (siehe ondeso DC) die Sicherheit erhöhen.

4. Exploitation: Ausnutzen von Sicherheitslücken

Wurde die Schadsoftware zugestellt, wird der Angreifer Schwachstellen nutzen, um sich in späteren Schritten vollständigen Zugang auf Ihr Unternehmensnetzwerk verschaffen zu können. Dies kann „silent“ erfolgen, indem er sein Angriffsfeld nur durchsucht, es kann aber auch direkt zu einer aktiven Beeinflussung der produktiven Systeme kommen.

Mögliche Gegenmaßnahmen

Regelmäßiges Patchen und automatisch ausgeführte Schwachstellenscans der eigenen Hard- und Software sind hier das A und O. Auch Benutzerschulungen und E-Mail-Phishing-Tests für Mitarbeiter sowie Schulungen zur sicheren Websoftware-Entwicklung sind nicht zu vernachlässigen.

5. Installation: Zugang persistieren

Hat der Angreifer seine Angriffsumgebung inspiziert und erforscht, wird er beginnen seine Schadsoftware, sowie den Zugriff auf das System zu persistieren. Beliebt sind hierbei die Erstellung von Backdoors in bestehenden anderen Programmen oder die Nutzung einer sogenannten „Reverse Shell“ zur Ausführung von Befehlen auf dem betroffenen Gerät. Die Kommunikation zu diesem kann über verschiedenste Wege stattfinden, dazu mehr in Phase 6.

Hat der Angreifer dann längerfristig Zugriff auf Ihr System – man spricht dann von einem „Advanced Persistent Threat“ (APT) – ist es ein leichtes für ihn, sich auch auf Lieferanten- und Kundennetzwerke auszuweiten oder weitere Teile Ihres eigenen Netzwerks zu infiltrieren.

Mögliche Gegenmaßnahmen

Hier gilt es mithilfe von implementierten Security Lösungen die Installationsvorgänge zu erkennen, zu protokollieren und mittels dieser Analysen neue Security-Maßnahmen zu erstellen. Das Verständnis über benötigte Administratoren- oder nur Benutzerrechte und dessen Einschränkungen, können gewisse Angriffe erschweren.

6. Command and Control (CC oder C2): Fernsteuerung ausbauen

Da der Angreifer mittlerweile permanenten Zugriff hat, kann er spezifische Maßnahmen einleiten und zum Beispiel eine Verbindung zu CC-Servern aufbauen um von dort weitere Anweisungen, Schadsoftware oder Updates zu beziehen.

Mögliche Gegenmaßnahmen

In dieser Phase können Sie versuchen, die Kommunikation zu bekannten CC-Servern zu unterbinden, in dem Sie zum Beispiel Verbindungen zu Botnetzen abschalten, oder, wie in vorherigen Schritten bereits erwähnt, den eigenen Datenverkehr bzw. die Datenmenge überwachen und Alarmierungen bei Grenzwertüberschreitungen aktivieren.

7. Actions on Objectives: Angriff abschließen

Je länger ein Angreifer Zugriff auf die Systeme hat, desto größer können die Auswirkungen sein. Beispiele dafür sind die Verschlüsselung oder die Veröffentlichung von Dokumenten sowie deren Manipulation. Wie in der Vergangenheit durch Stuxnet und Co. bewiesen wurde, sind nicht nur Office-Umgebungen, sondern auch Produktionsprozesse in Gefahr, da diese gezielt negativ beeinflusst werden können. Dadurch ist nicht nur das Tagesgeschäft bedroht, sondern auch die gesamte Firmenexistenz könnte auf dem Spiel stehen.

Mögliche Gegenmaßnahmen

Unter anderem kann der Einsatz von IT-Forensik bei der Auswertung und Rekonstruktion des Angriffs helfen.

Unser Experten-Tipp

Abschließend möchten wir noch einmal darauf hinweisen, dass es sich in diesem Beitrag um beispielhafte Sicherheitsmaßnahmen nach Lockheed Martin handelt.  Welche Maßnahmen für Ihr Unternehmen und Ihren konkreten Anwendungsfall am besten geeignet sind, ist immer abhängig von den tatsächlichen Gegebenheiten wie zum Beispiel Bedrohungslage, Tragweite und Relevanz Ihres Systems.

Grundsätzlich gilt: Prävention statt Reaktion!

Im Vorfeld sollte strukturiert die eigene Umgebung analysiert und eingeschätzt werden, um sowohl im „Normalfall“ wie auch im „Ernstfall“ einen kühlen Kopf bewahren zu können. Selbstverständlich können Sie auch Experten zu Rate ziehen.

Zusätzlich sollte ein Notfallplan für den Ernstfall erarbeitet und auch erprobt werden. Hierbei sollten Sie beachten, dass ein Notfallplan erst möglich ist, wenn zuvor Transparenz bezüglich des Sicherheitsrisikos geschaffen wurde. Hier lohnen sich folgende Downloads für Ihr Unternehmen:

Internationale Quellen:

• NIST: Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1  [4]
• ENISA: Industry 4.0 – Cybersecurity Challenges and Recommendations — ENISA [5]
• ENISA: Guideline on Security Measures under the EECC — ENISA (europa.eu) [6]
• IEC 62443 [7]

Nationale Quellen:

• BSI Top 12 Maßnahmen [8]
• BSI Notfallkontakte z.B. über „Feuerwehrkarte“ mit wichtigsten Ansprechpartnern [9]
• VDMA Notfallhilfe Ransomware [10]
• Außerdem lohnt sich ein Blick in den „Leitfaden Industrie 4.0 Security“ des VDMAs [11]

Wenn Sie Unterstützung bei der Absicherung Ihrer Produktion benötigen, kontaktieren Sie uns gerne!

*Cyber Kill Chain ist ein eingetragenes Warenzeichen der Lockheed Martin Corporation.

Klingt interessant?

Hier können Sie sich eine Zusammenfassung als PDF kostenlos herunterladen:

Alle Inhalte haben wir außerdem in diesem Video kurz für Sie zusammengefasst:

[1] https://www.eyedsec.de/vdi-nachrichten-ausgabe-42-der-umsatz-mit-cyberkriminalitaet-ist-hoeher-als-der-weltweite-umsatz-mit-drogen/

[2] Hutchins, Eric M. ; Cloppert, Michael J. ; Amin, Rohan M.: Intelligence driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. In: Leading Issues in Information Warfare & Security Research 1 (2011), S. 80

[3] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[4] https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

[5] https://www.enisa.europa.eu/publications/industry-4-0-cybersecurity-challenges-and-recommendations

[6] https://www.enisa.europa.eu/publications/guideline-on-security-measures-under-the-eecc

[7] https://de.wikipedia.org/wiki/IEC_62443

[8] https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/TOP-12-Massnahmen/top-12-massnahmen_node.html

[9] https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html

[10] https://sud.vdma.org/documents/15012668/47728198/VDMA_Ransomware_Notfallhilfe_1584964952971.pdf/c43e73b0-9fe8-5127-e078-297ad603e450

[11] https://industrie40.vdma.org/documents/4214230/15280277/1492501068630_Leitfaden_I40_Security_DE.pdf/836f1356-12e6-4a00-9a4d-e4bcc07101b4