Cyber Security

Die Cyber-Kill-Chain

Diese Methoden nutzen Cyberkriminelle für ihre Angriffe

Die Cyber-Kill-Chain ist ein Modell, welches die Struktur und den Ablauf eines Cyberangriffs beschreibt und diesen in 7 Angriffsstufen einteilt, welche vom Angreifer sukzessive erreicht werden müssen, um einen erfolgreichen Angriff durchzuführen. Dieser wird in die folgenden Stufen gegliedert:

Cyber-Kill-Chain

Step 1

Schritt 1: Reconnaissance - Die Identifikation

In dieser Phase werden Informationen über das potenzielle Ziel gesammelt. Die Aufklärung kann weiter aufgeschlüsselt werden, nach der Identifikation eines Zieles (Einzelperson oder Organisation) oder einer Zielgruppe und deren Selektion und Profiling. Das Durchforsten des World Wide Webs, wie Internetseiten, Konferenzen, Blogs, soziale Beziehungen, Mailinglisten und Network-Tracing-Tools, um Hinweise zu erhalten, charakterisiert diese Phase. Die gesammelten Daten werden in späteren Phasen der Cyber-Kill-Kette verwendet, um die Payload zu entwerfen und auszutragen.

Step 2

Schritt 2: Weaponize – Das Bewaffnen

In der Phase der Bewaffnung suchen die Angreifer eine Hintertüre und entwerfen einen Einbruchsplan. Dabei nutzen diese die Informationen, die sie während der Aufklärung gesammelt haben, um die Sicherheitslücke erfolgreich zu überwinden. Technisch gesehen handelt es sich um die Verbindung von Software-/Anwendungs-Exploits mittels Fernzugriffstool (RAT - Remote Access Trojaner). Hierbei handelt es sich um eine Malware, die ein Backdoor für die Kontrolle des Zielsystems eröffnet.

Step 3

Schritt 3: Delivery – Die „Paket“-Lieferung

Die Lieferung ist der entscheidende Teil der Cyber-Kill-Kette, da sie für eine effiziente und effektive Cyber-Attacke verantwortlich ist.

Die Angreifer benötigen entsprechende Informationen, um eine Attacke erfolgreich durchzuführen. Bei den meisten dieser Angriffe ist eine Benutzerinteraktion, wie das Herunterladen und Ausführen maliziöser Files oder der Besuch maliziöser Webseiten obligatorisch. Einige werden ohne Benutzerinteraktion durchgeführt, indem Netzwerkgeräte oder -dienste ausgenutzt werden.

Die Zustellung ist für den Angreifer eine hochriskante Aufgabe, da diese Spuren hinterlässt. Daher werden die meisten Attacken anonym durchgeführt, wobei bezahlte Anonymisierungsdienste, kompromittierte Webseiten und E-Mail-Konten verwendet werden. Das Ausliefern des infizierten Datenpakets erfolgt in der Regel durch mehrere Zustellungsmethoden, da eine einzige Methode keinen 100-prozentigen Erfolg garantiert. Fehlgeschlagene Angriffe sind dabei sehr nützlich, um grundlegende Systemdaten über das Ziel zu erhalten. Diese Arten von Mechanismen zum Sammeln von Informationen sind bei der browser-basierten Angriffsstrategie sehr häufig. Zunächst besucht das Opfer die bösartige Webseite, wodurch anschließend Informationen über das System des Users ausgeforscht werden, um gezielt das konzipierte Datenpaket auszuliefern.

Step 4

Schritt 4: Exploitation – Die Ausbeutung

Nach der Abgabe des Pakets schließt das Opfer die erforderliche Benutzerinteraktion ab. Das Paket wird auf der Zielseite ausgeführt. Der nächste Schritt ist das Auslösen des Exploits, also das Datenpaket unbemerkt zu installieren bzw. auszuführen. Um den Exploit auszulösen, müssen folgende Bedingungen erfüllt werden:

  1. Der Benutzer muss die Software/das Betriebssystem verwenden, für die der Exploit erstellt wurde.
  2. Die Software/das Betriebssystem darf nicht auf Versionen aktualisiert werden, in denen ein Exploit nicht funktioniert.
  3. Antivirenprogramme oder andere Sicherheitsmechanismen sollten die Nutzlast des Exploiters weder bei der statischen noch bei der dynamischen Suche während der Laufzeit erkennen.

Wenn all diese Bedingungen zutreffen, wird der Exploit ausgelöst und die Payload erfolgreich installiert/ausgeführt. Die Payload verbindet sich mit ihrem Gegenstück „Command and Control“, um über die erfolgreiche Ausführung zu informieren und auf weitere Befehle zu warten. Technisch gesehen, stellt der Exploit den kritischsten Teil der Kette dar.

  • Der Exploit ist der Teil einer Cyberwaffe, der die Ausführung der RAT erleichtert. Dieser fungiert als Träger für die RAT und nutzt System-/Software-Schwachstellen, um die RAT abzusetzen und durchzuführen. Exploits werden dazu verwendet, um die Aufmerksamkeit der Benutzer zu umgehen und gleichzeitig einen stillen Backdoor-Zugang mit Hilfe des RAT herzustellen.
  • Exploits werden in vielen Formaten verbreitet, wie z.B. MS Office Dokumente (.doc/ppt), PDF-Dokumente, Audio/Video-Dateien oder die derzeit häufigste Variante: die Verlinkung auf eine maliziöse Webseite. Wenn das Ziel eine Datei oder einen Link unter Verwendung der anfälligen Software öffnet, wird RAT auf dem Zielsystem installiert. Danach werden weitere Exploits, wie Privilegien-Eskalations-Exploits, auf dem Zielsystem verwendet, um höhere Privilegien zu erhalten, die für die Verbreitung des RAT, den dauerhaften Zugriff und/oder die Zerstörung des gesamten Systems z.B. mittels Ransomware, genutzt werden können.

Step 5

Schritt 5: Installation – Die Installation

Die Anzahl von host-basierten Schutzmaßnahmen ist im Vergleich zu anderen Sicherheitsmechanismen rasant gewachsen. Dies führte zu Innovationen bei Umgehungsverfahren hostbasierter Sicherheitskontrollen zur Installation, Aktualisierung und Kontrolle, der auf dem Computer des Opfers installierten Malware. Traditionell wird ein Computer durch einen Überträger, wie z.B. einen Wechseldatenträger, infiziert. Dieser speichert Malware an einem ungewöhnlichen Ort und verändert die Registry/Starteinstellungen so, dass die Malware jedes Mal, wenn der Computer hochfährt, ausgeführt wird. Irgendwann meldet ein Benutzer diese ausführbare Datei schließlich an den Antiviren-Hersteller, der diese analysiert und eine Signatur zur Erkennung und in einigen Fällen ein Entfernungsprogramm entwickelt. Moderne Malware ist heutzutage mehrstufig und hängt stark von Droppern und Downloadern ab, um die Malware-Module auf viel ausgeklügelter Weise zu verbreiten.

Step 6

Schritt 6: Command and Control – Die Fernsteuerung des Zielsystems

Das Command-and-Control-System (C&C-System) ist ein wichtiger Teil ferngesteuertee Cyber-Angriffe. Es wird verwendet, um kompromittierten Rechnern aus der Ferne verborgene Anweisungen zu geben. In ihm befinden sich alle Daten, die extrahiert werden können. Im Laufe der Jahre hat sich die Architektur der C&C-Kanäle aufgrund der Entwicklung von Abwehrmechanismen, wie Antiviren, Firewalls, IDSs usw., exponentiell entwickelt.

Step 7

Schritt 7: Act-on-Objective – Die Zielbestimmung

Nachdem die Kommunikation mit dem Zielsystem gewährleistet ist, führt der Angreifer die Befehle aus. Die verwendeten Befehle hängen vom Interesse des Angriffs ab.

Massenangriff: Hier wird versucht, so viele Ziele wie möglich zu erreichen. Bei einem Massenangriff sind mehrere Systeme zusammen von Interesse, wie etwa Bank-, E-Mail-, Social Media- und lokale Systemadministrator-Zugangsdaten.
Ein größeres Bild eines Massenangriffs wird als BOTNets bezeichnet. BOTNets werden hauptsächlich für DDoS-Angriffe und Virtual Coin Mining eingesetzt. Beim Virtual Coin Mining ernten die Systemprozessoren oder GPUs die virtuelle Währung für den Angreifer.

Gezielte Angriffe: Gezielte Angriffe sind raffinierter und werden mit größerer Vorsicht durchgeführt. Die meisten dieser Angriffe zielen darauf ab, geheime Informationen vom Zielsystem zu erhalten, beispielsweise Benutzeranmeldeinformationen für Online-Konten. Wenn das Ziel eine Organisation ist, liegt das Hauptaugenmerk auf der Ausbreitung über das Netzwerk.

Bei beiden Arten von Angriffen können Festplatte oder Gerätetreiber des Systems zum Absturz gebracht werden. In dem etwa die CPU veranlasst wird, ihre maximale Leistungsfähigkeit für lange Zeit auszunutzen, um die Prozessor-Hardware zu beschädigen.

Sie haben Fragen?

Sie wollen mehr darüber erfahren, wie Sie Ihre Systeme vor einem Angriff schützen können oder haben Fragen zum Thema Cyber Security? Wir sind gerne für Sie da!

Markus Schaub

Markus Schaub

Business Unit Manager

Cyber Security & Data Center Software



Markus.Schaub@IngramMicro.com

+431 4081543 351

Nikolai Benedikt

Nikolai Benedikt

Junior Sales Specialist

Cyber Security & Data Center Software



Nikolai.Benedikt@ingrammicro.com

+431 4081543 362