Zum Hauptinhalt springen

Cyber Kill Chain: Phasen und Prozess

Veröffentlicht am:
.
19 Minuten Lesezeit
.
Für die Englische Version

Jeder Angreifer verwendet ein Framework, um auf eine Infrastruktur zuzugreifen oder Perimetersicherheitsmaßnahmen zu umgehen, genau wie jede Sicherheitslösung, um schlechte Aktivitäten herauszufiltern. Die Cyber-Kill-Chain ist ein Konzept, das darauf abzielt, ausgeklügelte Angriffe zu erkennen und zu verhindern, bevor sie eskalieren oder Unternehmen schaden. Die Cyber-Kill-Chain untersucht mehrere Phasen dieser Angriffe und zeigt die Bedeutung der Bedrohungen auf. Cyber-Kill-Chain-Modelle können helfen, die Ansätze zur Vorfallverwaltung und -reaktion zu verbessern.

Die Cyber-Kill-Chain bietet eine organisierte Methode, um Cyberangriffe zu untersuchen und sich gegen sie zu schützen, indem der Angriffsprozess in mehrere Phasen unterteilt wird. Durch die Untersuchung jeder Phase, von der Aufklärung bis zum Endziel, können Unternehmen proaktive Maßnahmen ergreifen, um Angriffe zu vermeiden, zu erkennen und zu mindern, bevor sie erheblichen Schaden anrichten. Während die Cyber-Kill-Chain ein nützliches Konzept ist, hat sie bestimmte Nachteile, einschließlich der Unfähigkeit, Insider-Bedrohungen zu erkennen, und eines eingeschränkten Angriffsdetektionsprofils. Um ihre Verteidigung zu stärken, sollten Unternehmen eine Mischung aus Bedrohungserkennungstechnologien, häufigen Schwachstellenbewertungen, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen und Incident-Response-Strategien verwenden. Die Einführung einer Zero-Trust-Architektur und die Durchführung regelmäßiger Datensicherungen verbessern die allgemeine Sicherheitslage, indem sichergestellt wird, dass die Systeme bereit sind, sich gegen aufkommende Bedrohungen zu schützen. Organisationen können Angreifern einen Schritt voraus sein und ihre Vermögenswerte besser schützen, indem sie das Konzept der Cyber-Kill-Chain nutzen und dessen Schwächen beheben.

Dieses Tutorial wird eine Cyber-Kill-Chain definieren, häufige Verfahren der Cyber-Kill-Chain hervorheben, Vergleiche und andere Informationen geben und das Framework im Detail erläutern.

  • Was ist die Cyber Kill Chain?

  • Was ist die Cyber Kill Chain in der Cybersicherheit?

  • Was ist der Cyber Kill Chain Prozess?

  • Was sind die Einschränkungen des Cyber Kill Chain Modells?

  • Was ist der Unterschied zwischen der Cyber Kill Chain und dem Angriffszyklus?

  • Was sind die Phasen der Cyber Kill Chain?

  • Wie trägt jede Phase der Cyber Kill Chain zu einem Cyberangriff bei?

  • Was passiert während der Aufklärungsphase einer Cyber-Kill-Chain?

  • In welcher Phase der Cyber Kill Chain sammelt ein Angreifer Informationen?

  • Warum ist die Waffenerstellung in der Cyber Kill Chain entscheidend?

  • Wie liefern Angreifer bösartige Payloads in der Kill Chain?

  • Was geschieht während der Ausnutzungsphase der Cyber Kill Chain?

  • Kann Malware in der Installationsphase eines Cyberangriffs installiert werden?

  • Was bedeutet Command and Control (C2) in der Cyber Kill Chain?

  • Was ist die Unified Cyber Kill Chain?

  • Wie wird die Cyber Kill Chain in Cloud-Umgebungen angewendet?

  • Welche Phase der Kill Chain umfasst Social Engineering-Taktiken?

  • Wie kann die Kill Chain zur Bedrohungserkennung und Incident Response verwendet werden?

  • Wie vergleicht sich die Cyber Kill Chain mit dem MITRE ATT&CK Framework?

  • Was ist ein Beispiel für einen Cyber Kill Chain-Angriff in der realen Welt?

Starten Sie noch heute kostenlos mit Zenarmor

Was ist die Cyber Kill Chain?

Die militärische Kill-Kette ist ein methodischer Ansatz zur Identifizierung und Beendigung feindlicher Aktivitäten; die Cyber-Kill-Kette ist eine Anpassung dieses Ansatzes. Lockheed Martin entwickelte eine auf Geheimdienstinformationen basierende Verteidigungsstrategie namens Cyber Kill Chain. Das Hauptziel war es, den Sicherheitsteams zu helfen, Cyberbedrohungen zu dekonstruieren, zu verstehen und zu klassifizieren. Die Schritte, die ein Angreifer unternimmt, um erfolgreich die Verteidigungen zu überwinden, werden in diesem Cyber-Kill-Chain-Modell dargestellt.

Die Schritte der Cyber-Kill-Chain zeigen, wie lange fortgeschrittene anhaltende Bedrohungen (APTs) dauern und wie sich die Ereignisse entfalten. Sie decken jede Phase ab, von der anfänglichen Aufklärung bis zur Erreichung der Ziele des Angreifers. Typischerweise verwenden diese Angriffe eine Kombination aus Malware, Ransomware, Trojanern, Spoofing und Social-Engineering-Taktiken, um ihre Ziele zu erreichen.

Was ist die Cyber Kill Chain in der Cybersicherheit?

Die Cyber-Kill-Chain beschreibt, wie Täter Cyberangriffe durchführen. Der Ansatz der Cyber-Kill-Chain hat im Bereich der Informationssicherheit an Bedeutung gewonnen. Es bietet einen Rahmen zum Verständnis und zur Bewertung der vielen Phasen eines Angriffs, von der anfänglichen Aufklärung bis zur Erreichung des Ziels des Angreifers.

Das Verständnis, wie Cyberbedrohungsakteure ihre Angriffe planen und durchführen, ermöglicht es Cybersicherheitsexperten, Schwachstellen im gesamten Unternehmen zu identifizieren und zu mindern. Es hilft ihnen, Anzeichen einer Kompromittierung in den frühen Phasen eines Cyberangriffs zu identifizieren. Viele Unternehmen nutzen den Cyber-Kill-Chain-Ansatz, um proaktiv Sicherheitsmaßnahmen zu implementieren und die Incident-Response zu verwalten.

Indem sie einen Angriff in verschiedene Phasen unterteilen, können Organisationen Angriffe auf jeder Ebene erkennen und verhindern, bevor sie größeren Schaden anrichten.

  • Früherkennung in jeder Phase: Während des Angriffs sollten Cybersicherheitstechnologien und -verfahren eingesetzt werden, um ungewöhnliches Verhalten zu erkennen. Dies ermöglicht es Unternehmen, schnell zu reagieren und eine Eskalation zu verhindern.

  • Teile nicht zu viele Informationen: Gewähre niemals unbefugten Personen oder externen Parteien Zugang zu kritischen Unternehmensinformationen. Dies verringert die Wahrscheinlichkeit, dass wichtige Informationen von Angreifern geleakt und ausgenutzt werden.

  • Unbefugten Zugriff einschränken: Verhindern Sie, dass unbefugte Personen auf Ihre Systeme oder Daten zugreifen. Implementieren Sie strenge Zugangskontrollverfahren, um sicherzustellen, dass nur autorisierte Personen die entsprechenden Berechtigungen haben.

  • Starke Authentifizierungsmethoden implementieren: Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) und biometrische Technologien wie Fingerabdrücke, um kritische Unternehmensinformationen zu schützen. Diese Schutzmaßnahmen stellen sicher, dass nur vertrauenswürdige Benutzer Zugang zu wichtigen Ressourcen haben.

Durch die Integration des Cyber-Kill-Chain-Konzepts in ihren Sicherheitsplan können Unternehmen Cyber-Bedrohungen effizient identifizieren, verhindern und darauf reagieren, wodurch das Gesamtrisiko eines Sicherheitsvorfalls verringert wird.

Was ist der Cyber Kill Chain Prozess?

Die Cyber Kill Chain wird einen Angriff in mehrere Teile und Phasen unterteilen. Die Cyber Kill Chain präsentiert eine systematische Methode zur Erkennung der Bewegungen von Feinden und untersucht Möglichkeiten, diese auf jeder Ebene zu stören. Es wird einen Angriff nicht als einmaliges Ereignis behandeln. Lockheed Martins erstes Cyber-Kill-Chain-Modell bestand aus sieben aufeinanderfolgenden Schritten:

  • Phase 1: Aufklärung: Während der Aufklärungsphase wählt ein feindlicher Akteur ein Ziel aus und untersucht potenzielle Schwachstellen und Schwächen im Netzwerk. Im Rahmen dieses Verfahrens kann der Angreifer Anmeldeinformationen und andere Informationen sammeln, wie z.B. E-Mail-Adressen, Benutzer-IDs, physische Standorte, Softwareprogramme und Betriebssystemmerkmale, die alle in Phishing- oder Spoofing-Angriffen verwendet werden könnten. Im Allgemeinen gilt: Je mehr Informationen der Angreifer während der Aufklärungsphase sammeln kann, desto komplexer und überzeugender wird der Angriff, was die Erfolgswahrscheinlichkeit erhöht.

  • Phase 2: Waffenerstellung: Während der Phase der Waffenerstellung entwickelt der Angreifer einen Angriffsvektor, wie z.B. Fernzugriffs-Malware, Ransomware, einen Virus oder einen Wurm, der eine bestehende Schwachstelle ausnutzen kann. Selbst wenn Netzwerkadministratoren den ersten Einstiegspunkt des Angreifers erkennen und blockieren, können sie in dieser Phase immer noch Hintertüren nutzen, um Zugang zum System zu erhalten.

  • Phase 3: Lieferung: Der Eindringling beginnt den Angriff während der Lieferphase. Die konkreten durchgeführten Aktionen hängen von der Art des Angriffs ab, den sie starten möchten. Zum Beispiel könnte der Angreifer E-Mail-Anhänge oder einen bösartigen Link senden, um die Benutzerinteraktion zu fördern und den Plan weiterzugeben. Diese Aktivität kann mit Social-Engineering-Strategien kombiniert werden, um die Wirksamkeit der Kampagne zu verbessern.

  • Phase 4: Täuschung: Während der Ausnutzungsphase wird schadhafter Code auf dem Computer des Opfers ausgeführt.

  • Phase 5: Einrichtung: Der Virus oder ein anderer Angriffsvektor wird direkt nach der Ausnutzungsphase auf dem Computer des Opfers platziert. Da der Bedrohungsakteur Zugriff auf das System erlangt hat und nun die Kontrolle übernehmen kann, ist dies ein Wendepunkt im Lebenszyklus des Angriffs.

  • Phase 6: Kommando & Kontrolle: In Kommando & Kontrolle kann der Angreifer Malware einsetzen, um die Fernsteuerung eines Geräts oder einer Identität im Zielnetzwerk zu erlangen. Während dieser Phase kann der Angreifer versuchen, sich lateral im Netzwerk zu bewegen, um seinen Zugriff zu erhöhen und neue Zugangsmöglichkeiten für die Zukunft zu entwickeln.

  • Phase 7: Maßnahmen zum Ziel: In dieser Phase unternimmt der Angreifer Anstrengungen, um seine geplanten Ziele zu erreichen, was Datenraub, Zerstörung, Verschlüsselung oder Exfiltration umfassen kann.

Im Laufe der Zeit haben mehrere Fachleute für Informationssicherheit eine achte Stufe zur Kill Chain hinzugefügt: Monetarisierung. Während dieser Phase konzentriert sich der Cyberkriminelle darauf, aus dem Angriff Geld zu machen, sei es durch ein von dem Opfer gezahltes Lösegeld oder durch den Verkauf sensibler Informationen, wie persönliche Daten oder Geschäftsgeheimnisse, im Dark Web.

Es wird weiterhin Bewegungen suchen und Gegenangriffe so früh wie möglich im Angriffszyklus durchführen. Wenn das Unternehmen seine Pläne nicht umsetzt, könnte es langfristig erhebliche Konsequenzen erleiden. Im Wesentlichen ist die Cyber Kill Chain eine Roadmap oder ein Blueprint, den Unternehmen nutzen können, um sicher zu bleiben und sich gegen die neuesten Cyber-Bedrohungen zu verteidigen.

Was sind die Einschränkungen des Cyber Kill Chain Modells?

Während die Cyber-Kill-Chain ein weit verbreitetes Konzept zur Entwicklung einer Cybersicherheitsstrategie ist, weist sie zahlreiche bedeutende und möglicherweise tödliche Mängel auf. Die Einschränkungen der Cyber-Kill-Chain sind wie folgt.

  • Perimetersicherheit: Eine der häufigsten Kritiken am Cyber-Kill-Chain-Paradigma ist seine Betonung der Perimetersicherheit und der Malware-Prävention. Dies ist ein zunehmend bedeutendes Thema, da Unternehmen von traditionellen On-Premises-Netzwerken in die Cloud migrieren.

    Ähnlich hat die Beschleunigung der Fernarbeit und die Verbreitung persönlicher Geräte, IoT-Technologien und sogar ausgeklügelter Anwendungen wie der Robotic Process Automation (RPA) die Angriffsfläche für viele Unternehmen erheblich vergrößert. Dies impliziert, dass Betrüger erheblich mehr Einstiegsmöglichkeiten haben werden, um diese auszunutzen – und Unternehmen werden es schwieriger haben, jeden einzelnen Endpunkt zu schützen.

  • Keine Erkennung von Insider-Bedrohungen: Die Cyber-Kill-Chain kann Insider-Bedrohungen, die die Daten oder Informationen des Unternehmens missbrauchen, nicht identifizieren. Eine Insider-Bedrohung ist ein Angriff, der innerhalb einer Organisation oder Firma stattfindet, unabhängig davon, ob der Angreifer ein ehemaliger Mitarbeiter, ein Anbieter usw. ist.

  • Angriffsanfälligkeiten: Ein weiterer möglicher Schwachpunkt der Todeskette ist, dass sie eine eingeschränkte Fähigkeit hat, bestimmte Arten von Angriffen zu erkennen. Zum Beispiel kann die ursprüngliche Architektur Insider-Bedrohungen nicht erkennen, die zu den kritischsten Gefahren für ein Unternehmen gehören und eine der erfolgreichsten Angriffsarten darstellen. Angriffe, die kompromittierte Anmeldeinformationen durch unbefugte Parteien verwenden, können mit dem ursprünglichen Kill-Chain-Design nicht erkannt werden.

    Das Cyber-Kill-Chain-System könnte auch webbasierte Bedrohungen nicht erkennen. DoS/DDoS, SQL-Injection, Cross-Site-Scripting (XSS) und andere Zero-Day-Schwachstellen sind Beispiele für solche Angriffe. Der enorme Equifax-Datenleck von 2017, das teilweise durch einen fehlerhaften Software-Patch verursacht wurde, ist ein bekanntes Beispiel für einen Online-Angriff, der aufgrund unzureichender Schutzmaßnahmen unbemerkt blieb.

  • Mangelnde Flexibilität: Einige Angreifer folgen der Cyber-Kill-Chain nicht Schritt für Schritt; sie überspringen und fügen Phasen hinzu, wie zum Beispiel die Lieferung, und verwenden dann den Zusammenführungs-Schritt der Kill-Chain.

  • Verpasst Angreifer: Schließlich, während die Architektur darauf ausgelegt ist, komplexe, gründlich untersuchte Angriffe zu erkennen, übersieht die Cyber-Kill-Chain häufig Angreifer, die keine umfangreiche Aufklärung durchführen. Zum Beispiel entkommen Personen, die eine "Spray-and-Pray"-Strategie anwenden, häufig zufällig den geschickt konstruierten Erkennungstraps.

Was ist der Unterschied zwischen der Cyber Kill Chain und dem Angriffslebenszyklus?

Die Cyber Kill Chain ist ein markenspezifisches, lineares Modell mit sieben Phasen, das von Lockheed Martin entwickelt wurde, um externe Eindringlinge zu identifizieren und deren Unterbrechung zu erleichtern. Der (Cyber-)Angriffslebenszyklus ist ein allgemeineres, breiteres Konzept, das häufig iterativ ist und dessen genaue Phasen je nach Quelle variieren. Es erweitert typischerweise die Aktivitäten nach dem Kompromittieren, einschließlich der Eskalation von Rechten, interner Aufklärung, lateraler Bewegung, Persistenz und Datenexfiltration/-auswirkungen. Die Kill Chain ist eine spezifische Darstellung eines Angriffszyklus in der Praxis. Der Begriff "Angriffslebenszyklus" bezieht sich auf den allgemeinen End-to-End-Fortschritt eines Eindringens und wird häufig mit detaillierteren und zyklischen Aspekten modelliert (und häufig durch Frameworks wie MITRE ATT&CK ergänzt).

Was sind die Phasen der Cyber Kill Chain?

Die Cyber-Kill-Chain bietet einen Überblick über Cyberangriffe, sodass Unternehmen jede Phase verstehen und sich von Angriffen erholen können. Die Phasen des Cyber-Kill-Chain-Modells bieten jeweils einen Überblick über eine bestimmte Art von Cyberangriff. Die Cyber-Kill-Chain ist ein schrittweiser Prozess zur Identifizierung, Erkennung und Beendigung anfälliger Aktivitäten.

Abbildung 1. Sieben Phasen der Cyber-Kill-Chain

Die Cyber-Kill-Chain hat sieben Schritte, die wie folgt sind.

  1. Aufklärung: Aufklärung ist die erste Phase der Cyber Kill Chain, die das Untersuchen möglicher Ziele vor der Durchführung von Penetrationstests umfasst. Infolgedessen liefert es Einblicke in mögliche Ziele und untersucht diese weiter. Während des Aufklärungsprozesses können mögliche Ziele identifiziert, Schwächen entdeckt, welche Dritte mit ihnen verbunden sind (und auf welche Daten sie zugreifen können) und aktuelle sowie neue Einstiegspunkte untersucht werden. Aufklärung kann sowohl online als auch offline erfolgen.

  2. Der Einsatz von Waffen: Nach der Aufklärung und dem Erwerb aller relevanten Daten zu möglichen Zielen, einschließlich Schwachstellen, geht der Angreifer zum Waffenschritt der Cyber Kill Chain über. Der Angriff und die Kompromittierung des Netzwerks des Ziels werden mit Hilfe von Death-Chain-Tools und Cyberwaffen durchgeführt. Das Endprodukt der Vorbereitungen des Angreifers ist Malware, die während der Waffenerstellungsphase gegen ein bestimmtes Opfer eingesetzt wird. Die Waffenerstellung könnte die Entwicklung neuer Malware oder die Änderung bereits vorhandener Werkzeuge umfassen, die bei einem Hack verwendet werden sollen. Zum Beispiel könnten Hacker ein neues Cyber Kill Chain-Tool erstellen, indem sie kleine Änderungen an einer bereits bestehenden Ransomware-Variante vornehmen.

  3. Lieferung: Um Zugang zum Netzwerk und zu den Benutzern eines Ziels zu erhalten, werden Cyberwaffen und andere Cyber Kill Chain-Tools während der Lieferphase eingesetzt. Phishing-E-Mails können Clickbait-Betreffzeilen und Virusanhänge verwenden, um ihre Botschaft zu verbreiten. Die Nutzung einer Hardware- oder Softwareanfälligkeit, um Zugang zum Netzwerk einer Organisation zu erhalten, ist eine weitere Möglichkeit, wie die Zustellung erfolgen könnte. Der Angreifer wird eine Reihe von Phishing-Techniken, einschließlich betrügerischer URLs, verwenden, um zu versuchen, mit den Kunden in Kontakt zu treten. Das Opfer wird durch die Betreffzeilen dieser E-Mails zur Handlung aufgefordert. Sobald die Zustellung erfolgreich ist, kann der Angreifer auf das Netzwerk der Organisation zugreifen und andere Software- und Hardwarefehler ausnutzen.

  4. Ausnutzung: Die Ausnutzung erfolgt nach der Lieferung und Waffensystematisierung. In der Ausnutzungsphase der Cyber Kill Chain nutzen Angreifer die in früheren Phasen aufgedeckten Schwachstellen, um weiter in das Netzwerk eines Ziels einzudringen und ihre Ziele zu erreichen. Während dieses Verfahrens wandern Betrüger häufig lateral durch ein Netzwerk, um ihre Ziele zu erreichen. Die Ausnutzung kann Angreifer gelegentlich zu ihren Zielen führen, wenn die Netzwerkadministratoren keine Täuschungsmaßnahmen implementiert haben.

  5. Installation: Der Installationsschritt besteht darin, zu versuchen, Malware und andere Ransomware-Varianten in die Zielnetzwerke zu installieren. Nachdem sie die Schwächen ihres Ziels ausgenutzt haben, um Zugang zu einem Netzwerk zu erlangen, initiieren Hacker den Installationsschritt der Cyber Kill Chain: Sie versuchen, Malware und andere Cyberwaffen im Zielnetzwerk zu installieren, um die Kontrolle über dessen Systeme zu erlangen und wichtige Daten zu extrahieren. In dieser Phase können Cyberkriminelle Trojaner, Hintertüren oder Befehlszeilenoberflächen verwenden, um Cyberwaffen und Malware zu installieren.

  6. Befehls- und Kontrollsystem: Hacker interagieren mit der Malware, die sie im Netzwerk eines Ziels installiert haben, in der C2-Phase der Cyber Kill Chain, um Cyberwaffen oder -werkzeuge zu steuern und ihre Ziele zu erreichen. Sie werden die Instrumente anweisen, bestimmte Aufgaben aus der Ferne zu erledigen. Die Angreifer werden Kommunikationskanäle nutzen, um Maschinen zu verwalten, die mit ihrer Software und Botnets infiziert sind. Sie könnten versuchen, Websites mit Traffic zu überfluten oder C2-Server direkt zu steuern, um ihr Ziel zu erreichen.

  7. Aktionen basierend auf Zielen: Dies ist die letzte Phase, in der Angreifer versuchen, ihre Ziele zu erreichen und erfolgreich zu sein. Nachdem sie Cyberwaffen entwickelt, diese im Netzwerk eines Ziels installiert und die Kontrolle über dieses Netzwerk erlangt haben, gehen Cyberkriminelle zur nächsten Phase der Cyber Kill Chain über: die Durchführung ihrer Cyberangriffsziele. Je nach Art des Cyberangriffs können Cyberkriminelle unterschiedliche Ziele verfolgen. Zum Beispiel könnten sie Ransomware als Erpressungswerkzeug verwenden, Malware verbreiten, um vertrauliche Informationen aus einer Zielorganisation zu stehlen, oder ein Botnetz als Waffe einsetzen, um Dienste durch einen Distributed Denial of Service (DDoS)-Angriff zu stören.

Wie trägt jede Phase der Cyber Kill Chain zu einem Cyberangriff bei?

Beim Starten offensiver Operationen gegen ihre Ziele im Cyberspace folgen Angreifer den Verfahren der Cyber Kill Chain. Befehls- und Kontrollsystem (C2), Lieferung, Ausnutzung, Installation, Bewaffnung, Aufklärung und Aktionen gegen Ziele sind die sieben Phasen, die die Cyber Kill Chain ausmachen. Ein Cyberangriff wird von jedem Schritt der Cyber Kill Chain unterschiedlich beeinflusst.

  • Aufklärung: Der erste Schritt in der Cyber Kill Chain ist die Aufklärung, die das Untersuchen möglicher Ziele vor der Durchführung von Penetrationstests umfasst. Mögliche Ziele zu identifizieren, ihre Schwächen zu bestimmen, herauszufinden, ob Dritte mit ihnen verbunden sind (und auf welche Informationen sie Zugriff haben), sowie sowohl neue als auch aktuelle Zugangsmethoden zu untersuchen, sind alles mögliche Aufgaben für die Aufklärungsphase. Aufklärung kann online oder offline durchgeführt werden.

  • Waffenisierung: Während dieser Phase kommen alle Vorbereitungen des Angreifers zusammen, um Malware zu erstellen, die gegen ein spezifisches Ziel eingesetzt wird. Die Entwicklung neuer Malware oder die Änderung bereits vorhandener Werkzeuge zur Verwendung in einem Cyberangriff sind Beispiele für die Waffenerstellung. Zum Beispiel können Diebe, um ein neues Cyber Kill Chain-Tool zu entwickeln, geringfügige Änderungen an einer bereits bestehenden Ransomware-Variante vornehmen.

  • Lieferung: Während dieser Phase werden die Benutzer erreicht, indem in das Netzwerk eines Ziels eingedrungen wird, wobei Cyberwaffen und andere Cyber Kill Chain-Tools verwendet werden. Phishing-E-Mails mit Virusanhängen und Betreffzeilen, die Menschen dazu verleiten, darauf zu klicken, können für die Zustellung verwendet werden. Die Zustellung kann durch das Eindringen in das Netzwerk eines Unternehmens und die Ausnutzung einer Software- oder Hardwareanfälligkeit erfolgen, um Zugang zu erhalten.

  • Ausnutzung: Um weiter in das Netzwerk eines Ziels einzudringen und ihre Ziele zu erreichen, nutzen Angreifer die Schwachstellen, die sie in früheren Phasen der Cyber Kill Chain gefunden haben. Um ihre Ziele zu erreichen, bewegen sich Betrüger während dieses Prozesses häufig lateral durch ein Netzwerk. Wenn die für das Netzwerk Verantwortlichen keine Täuschungsmaßnahmen implementiert haben, könnte das Ausnutzen von Schwachstellen gelegentlich Angreifer zu ihren Zielen führen.

  • Installation: Die Installationsphase der Cyber Kill Chain wird von Cyberkriminellen eingeleitet, nachdem sie durch Ausnutzung von Schwachstellen Zugang zu einem Netzwerk erhalten haben. Sie versuchen, Malware und andere Cyberwaffen im Zielnetzwerk zu installieren, um dessen Systeme zu übernehmen und wichtige Daten zu stehlen. An diesem Punkt können Cyberkriminelle Malware und Cyberwaffen über Befehlszeilenoberflächen, Trojanische Pferde oder Hintertüren installieren.

  • Kontrolle und Befehl: Im C2-Stadium der Cyber Kill Chain kommunizieren Hacker mit der Malware, die sie im Netzwerk eines Ziels installiert haben, um Cyberwaffen oder -werkzeuge zu steuern, die ihre Ziele erreichen. Zum Beispiel können Angreifer C2-Server nutzen, um Computer anzuweisen, kriminelle Ziele zu verfolgen, oder Kommunikationskanäle verwenden, um Computer, die mit dem Mirai-Botnet-Virus infiziert sind, anzuweisen, eine Website mit Verkehr zu überfluten.

  • Aktionen zu Zielen: Cyberkriminelle beginnen die letzte Phase der Cyber Kill Chain—die Ausführung ihrer Cyberangriffsziele—nachdem sie Cyberwaffen erstellt, diese im Netzwerk eines Ziels installiert und die Kontrolle über das Netzwerk dieses Ziels übernommen haben. Obwohl die Ziele von Cyberkriminellen je nach Art des Cyberangriffs variieren, gehören einige Beispiele dazu, Ransomware als Erpressungswerkzeug zu verwenden, Malware zu verbreiten, um sensible Daten aus einer Zielorganisation zu stehlen, und ein Botnetz zu bewaffnen, um Dienste mit einem Distributed Denial of Service (DDoS)-Angriff zu stören.

Was passiert während der Aufklärungsphase einer Cyber-Kill-Chain?

Der erste Schritt in der Cyber-Kill-Chain ist die Aufklärung, bei der Angreifer mehr über ihr Ziel erfahren, um ihren Angriff vorzubereiten. Die Datensammlung über potenzielle Einstiegspunkte, Netzwerksicherheitsmaßnahmen und Schwachstellen ist Teil dieses Schrittes. Um nützliche Informationen zu sammeln, können Angreifer eine Vielzahl von Strategien anwenden, einschließlich Netzwerkscanning, Social Engineering und Suchen nach öffentlichen Informationen. Sensible Informationen können direkt von Mitgliedern des Zielunternehmens durch den Einsatz von Social-Engineering-Taktiken wie Phishing oder Pretexting erlangt werden.

Mögliche Ziele zu identifizieren, ihre Schwächen zu bestimmen, herauszufinden, ob Dritte mit ihnen verbunden sind (und auf welche Informationen sie Zugriff haben), sowie sowohl neue als auch aktuelle Zugangsmethoden zu untersuchen, sind alles mögliche Aufgaben für die Aufklärungsphase. Sowohl Online- als auch Offline-Methoden können für die Aufklärung verwendet werden. In dieser Phase wird ein Ziel ausgewählt und identifiziert, basierend auf vordefinierten Zielen wie Datendiebstahl oder Dienstunterbrechung. Der Angreifer beginnt damit, Informationen zu sammeln, die öffentlich zugänglich sind, häufig über Open-Source-Intelligence (OSINT). Ohne Vorwarnung, das Ziel der drohenden Gefahr, ist es, ihre Umgebung zu verstehen.

Mit dem Einsatz dieses Wissens können Angreifer Werkzeuge auswählen, ihre Taktiken ändern und Pläne erstellen, die die besten Chancen haben, das Ziel zu kompromittieren. Starke Perimetersicherheit, Schulungen zur Sensibilisierung des Personals und das Beobachten ungewöhnlicher Aktivitäten, die auf einen laufenden Aufklärungsversuch hinweisen könnten, sind allesamt notwendig für eine effektive Verteidigung gegen Aufklärungsoperationen.

Die Vollständigkeit der Aufklärungsphase bestimmt häufig, ob der gesamte Angriff erfolgreich ist. Eine gut durchgeführte Aufklärung erhöht die Erfolgschancen des Angreifers, indem sie ihm ermöglicht, seinen Angriffsansatz präzise zu organisieren.

In welcher Phase der Cyber-Kill-Chain sammelt ein Angreifer Informationen?

Als Teil der Cyber Kill Chain sammelt der Angreifer während der Aufklärungsphase Informationen. Das Sammeln von Informationen über potenzielle Einstiegspunkte, Netzwerkschutzmaßnahmen und Schwachstellen gehört zur Aufklärung. Um nützliche Informationen zu sammeln, können Angreifer eine Vielzahl von Strategien anwenden, einschließlich Netzwerkscanning, Social Engineering und Suchen nach öffentlichen Informationen.

So viele Informationen wie möglich über ihr Ziel werden von Bedrohungsakteuren gesammelt. Sie könnten nach Mitarbeiternamen auf LinkedIn suchen oder Netzwerkkabel scannen.

In dieser Phase wird ein Ziel ausgewählt und identifiziert, basierend auf vordefinierten Zielen wie Datendiebstahl oder Dienstunterbrechung. Der Angreifer beginnt damit, Informationen zu sammeln, die öffentlich zugänglich sind, häufig über Open-Source-Intelligence (OSINT). Ohne Vorwarnung, das Ziel der drohenden Gefahr, ist es, ihre Umgebung zu verstehen.

Um die Architektur des Ziels zu kartieren und IP-Adressen, offene Ports und aktive Dienste zu bestimmen, kann der Angreifer während der Aufklärung Netzwerkscan-Tools einsetzen. Dies hilft bei der Bewertung der möglichen Angriffsfläche und der Lokalisierung von Schwachstellen, die später ausgenutzt werden könnten.

Empfindliche Informationen können direkt von Mitgliedern des Zielunternehmens durch den Einsatz von Social-Engineering-Taktiken wie Phishing oder Pretexting erlangt werden.

Der Angreifer untersucht die gesammelten Informationen gründlich, um Schwachstellen zu identifizieren, die in späteren Phasen des Angriffs genutzt werden könnten, wie veraltete Software oder falsche Konfigurationen.

Das Durchsuchen des World Wide Web (einschließlich Websites, Konferenzen, Blogs, sozialer Netzwerke, Mailinglisten und Netzwerkverfolgungstools), um Informationen über das Ziel zu sammeln, ist die Hauptmethode der Identifizierung im Cyberspace. Die Nutzlast wird geplant und verteilt, indem Informationen gesammelt werden, die in den nachfolgenden Phasen der Cyber-Kill-Chain durch Aufklärung gewonnen wurden.

Warum ist die Waffenerstellungsphase in der Cyber-Kill-Chain entscheidend?

Um das System des Opfers anzugreifen, kombiniert die Waffenerstellung einen Exploit und eine bösartige Nutzlast in ein lieferbares Format. Diese Cyberwaffe wurde mit dem Ziel entwickelt, sie erfolgreich und unbemerkt im Zielnetzwerk zu liefern und auszuführen.

Zusätzlich könnte die Waffenerstellung die Entwicklung neuer Malware oder die Änderung bereits vorhandener Werkzeuge für den Einsatz in einem Hack umfassen. Zum Beispiel können Diebe, um ein neues Cyber Kill Chain-Tool zu entwickeln, geringfügige Änderungen an einer bereits bestehenden Ransomware-Variante vornehmen.

Da die Waffenerstellung der Punkt ist, an dem der Angriff seine Stärke erhält, ist sie eine wichtige Phase. Gegner erhöhen ihre Chancen, das Ziel effektiv zu erreichen, erheblich, indem sie ein maßgeschneidertes Werkzeug entwickeln. Diese Phase zu kennen, ermöglicht es Ihnen, potenzielle Angriffe vorherzusehen und Ihre Verteidigung entsprechend anzupassen.

Wie liefern Angreifer bösartige Payloads in der Kill Chain?

Eine Vielzahl von Techniken, einschließlich Websites, E-Mail-Anhängen und direkter Netzwerk-Infiltration, kann verwendet werden, um die Zustellung zu erreichen. Zum Beispiel kann der Anhang ein kompromittiertes Word- oder PDF-Dokument sein, das schadhafte Malware enthält. Das Ziel ist sicherzustellen, dass die schädliche Nutzlast das Ziel erreicht und weiter verwendet werden kann, um das System anzugreifen. Angreifer könnten in diesem Stadium Strategien wie Phishing oder das Ausnutzen von Schwachstellen in öffentlich zugänglichen Programmen verwenden, um ihre Schadsoftware zu verbreiten. Die Zustellung kann erreicht werden, indem man in das Netzwerk eines Unternehmens eindringt und eine Software- oder Hardwareanfälligkeit ausnutzt, um Zugang zu erhalten.

Über gehackte Websites wird ein weiteres Zustellverfahren verwendet. Angenommen, ein Feind hat eine bekannte Website gefunden, die viele Mitarbeiter Ihres Unternehmens besuchen. Sie könnten Malware einfügen, indem sie Schwachstellen auf dieser Website ausnutzen.

Der Virus wird automatisch heruntergeladen und auf einem Computer installiert, wenn ein Mitglied Ihrer Organisation die infizierte Website aufruft. Es ist ähnlich wie in eine heimtückisch versteckte Falle zu tappen.

Eine weitere Strategie, die von Cyberkriminellen angewendet wird, sind Drive-by-Downloads. Diese treten auf, wenn Verbraucher eine echte, aber gehackte Website besuchen und unwissentlich schädliche Software herunterladen.

Selbst wenn die Website ganz legitim erscheint, könnte sie heimlich Malware auf deinem Gerät installieren. Diese Technik ist hinterhältig, da sie nur erfordert, dass der Benutzer die Website besucht.

Exploit-Kits könnten möglicherweise von Gegnern während des Verteilungsprozesses verwendet werden. Sie können das Exploit-Kit nutzen, um automatisch die optimale Ausnutzung zu finden und anzuwenden, nachdem sie eine anfällige Maschine gefunden haben. Das ist wie ein Dieb, der den schnellsten Weg ins Innere mit einem Satz Dietrichen herausfindet.

Social Engineering ist sehr wichtig. Ein Gegner könnte beispielsweise einen Ihrer Teammitglieder anrufen und sich als IT-Support-Mitarbeiter ausgeben. Der Mitarbeiter könnte dazu verleitet werden, "dringende Software-Updates" zu installieren, die in Wirklichkeit Viren sind. Diese Technik umgeht technologische Schutzmaßnahmen, indem sie menschliches Vertrauen ausnutzt.

Was geschieht während der Ausnutzungsphase der Cyber Kill Chain?

Die Ausnutzung erfolgt, wenn eine Schwachstelle ausgenutzt wird, um schädlichen Code auf dem Computer des Opfers durch die vom Angreifer bereitgestellte Nutzlast auszuführen. In dieser Phase wurden die Verteidigungsmaßnahmen des Ziels erfolgreich durchbrochen, was den Angreifern Zugang zum System verschafft.

Angenommen, der Angreifer hat eine infizierte PDF-Datei in einer Phishing-E-Mail beigefügt. Der versteckte Virus nutzt eine Schwachstelle in der PDF-Reader-Software aus, wenn der Empfänger das Dokument öffnet.

Dies könnte eine Zero-Day-Schwachstelle sein, ein Fehler im Programm, dessen der Anbieter sich nicht bewusst ist. Danach könnte sich der Virus heimlich im Hintergrund installieren. Es ist vergleichbar mit einem Einbrecher, der heimlich eindringt, ohne irgendwelche Alarmanlagen auszulösen.

In dieser Phase setzen Gegner Exploit-Kits ein. Angenommen, sie sind sich bewusst, dass Ihr Netzwerk veraltete, anfällige Software verwendet. Das Exploit-Kit sucht nach dem einfachsten Weg, um in Ihr System einzudringen.

Vielleicht ist es ein Java-Plugin oder eine alte Version von Flash. Danach erhält das Kit automatisch Zugriff, indem es eine bekannte Schwachstelle nutzt. Es funktioniert ähnlich wie ein Werkzeugkasten, der speziell dafür gemacht ist, dein einzigartiges Schloss zu knacken.

Es ist möglich, sogar etwas so Grundlegendes wie veraltete Software in einem Netzwerk auszunutzen. Zum Beispiel stellt ein Angreifer fest, dass Ihr Unternehmen keine Updates für sein Betriebssystem durchgeführt hat. Sie könnten Malware installieren, die diese spezielle Schwachstelle ausnutzt, um Ihre Maschine zu übernehmen.

Weitere feindliche Handlungen, wie das Installieren von Malware oder das Stehlen privater Daten, werden durch eine erfolgreiche Ausnutzung ermöglicht. Strenges Patch-Management, Anwendungs-Whitelisting und der Einsatz von Intrusion Prevention Systemen, die bekannte Schwachstellen identifizieren und deren Ausnutzung verhindern können, gehören zu den Abwehrmaßnahmen gegen diese Phase.

Kann Malware in der Installationsphase eines Cyberangriffs installiert werden?

Ja, der Angreifer beginnt, Malware und andere Cyberwaffen auf die Zielcomputer während der Installationsphase einzuführen, nachdem die Angriffsphase abgeschlossen ist.

Das Einrichten von Werkzeugen, die es dem Angreifer ermöglichen, das System zu übernehmen und wichtige Daten zu stehlen, ist Teil dieses Schrittes. Angreifer können über Trojanische Pferde, Hintertüren und Befehlszeilen-Schnittstellen auf das Netzwerk zugreifen. Durch das Erstellen von Hintertüren kann der Angreifer weiterhin auf das System zugreifen, selbst nachdem der ursprüngliche Zugangspunkt gefunden und blockiert wurde.

Eine erfolgreiche Installation ermöglicht es Angreifern, heimlich in das Zielnetzwerk einzudringen und es wieder zu verlassen, was Datenexfiltration und weitere Ausbeutung fördert. Verteidiger müssen diese Phase der Cyber Kill Chain verstehen, um Richtlinien zu erstellen, die bösartige Installationen identifizieren und stoppen, um die Integrität des Netzwerks zu schützen.

Der Angreifer garantiert während des Installationsprozesses einen fortlaufenden Netzwerkzugang.

Der Hacker wird eine persistente Hintertür installieren, Administratoren-Konten im Netzwerk einrichten und die Firewall-Beschränkungen deaktivieren, um dies zu tun. Auf Servern und anderen vernetzten Computern könnten sie möglicherweise den Fernzugriff aktivieren.

In dieser Phase möchte der Hacker sicherstellen, dass er so lange wie nötig im System bleibt, um seine Ziele zu erreichen. Zum Beispiel könnten sie die Rechte erhöhen und den Zugriff nach der Installation beibehalten. Der Angreifer kann dank dieser Eskalation nun auf sicherere Daten zugreifen. Die eingeschränkt geschützten Systeme, die bestimmte Zugriffsrechte benötigen, können ebenfalls vom Angreifer erreicht werden.

Was bedeutet Command and Control (C2) in der Cyber Kill Chain?

Angreifer erstellen eine Kommunikationsverbindung mit dem kompromittierten System, um während der Kommando- und Kontrollphase (C2) die Fernsteuerung zu übernehmen. Dies ermöglicht es ihnen, Befehle zu erteilen, Informationen zu stehlen oder andere Viren zu verbreiten. Die Kommunikation mit von Angreifern kontrollierten Servern, die sich überall auf der Welt befinden können, ist ein häufiges Element der C2-Aktivitäten. Das Zerschlagen der Kontrolle, die Angreifer über kompromittierte Systeme haben, erfordert die Erkennung und Zerstörung dieser Kommunikationswege.

Es ist ähnlich wie bei einem Einbrecher, der erfolgreich in ein Haus eingebrochen ist und nun Walkie-Talkies benutzt, um sich mit einem Komplizen draußen abzustimmen. Das Verwalten und Bewahren dieses unbefugten Zugriffs ist der Hauptfokus der C2-Phase.

Nach der Installation eines Remote-Access-Tools (RAT) oder einer Hintertür muss der Angreifer mit ihm interagieren. Häufig werden dafür Command-and-Control-Server verwendet.

Diese Server funktionieren wie das Walkie-Talkie des Diebs, indem sie Befehle übermitteln und Daten vom gehackten System empfangen. Ein Angreifer könnte beispielsweise einen Befehl erteilen, um private Informationen zu exfiltrieren oder mehr Malware herunterzuladen.

Die Verwendung der HTTP- oder HTTPS-Protokolle für die C2-Kommunikation ist ein typisches Szenario. Um ihren bösartigen Datenverkehr schwerer identifizierbar zu machen, geben Angreifer ihn häufig als echten Online-Verkehr aus. Sie können durch diese verdeckte Strategie Alarm auslösen.

Eine weitere Methode, die in diesem Stadium eingesetzt wird, ist DNS-Tunneling. Gegner verwenden DNS-Anfragen, die von Firewalls in der Regel mit wenig Prüfung erlaubt werden, um ihre Kommunikation zu verschlüsseln. Es ist ähnlich wie das heimliche Umgehen traditioneller Sicherheitsmaßnahmen, indem geheime Kommunikationen über einen scheinbar harmlosen Kanal übermittelt werden.

Peer-to-Peer (P2P)-Netzwerke werden von bestimmten hochqualifizierten Gegnern für C2 verwendet. Die infizierten Systeme verbinden sich, anstatt mit einem einzelnen Server zu kommunizieren. Es ist schwieriger, den Betrieb mit diesem dezentralen Ansatz zu stoppen. Es ist vergleichbar mit einem Netzwerk von Kriminellen, die sich zusammenschließen, um der Festnahme zu entkommen, anstatt sich auf einen einzigen Boss zu verlassen.

In der C2-Phase ist verschlüsselte Kommunikation üblich. Um ihren C2-Verkehr zu schützen, verwenden Gegner häufig Verschlüsselung, was es für Verteidiger schwierig macht, die übermittelten Befehle abzufangen und zu entschlüsseln.

Organisationen müssen den Netzwerkverkehr auf ungewöhnliche Muster überwachen, die auf eine Verbindung zu böswilligen externen Diensten hinweisen können, um sich gegen C2-Operationen zu schützen. Durch die Begrenzung der Mobilität eines Angreifers innerhalb eines Netzwerks kann die Netzsegmentierung die Auswirkungen kompromittierter Computer verringern. Unbefugte Kommunikationen können durch den Einsatz von Intrusion Detection Systemen und häufig aktualisierten Firewall-Regeln gefunden und blockiert werden.

Was ist die Unified Cyber Kill Chain?

Eine Weiterentwicklung früherer Cyber-Kill-Chain-Modelle, die Unified Kill Chain (UKC), behebt wesentliche Nachteile herkömmlicher Rahmenwerke wie die Dell SecureWorks Cyber Kill Chain und die Lockheed Martin Cyber Kill Chain. Es bietet einen umfassenden Blick auf zeitgenössische Cyberangriffe und hebt die Komplexität mehrstufiger Eindringversuche und fortgeschrittener, anhaltender Bedrohungen (APTs) hervor. Die Unified Kill Chain kann eine Vielzahl von Bedrohungsszenarien bewältigen, wie z.B. Angriffe auf die Lieferkette und Insider-Bedrohungen, indem sie einen Angriff in drei Hauptphasen unterteilt: Initial Foothold, Network Propagation und Actions on Objectives.

Das Unified Kill Chain-Paradigma definiert die Schritte eines Angriffs und bietet eine Methode zur Identifizierung und Minderung des Risikos für IT-Assets.

Unified Kill Chain (UKC) wird verwendet, um die Ziele und Taktiken von Angriffen zu verstehen, insbesondere auf der Verteidigungsseite. Eine ausgefeiltere Form der Cyber Kill Chain ist UKC.

Um die Cybersicherheit besser zu verstehen, entwickelte Lockheed Martin, ein Sicherheits- und Luftfahrtunternehmen, 2011 die Kill Chain. Dieses Framework wurde entwickelt, um die Haupttaktiken zu verstehen, die von APT-Gruppen und Angreifern verwendet werden. Aber es ist unzureichend. Ein Angreifer kann eine Vielzahl von Phasen nutzen. Unified Kill Chain (UKC) ist in dieser Situation nützlich. Paul Pols entwickelte die UKC, die aus 18 Phasen besteht, im Jahr 2017, um die von MITRE ATT&CK und Lockheed Martin entwickelte "Cyber Kill Chain"-Architektur zu ergänzen. Es ist ziemlich vollständig und auf dem neuesten Stand, da es 2022 überarbeitet wurde.

Es überwindet die Unzulänglichkeiten des Cyber Kill Chain-Konzepts und kommt in mehreren Ebenen. (Beispielsweise Social Engineering nach der Lieferung.) Bedrohungsmodellierung ist ein Teil der Unified Kill Chain. Bedrohungsmodellierung: Was ist das? Die Maßnahmen zur Erhöhung der Sicherheit eines Systems werden als Bedrohungsmodellierung bezeichnet. Diese Maßnahmen haben mit der Risikobewertung zu tun. Folgendes ist typischerweise im Bedrohungsmodellierungsprozess enthalten:

  1. Die Funktion festlegen. Kurz gesagt, herausfinden, was die Systeme abdecken (personenbezogene Daten, Systemadressen usw.).

  2. Bestimmen, welche Schwachstellen in den Systemen existieren und wie man sie ausnutzen kann.

  3. Entwicklung einer Strategie zur Verteidigung der Systeme gegen die festgestellte Schwäche.

  4. Schulung der Mitarbeiter und Verhinderung, dass die Schwachstelle erneut auftritt. (Beispielsweise Schulung der Mitarbeiter in Phishing- und Selbstverteidigungstechniken.)

In welcher Phase der Kill Chain kommen Social Engineering-Taktiken zum Einsatz?

Techniken der sozialen Manipulation werden während der Phasen der Lieferung und Aufklärung der Kill-Chain eingesetzt.

Das Sammeln von Informationen über potenzielle Einstiegspunkte, Netzwerkschutzmaßnahmen und Schwachstellen gehört zur Aufklärung. Um nützliche Informationen zu sammeln, können Angreifer eine Vielzahl von Strategien anwenden, einschließlich Netzwerkscanning, Social Engineering und öffentliche Informationsrecherchen.

Um die Architektur des Ziels zu kartieren und IP-Adressen, offene Ports und aktive Dienste zu bestimmen, kann der Angreifer während der Aufklärung Netzwerkscan-Tools einsetzen. Dies hilft bei der Bewertung der möglichen Angriffsfläche und der Lokalisierung von Schwachstellen, die später ausgenutzt werden könnten.

Empfindliche Informationen können direkt von Mitgliedern des Zielunternehmens durch Social-Engineering-Taktiken wie Phishing oder Pretexting erlangt werden. Phishing-E-Mails erscheinen beispielsweise häufig als von vertrauenswürdigen Quellen, wie einem Manager oder einem angesehenen Unternehmen, stammend. Sie können den Empfänger auffordern, eine Datei zu öffnen oder auf einen Link zu klicken, was anschließend Malware verbreiten könnte. Es läuft alles darauf hinaus, mit menschlichen Fehlern und Vertrauen zu spielen.

Soziale Ingenieurtechniken werden entlang der Lieferphasen der Kill-Chain angewendet. Eine Vielzahl von Techniken, einschließlich Websites, E-Mail-Anhängen und direkter Netzwerkinfiltration, kann verwendet werden, um die Zustellung zu erreichen. Zum Beispiel kann der Anhang ein kompromittiertes Word- oder PDF-Dokument sein, das schädliche Malware enthält. Das Ziel ist sicherzustellen, dass die schädliche Nutzlast ihr beabsichtigtes Ziel erreicht und dann verwendet werden kann, um das System weiter anzugreifen. Angreifer könnten an dieser Stelle Strategien wie Phishing oder das Ausnutzen von Schwachstellen in öffentlich zugänglichen Programmen verwenden, um ihre Schadsoftware zu verbreiten.

Ein großer Teil davon ist Social Engineering. Ein Gegner könnte beispielsweise einen Ihrer Teammitglieder anrufen und sich als IT-Support-Mitarbeiter ausgeben. Der Mitarbeiter könnte dazu verleitet werden, "dringende Software-Updates" zu installieren, die in Wirklichkeit Viren sind. Diese Technik umgeht technologische Schutzmaßnahmen, indem sie menschliches Vertrauen ausnutzt.

In dem Versuch, hilfreich zu sein, könnte das Personalmitglied seine Anmeldedaten preisgeben oder sogar schädliche Software unter dem Vorwand eines kritischen Updates installieren.

Wie kann die Kill Chain zur Bedrohungserkennung und Incident Response verwendet werden?

Die Cyber Kill Chain ist ein wirksames Instrument sowohl für die Incident Response als auch für die Bedrohungserkennung. Organisationen können die Auswirkungen von Cybervorfällen minimieren, Bedrohungen früher erkennen und effektiver reagieren, indem sie die Phasen eines Angriffs verstehen und Indikatoren in jeder Phase überwachen. Die Effektivität der Kill Chain kann weiter verbessert werden, indem sie mit Werkzeugen wie SIEMs, automatisierten Reaktionsmechanismen und Bedrohungsinformationen integriert wird.

Die Vorteile der Anwendung der Kill Chain für Erkennung und Reaktion sind wie folgt:

  • Früherkennung: Die Wahrscheinlichkeit eines erfolgreichen Angriffs wird verringert, indem Bedrohungen in den frühen Phasen, wie Aufklärung oder Lieferung, identifiziert werden.

  • Strukturierte Antwort: Die Kill Chain schafft einen transparenten Rahmen für die Koordination und Priorisierung von Incident-Response-Initiativen.

  • Erhöhte Sichtbarkeit: Organisationen gewinnen ein tieferes Verständnis für das Verhalten von Tätern, indem sie Indikatoren in jeder Phase überwachen.

  • Unterbrechungsmöglichkeiten: Verteidiger haben die Fähigkeit, die Kette an jedem Punkt zu unterbrechen, um zusätzlichen Schaden zu verhindern, selbst wenn ein Angriff fortgesetzt wird.

Wie vergleicht sich die Cyber Kill Chain mit dem MITRE ATT&CK Framework?

Die Cyber Kill Chain und MITRE ATT&CK sind zwei wichtige Rahmenwerke zum Verständnis und zur Bewertung von Cyberangriffen. Während jedes Framework Vor- und Nachteile hat, kann die Integration beider in Ihren Verteidigungsplan ein umfassendes Bild des Lebenszyklus eines Cyberangriffs bieten. MITRE ATT&CK bietet einen umfassenden Überblick über die Strategien, Techniken und Prozesse von Bedrohungsakteuren, während die Cyber Kill Chain einen systematischeren Ansatz zur Analyse des Verlaufs eines Cyberangriffs verfolgt.

Lockheed Martin's Cyber Kill Chain and MITRE ATT&CK both include understanding how cyber attacks evolve; nevertheless, there are some significant variations. While MITRE ATT&CK gives specific information on the numerous tactics, strategies, and processes utilized by attackers, Cyber Kill Chain provides a broader picture with seven approaches.

Die Cyber Kill Chain geht davon aus, dass das Brechen einer der sieben Methoden einen Angriff stören würde, während sich MITRE ATT&CK darauf konzentriert, spezifische Taktiken und Techniken in jedem Kontext zu verstehen und zu besiegen, in dem sie auftreten. Darüber hinaus fehlen der Cyber Kill Chain präzise Details für mobile oder ICS-Angriffe, während MITRE ATT&CK diese bereitstellt.

Cyber-Kill-Chains werden verwendet, um starke Grundlagen zu schaffen und proaktive Sicherheitsstrategien zu entwickeln. Sie sind ideal für Unternehmen, die eine Kombination aus Intrusion Detection Systemen, Firewalls und fortschrittlichen Sicherheitslösungen nutzen.

Die MITRE ATT&CK-Architektur ist für Unternehmen nützlich, die ein tieferes Verständnis dafür wünschen, wie Angreifer in der Cloud und in Endpunkten agieren. Ein Cyber-Kill-Chain-Protokoll kann einen Angriff im Keim ersticken und als effektives Werkzeug zur Verbesserung der Sicherheitsoperationen dienen. MITRE ATT&CK ist detaillierter und anpassungsfähiger und beschreibt reale Angriffstaktiken, -techniken und -verfahren (TTPs). MITRE ATT&CK kann verwendet werden, um auf Bedrohungen in jedem Schritt des Angriffszyklus zu reagieren.

Was ist ein Beispiel für einen Cyber-Kill-Chain-Angriff in der realen Welt?

Hier sind einige reale Beispiele für den Einsatz von Cyber-Kill-Prozessen:

  • Gezielter Datenverstoß (2013): Angreifer begannen mit der Aufklärung, indem sie Schwachstellen im Drittanbieter-Klimaanlagenanbieter von Target, Fazio Mechanical, entdeckten. Nach der Waffenerstellung der Malware durch Phishing-E-Mails verteilten sie die Schadsoftware an Fazio-Mitarbeiter und griffen mit authentischen Anbieterdaten auf das Netzwerk von Target zu. Memory-scraping-Malware wurde auf Kassensystemen installiert und nutzte die Kommando-und-Kontroll-Kommunikation, um 70 Millionen Kundendaten und 40 Millionen Kreditkartendetails zu stehlen.

  • APT29, ein von Russland unterstützter Angriff: APT29, auch bekannt als Cozy Bear, wurde mit Cyber-Spionagekampagnen gegen Unternehmen und Regierungsbehörden in Verbindung gebracht. Diese Gruppe nutzt das Konzept der Cyber Kill Chain, das Folgendes umfasst:

  • Durchführung umfangreicher Zielaufklärung.

  • Malware wird über E-Mails verbreitet, die Teil von Spear-Phishing sind.

  • Beharrlichkeit bewahren beim Extrahieren von Daten unter Verwendung modernster Technologien.

  • Sony Pictures Entertainment Hack (2014): Bevor sie Sonys Infrastruktur mit Wiper-Malware und Hintertüren zerstörten, führten die Angreifer gründliche Aufklärungsarbeiten durch. Spear-Phishing-E-Mails enthielten Malware-Tools, die gestohlene Administrator-Anmeldeinformationen verwendeten, um schädliche Payloads im gesamten Netzwerk zu verbreiten. Die Kommando-und-Kontroll-Linien waren monatelang aktiv, was zu Datenverlust, gestohlenen Filmen und Lösegeldforderungen führte, um die Veröffentlichung von The Interview zu verhindern.

  • Solarwinds Supply Chain Compromise (2020): Bedrohungsakteure nutzten den SolarWinds-Update-Prozess zum Ausspionieren, indem sie gültige Updates als Waffen über die SUNBURST-Hintertür einsetzten. Malware verbreitete sich auf 18.000 Benutzer über gehackte Builds, die stille Update-Vektoren verwendeten, um Payloads zu liefern, und die Kommando- und Kontrollkommunikation verwendete Domain-Generierungsalgorithmen, um Erkennung zu vermeiden und Zugang zu sowohl kommerziellen als auch staatlichen Netzwerken mit sensiblen Daten zu erhalten.

  • Colonial Pipeline Ransomware-Angriff (2021): DarkSide-Ransomware-Angreifer nutzten während der Aufklärungsphase die VPN-Schwachstellen von Colonial Pipeline aus und verwendeten Payloads, die auf die betrieblichen technologischen Einstellungen zugeschnitten waren. Gestohlene Anmeldeinformationen ermöglichten den ersten Zugriff, indem sie die Wiederverwendung von Passwörtern und das Fehlen von Mehrfaktorauthentifizierung ausnutzten. Die Installation von Ransomware störte die Pipeline-Betrieb, wobei Kommando- und Kontrollkan le den Verschlüsselungsstatus überwachten, bis das Lösegeld von 4,4 Millionen Dollar bezahlt wurde.

  • WannaCry-Ransomware-Angriff: WannaCry verbreitete Malware, indem es eine Schwachstelle in Microsoft Windows ausnutzte. Der Angriff hielt sich an die Kriterien der Cyber Kill Chain:

  • Aufklärung: Suchen Sie nach Systemen ohne SMB-Updates.

  • Verbreitung: Erlauben Sie selbstreplizierende Würmer, Malware zu verbreiten.

  • Das Verschlüsseln wichtiger Dateien und das Fordern einer Lösegeldzahlung stellt eine Ausbeutung dar.

  • Diese Vorfälle verdeutlichen die Notwendigkeit einer proaktiven Sicherheitsstrategie, um ähnliche Angriffe zu verhindern.

Starten Sie noch heute kostenlos mit Zenarmor
Letztes Update am von Zenarmor