Cyber Kill Chain
Last updated
Last updated
Die Cyber Kill Chain ist ein Modell, das von Lockheed Martin entwickelt wurde, um die Phasen eines Cyberangriffs zu beschreiben und zu verstehen. Es besteht aus sieben Hauptphasen, die im Folgenden detailliert erklärt werden.
Überlegen Sie sich bei jedem Schritt, wie Sie die "Kette" durchtrennen können.
In dieser Phase sammeln Angreifer Informationen über ihr Ziel, um Schwachstellen und Angriffsmöglichkeiten zu identifizieren. Dies kann durch Open-Source Intelligence (OSINT), Social Engineering, Scanning von Netzwerken und anderen Methoden erfolgen. Sicherheitsmassnahmen:
Informationen: Veröffentlichen Sie auf Ihrer Webseite keine E-Mail-Adressen, Mobile Nr., Alter/Geburtsdaten, Namen und Vornamen (meistens Benutzernamen), welche die Angreifer für attacken verwenden können.
Leaks: Prüfen Sie auf https://haveibeenpwned.com/, https://intelx.io & https://leakcheck.io ob geleakte Daten im Internet vorhanden sind, welche die Angreifer ausnutzen können.
DNS Records: Prüfen Sie auf https://subdomainfinder.c99.nl/ ob DNS-Records für Webzugänge wie webmail.ihredomain.ch vorhanden sind und löschen sie diese oder schützen Sie Webzugriffe mit 2FA.
Exponiert: Prüfen Sie auf https://www.shodan.io/ ob Server und Systeme von aussen erreichbar sind und schränken Sie die Zugänge ein.
Einschränkungen: Schränken Sie alle Logins von Aussen mit Massnahmen wie VPN, 2FA, Firewall und WAFs ein.
Schwachstellen Scan: Scannen Sie regelmässig von Aussen Ihr Netzwerk nach Schwachstellen mit https://hackertarget.com/
Hier kombinieren die Angreifer die gesammelten Informationen mit Malware oder anderen Exploits, um ein bösartiges Paket zu erstellen. Dies kann ein Trojaner, ein Wurm oder eine speziell entwickelte Schadsoftware sein, die dazu bestimmt ist, auf das Zielsystem zu gelangen.
Sicherheitsmassnahmen:
Updates: Installieren Sie regelmässig die neusten Sicherheitsupdates auf Ihrem Router, Firewall, Drucker, Computer, Server, NAS etc.
BIOS Updates
Betriebssystem Updates (OS)
Treiber Updates
Firmware Updates
Software Updates
Virtual Patching: Teilweise stehen von den Herstellern keine Sicherheitsupdates zur Verfügung. Anbieter wie Trend Micro oder 0Patch ermöglichen virtual patching. Auch Firewalls mit IPS ermöglichen sogenanntes virtual patching.
In dieser Phase wird das bösartige Paket an das Ziel übermittelt. Dies kann durch Phishing-E-Mails, infizierte Anhänge, Drive-by-Downloads oder andere Methoden geschehen, um die Malware auf das Zielsystem zu bringen.
Nach der Zustellung versucht die Malware, Schwachstellen im Zielsystem auszunutzen, um Code auszuführen. Dies kann das Ausnutzen von Sicherheitslücken in Software, Betriebssystemen oder Anwendungen beinhalten.
Hier wird die Malware auf dem Zielsystem installiert, um eine dauerhafte Präsenz zu gewährleisten. Dies kann durch das Kopieren von Dateien, das Ändern von Systemkonfigurationen oder das Installieren von Hintertüren (Backdoors) erfolgen.
Nach der Installation stellt die Malware eine Verbindung zu einem Kontrollserver her, um Befehle zu empfangen und Daten an die Angreifer zurückzusenden. Diese Kommunikation ermöglicht es den Angreifern, das kompromittierte System zu steuern und weitere Aktionen durchzuführen.
In dieser letzten Phase führen die Angreifer ihre eigentlichen Ziele aus, wie Datendiebstahl, Sabotage, Spionage oder Erpressung. Dies kann das Exfiltrieren sensibler Daten, das Löschen von Dateien, das Verschlüsseln von Daten für Ransomware oder andere schädliche Aktivitäten umfassen.
Das Verständnis der Cyber Kill Chain hilft Sicherheitsexperten, Angriffe frühzeitig zu erkennen und zu verhindern, indem sie die einzelnen Phasen überwachen und entsprechende Gegenmassnahmen ergreifen. Durch die Unterbrechung der Kette in einer der frühen Phasen können potenzielle Schäden minimiert oder ganz vermieden werden.