Cyber Kill Chain: Fortgeschrittene Bedrohungen verstehen und eindämmen

Cyberangriffe haben sich in den letzten zwei Jahrzehnten dramatisch weiterentwickelt. Social Engineering, Insider-Bedrohungen und Cloud-Technologie haben unsere Sicht auf den Informationssicherheitsperimeter verändert und ihn in den Augen vieler Menschen irrelevant gemacht.

Die Cyber-Kill-Chain ist ein traditionelles Sicherheitsmodell, das ein altmodisches Szenario beschreibt – einen externen Angreifer, der in ein Netzwerk eindringt und dessen Daten stiehlt – und die einzelnen Schritte des Angriffs aufschlüsselt, um Unternehmen bei der Vorbereitung zu unterstützen. Dennoch ist es immer noch bemerkenswert erfolgreich bei der Beschreibung der Bedrohungsvektoren und Angriffe, mit denen Unternehmen heute konfrontiert sind.

Empfohlene Lektüre: 4 Arten von Cyber-Bedrohungsintelligenz und ihre effektive Nutzung.

Was ist die Cyber-Kill-Chain?

Die Cyber Kill Chain (CKC) ist ein klassisches Cybersicherheitsmodell, das vom Computer Security Incident Response Team (CSIRT) bei Lockheed Martin entwickelt wurde. Ziel des Modells ist es, die für die Ausführung eines Angriffs erforderlichen Phasen besser zu verstehen und Sicherheitsteams dabei zu unterstützen, einen Angriff in jeder Phase zu stoppen.

Das CKC-Modell beschreibt einen Angriff eines externen Angreifers, der versucht, Zugriff auf Daten oder Vermögenswerte innerhalb des Sicherheitsbereichs zu erlangen. Der Angreifer führt Aufklärungsarbeit durch, dringt in den Sicherheitsbereich ein, nutzt Schwachstellen aus, erlangt und erweitert Privilegien, bewegt sich lateral, um Zugriff auf wertvollere Ziele zu erhalten, versucht, seine Aktivitäten zu verschleiern und exfiltriert schließlich Daten aus dem Unternehmen.

Das Cyber-Kill-Chain-Modell beschreibt hauptsächlich eine Advanced Persistent Threat (APT), einen hochentwickelten böswilligen Akteur, der eine organisierte Angriffskampagne gegen ein bestimmtes Unternehmen durchführt.

8 Phasen der Cyber-Kill-Chain

Im Folgenden erläutern wir kurz jede Phase eines Angriffs gemäß dem Lockheed Martin CIRT CKC-Modell. Für jede Phase sehen Sie eine kurze Liste von Angriffen aus dem MITRE ATT&CK Framework, einer weltweit zugänglichen Wissensdatenbank mit Taktiken und Techniken des Gegners, die auf Beobachtungen aus der Praxis basiert.

1. Aufklärung

In der Aufklärungsphase sammelt der Angreifer Informationen über die Zielorganisation. Mithilfe automatisierter Scanner kann er Schwachstellen und Angriffspunkte identifizieren, die möglicherweise überwunden werden können. Angreifer versuchen, vorhandene Sicherheitssysteme wie Firewalls, Intrusion-Prevention-Systeme und Authentifizierungsmechanismen zu identifizieren und zu untersuchen.

2. Eindringen

In der Phase des Eindringens versuchen Angreifer, in den Sicherheitsbereich einzudringen. Um sich einen festen Platz zu verschaffen, schleusen sie häufig Schadsoftware in ein System ein. Mögliche Ursachen für Schadsoftware sind Social-Engineering-E-Mails, ein kompromittiertes System oder Konto, eine „offene Tür“, die eine Sicherheitslücke darstellt – wie etwa ein offener Port oder ein ungesicherter Endpunkt – oder ein Insider-Komplize.

Beispiele für Angriffe in der Intrusionsphase:

• Externe Remote-Dienste
• Spear-Phishing-Anhänge
• Kompromisse in der Lieferkette

3. Ausbeutung

In der Exploit-Phase suchen Angreifer nach zusätzlichen Schwachstellen oder Sicherheitslücken in den Systemen des Unternehmens, die sie ausnutzen können. Beispielsweise hat der Angreifer von außen möglicherweise keinen Zugriff auf die Datenbanken eines Unternehmens, erkennt aber nach dem Eindringen, dass eine Datenbank eine alte Version verwendet und eine bekannte Schwachstelle aufweist.

Beispiele für Angriffe in der Exploitation-Phase:

• PowerShell
• Lokale Jobplanung
• Skripterstellung
• Dynamischer Datenaustausch

4. Privilegieneskalation

In der Phase der Rechteausweitung besteht das Ziel des Angreifers darin, Berechtigungen für zusätzliche Systeme oder Konten zu erlangen. Angreifer können Brute-Force-Angriffe versuchen, nach ungesicherten Anmeldeinformationsspeichern suchen, unverschlüsselten Netzwerkverkehr überwachen, um Anmeldeinformationen zu identifizieren, oder Berechtigungen für bestehende kompromittierte Konten ändern.

Beispiele für Angriffe in der Phase der Privilegienerweiterung:

• Zugriffstoken-Manipulation
• Pfadabfangen
• Sudo-Angriff
• Prozessinjektion

5. Seitliche Bewegung

In der Phase der lateralen Bewegung verbinden sich Angreifer mit zusätzlichen Systemen und versuchen, die wertvollsten Vermögenswerte des Unternehmens zu finden. Angreifer bewegen sich lateral von einem System zum anderen, um Zugriff auf privilegierte Konten, vertrauliche Daten oder kritische Ressourcen zu erhalten. Laterale Bewegung ist eine koordinierte Aktion, die mehrere Benutzerkonten und IT-Systeme umfassen kann.

Beispiele für Angriffe in der Phase der seitlichen Bewegung:

• SSH-Hijacking
• Internes Spear-Phishing
• Gemeinsam genutztes Webroot
• Windows-Remoteverwaltung

6. Verschleierung

In der Verschleierungsphase versucht der Angreifer, seine Spuren zu verwischen. Er kann versuchen, Protokolle zu löschen oder zu ändern, Zeitstempel zu fälschen, Sicherheitssysteme zu manipulieren und andere Maßnahmen zu ergreifen, um vorherige Phasen im CKC zu verbergen und den Anschein zu erwecken, dass vertrauliche Daten oder Systeme nicht berührt wurden.

Beispiele für Angriffe in der Verschleierungsphase:

• Binäre Auffüllung
• Code-Signierung
• Dateilöschung
• Versteckte Benutzer
• Prozessaushöhlung

7. Denial of Service

In der Denial-of-Service-Phase (DoS) versuchen Angreifer, den Betrieb eines Unternehmens zu stören. Ziel ist in der Regel, Sicherheits- und Betriebspersonal abzulenken, um den Angreifern die Möglichkeit zu geben, ihr eigentliches Ziel, den Datenabfluss, zu erreichen. DoS-Angriffe können sich gegen Netzwerke und Produktionssysteme richten, darunter Websites, E-Mail-Server oder kundenorientierte Anwendungen.

Beispiele für Angriffe im DoS-Stadium:

• Denial-of-Service am Endpunkt
• Netzwerk-Denial-of-Service
• Ressourcenentführung
• Betriebsstopp
• Systemabschaltung

8. Exfiltration

In der Exfiltrationsphase gelingt es einem erfahrenen Angreifer schließlich, die sensibelsten Daten des Unternehmens zu stehlen. Angreifer finden einen Mechanismus – typischerweise eine Art Protokoll-Tunneling –, um die Daten außerhalb des Unternehmens zu kopieren. Anschließend können sie die Daten verkaufen, für weitere Angriffe verwenden (z. B. im Fall von persönlichen Kundendaten oder Zahlungsdetails) oder sie offen verbreiten, um dem Unternehmen zu schaden.

Beispiele für Angriffe in der Exfiltrationsphase:

• Daten komprimiert
• Daten verschlüsselt
• Exfiltration über alternatives Protokoll
• Exfiltration über ein physisches MediumGeplante Übertragung

Sicherheitskontrollen, mit denen Sie die Cyber-Kill-Chain stoppen können

SBS Security hat fünf Methoden vorgeschlagen, mit denen ein Unternehmen einen Angriff in jeder Phase stoppen kann. Diese sind:

• Erkennen– Ermitteln Sie Versuche, die Organisation zu scannen oder in sie einzudringen.
• Ablehnen– Stoppen Sie Angriffe, sobald sie stattfinden.
• Unterbrechen– Abfangen und Unterbrechen der vom Angreifer durchgeführten Datenkommunikation.
• Degradieren– Erstellen Sie Maßnahmen, die die Wirksamkeit eines Angriffs einschränken.
• Täuschen– Einen Angreifer durch die Bereitstellung falscher Informationen oder die Bereitstellung von Täuschungsmanövern in die Irre führen.

Die folgenden Informationen zeigen, wie Sicherheitstools verwendet werden können, um jede der Sicherheitskontrollen auf jede Kill-Chain-Phase anzuwenden.

Quelle:SBS Cybersecurity

Wie UEBA-Technologie hilft, Advanced Persistent Threats zu erkennen und zu stoppen

Das Cyber-Kill-Chain-Modell konzentriert sich in erster Linie auf Advanced Persistent Threats (APTs). APT-Angreifer sind hervorragend darin, ihre Aktivitäten zu verbergen und ihre Spuren zu verwischen. Sobald sie sich im Unternehmensnetzwerk befinden, sind sie nur schwer zu erkennen. APT-Angriffe werden von einer Gruppe erfahrener Hacker durchgeführt, die Unternehmenssysteme ins Visier nehmen, indem sie über Monate hinweg in das Unternehmen eindringen und sich dort lateral bewegen, wobei sie sorgfältig darauf achten, nicht entdeckt zu werden. Obwohl jeder dieser Schritte herkömmlichen Erkennungstechniken entgehen kann, ergeben sie zusammen ein anomales Bild.

Moderne Sicherheitstools wie die Analyse des Benutzer- und Entitätsverhaltens (UEBA) können dabei helfen, verschiedene Techniken moderner Angreifer zu erkennen. Durch maschinelles Lernen mit UEBA lässt sich das Benutzerverhalten erlernen und in die Erkennungs-Engine integrieren. Dies spart Analysten enorm viel Zeit bei der Erkennung.

UEBA passt sich dynamisch an die Umgebung an und kann im Gegensatz zu herkömmlichen Methoden auch subtile Verhaltensänderungen erkennen. UEBA analysiert riesige Datenmengen aus unterschiedlichen Systemen und erkennt anomales Verhalten bei Benutzern, Maschinen, Netzwerken und Anwendungen. Erscheint etwas ungewöhnlich oder verdächtig, erkennt das UEBA-System dies und alarmiert die Sicherheitsteams.

Um Verhaltensmuster in Angriffssequenzen zu zerlegen, benötigen Sicherheitsanalysten ein vollständiges Bild der Angriffskette. UEBA sollte alle relevanten Ereignisse in einer Zeitleiste zusammenfassen, um den Angriff zu verstehen. So können APTs und verwandte Angriffstechniken frühzeitig erkannt werden, bevor es zu einem tatsächlichen Angriff kommt. UEBA kann beispielsweise Aufklärungsaktivitäten erkennen, die sich als unregelmäßiger Netzwerkverkehr äußern, Penetrationsversuche als ungewöhnliche oder verdächtige Anmeldungen identifizieren und anomales Verhalten kompromittierter Benutzerkonten in späteren Phasen des Angriffs erkennen.

Geschwindigkeit ist entscheidend, um komplexe Angriffssequenzen zu erkennen. Mit modernen Tools wie UEBA können Sicherheitsanalysten die Schritte eines Angreifers nachvollziehen und erkennen, bevor sie einem Unternehmen Schaden zufügen.