Loading AI tools
Aus Wikipedia, der freien Enzyklopädie
Die Cyber Kill Chain wurde von Lockheed Martin entwickelt, um Cyberangriffe zu beschreiben. Sie besteht aus mehreren Stufen, die ein immer tieferes Vordringen des Angreifers beschreiben. Dies ist dem militärischen Begriff der Kill Chain (Zielplanung) ähnlich.
Der Angreifer hat eine Organisation als Ziel auserkoren. Er beginnt nun, Informationen über sein Opfer zu sammeln. Dabei versucht er, Informationen über die Firmenstruktur, Datennetze und Firmenkontakte, wie z. B. Lieferanten, aus öffentlichen Quellen auszuspähen. Auch eine gezielte Auswertung von Photos aus der Firma auf diversen Webseiten kann Informationen über die vorhandene Infrastruktur geben. Durch gezielte Ausspähung ist es möglich, Fernzugriff auf bestimmte Hardware zu bekommen und so z. B. die Web-E-Mail und Virtual-Private-Network-Verbindungen (VPN-Verbindungen) zu ermitteln.
Das Ziel dieser Phase ist es, mehr über die eingesetzte Software herauszufinden. Beliebte Methoden sind:
Ebenfalls durch Spear-Phishing können auch andere Funktionen getriggert werden. So kann mit Hilfe eines präparierten MS-doc Dokuments Microsoft Office dazu gebracht werden, ein Dokument via Server Message Block (SMB) Protokoll von einem Server zu holen. Dabei muss sich die Abfrage gegen den Server ausweisen (authentifizieren). Dieser Hash kann nun benutzt werden, um das Passwort im Klartext zu bekommen. Damit kann sich nun der Angreifer innerhalb der Firma authentifizieren. Diese Sicherheitslücke ist vor allem dann problematisch, wenn eine Single-Sign-on Authentifikation verwendet wird.
Dabei werden z. B. Webseiten, die außerhalb des Zieles liegen, aber von Firmenmitarbeitern häufig frequentiert werden, angegriffen und übernommen, um dann über manipulierte Seiten wieder Zugriff auf die Infrastruktur innerhalb der Zielorganisation zu erhalten. Die Manipulation kann sich auch bei Subunternehmen abspielen. So können dort Dokumente manipuliert werden, die dann von Mitarbeitern des Subunternehmers ohne Kenntnis der Manipulation an das eigentliche Ziel geschickt werden.
Hat man genügend Informationen über die Zielorganisation gesammelt, können gezieltere Angriffe erfolgen:
Wurden genügend Informationen gesammelt, kann ein Brückenkopf in Form einer Backdoor installiert werden. In der erkannten Schwachstelle wird nun ein Programm hinterlegt, das einen Zugriff von außen ermöglicht.
Nach der erfolgreichen Installation einer Backdoor kann diese nun verwendet werden, um das Ziel zu übernehmen, durch das Anlegen von Administrator-Accounts und anderen Maßnahmen. Von nun an ist der Angreifer fest etabliert. Er kann dazu übergehen, weitere Accounts zu erzeugen und so das Ziel-Unternehmen zu übernehmen.
Es wird kritisiert, dass sich die Vorgehensweise zu stark auf Malware fokussiert und das Vorgehen bei einem Systemeinbruch. Dadurch reflektiert sie in keiner Weise den wahren Aufwand für den Angreifer und auch nicht alternative Angriffswege. Auch werden Angriffe von Innen durch eigene Mitarbeiter nicht berücksichtigt. Als Antwort darauf wurde die Internal Kill Chain entwickelt. Auch wird nur der eigene Nahbereich betrachtet, eine Untersuchung der weiteren (digitalen) Umgebung unterbleibt.
Ferner wird in keiner Weise darauf eingegangen, wie auf einen derartigen Cyberangriff zu reagieren ist.[1] Die Analyse gemäß Cyber Kill Chain ermöglicht es, strukturierte Berichte zu erstellen, um eine Wirkung entfalten zu können, wofür aber eine größere strategische Betrachtung notwendig ist.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.