Lockheed Martin Cyber Kill Chain
Aus IT-Forensik Wiki
Die Lockheed Martin Cyber Kill Chain vom Rüstungsunternehmen Lockheed Martin beschreibt Cyber-Attacken in sieben Stufen. Ein Angreifer muss für eine erfolgreiche Attacke alle sieben Stufen erfolgreich durchlaufen, für die Abwehr reicht es aus, die Cyber Kill Chain an einer Stelle zu unterbrechen. Die ursprüngliche Definition entspringt der militärischen Verteidigung und auf die Cyber-Sicherheit übertragen. Die Cyber Kill Chain besteht aus sieben Angriffsstufen, die den Ablauf eines Cyberangriffs abbilden.
- Reconnaissance (Ziel identifizieren)
- Angreifer befindet sich in der Planungsphase. Der Angreifer versucht zu verstehen, welche Ziele es ihnen ermöglichen den Angriff erfolgreich durchzuführen.
- Sammelt E-Mail-Adressen
- Daten aus sozialen Netzwerken zur Identifikation von Mitarbeitern
- Pressebereichte, Konferenzteilnehmer
- Finden von Servern mit Internetzugang
- Sammelt E-Mail-Adressen
- Verteidiger
- Auswertung von Website Logs um verdächtige Aktivitäten aufzudecken
- Zusammenarbeit mit Web Administratoren, um Browser Analytics zu verwenden
- Entwickeln neuer Tools
- Priorisieren Schutzmaßnahmen für einzelne Technologien/Personen basierend auf Aktivität:
- Weaponizaiton (Vorbereitung des Angriffs)
- Angreifer
- Zusammenstellung der Angriffswerkzeuge (Malware, Viren)
- Verteidiger
- Suche nach Spuren von Angriffsversuchen
- Analyse von entdeckter Malware
- Einsatzzweck der Malware prüfen
- Delivery (Start des Angriffs)
- Angreifer starten den Angriff und verschicken ihre „Weapons“ an das Opfer
- Phishingmail
- Malware auf USB-Stick
- …
- Verteidiger
- Welche IT-Architekturen könnten interessant für Angreifer sein?
- Identifikation möglicher Opfer (z.B. Vertrieb, Finanzabteilung)
- Logdateien generieren, um nach möglichen Angriffen den Angriff zu rekonstruieren
- Exploitation (Zugang zum Opfer erhalten)
- Angreifer muss eine Schwachstelle ausnutzen, um Zugang zum Opfer zu erhalten
- Software/Hardware oder menschliche Schwachstelle
- Opfer klickt auf Phishinglink oder führt Anhang einer Phishingmail aus
- Zero Day Exploit selbst entwickeln
- Verteidiger
- Awareness Schulungen für Mitarbeiter
- Systemhärtungen vornehmen
- Schwachstellenscans und Penetrationtests
- Installation (Backdoor beim Opfer einrichten)
- Angreifer will permanenten Zugriff zum Opfersystem erlangen
- Installieren einer Backdoor
- AutoRun keys
- Webshell auf Webserver
- Verteidiger
- Verhindern, dass Installationen auf Systemen in bestimmten Ordnern vorgenommen werden können
- Command & Control (C2)
- Angreifer
- Malware verbindet sich zum Command & Control Server und ermöglicht dem Angreifer eine Fernsteuerung
- Verteidiger
- Einzige Möglichkeit ist nur noch die Verbindung zum C2 Server zu unterbinden mittels bspw. Proxy Einstellungen
- Actions on Objectives (Das Ziel des Angriffs erreichen)
- Angreifer hat nun Zugang zum System und kann seiner eigentlichen Mission nachgehen
- Sammeln von Passwörtern oder personenbezogenen Daten
- Lateral Movement
- Etc.
- Verteidiger muss nun so schnell wie möglich die Handlungen erkennen, denn je länger der Zeitraum der Kompromittierung desto höher der Schaden