Lockheed Martin, das US amerikanisches Militärunternehmen, hat vor einigen Jahren Cyber Attacken nach militärischen Erfahrungen in ein Angriffs Modell gegossen. Dieses ist in 7 Phasen unterteilt. Es dient dazu sowohl die Schritte des Cyberkriminellen als auch der Verteidigung besser zu sortieren und zu verstehen.
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control (C2)
- Action on Objectives
Manche würden auch ergänzen: 8. Get the money and run or do it again
Dieses Modell ist eine Vereinfachung. Natürlich gibt es Varianten, Variationen, und kein Krimineller muss sich daran halten! Die Cyber Welt wird immer komplexer, es werden neue Wege gesucht und gefunden. Artificial Inteligence ist angekommen.
Trotzdem sind Modelle hilfreich: für den Strategie-Tisch, für Schulungen, für Struktur, für das Lernen. Ja es gibt auch augenscheinliche Schwächen, z.B. ein Insider kann erste Schritte scheinbar überspringen, hat diese aber im stillen Kämmerlein durch gemacht, und sich einen Plan zurecht gelegt!
Nach diesem Modell muss ein Angriff alle diese 7 Phasen durchlaufen, um an sein Ziel zu gelangen und erfolgreich zu sein.
Das bedeutet, wir haben die ersten 6 Schritte lang die Gelegenheit den Angriff zu vereiteln, um den letzten Schritt zu verhindern.
Schauen wir uns diese Schritte einzeln an, und überlegen auch potentielle Taktiken als Gegenmaßnahmen (ohne Anspruch auf Vollständigkeit).
1. Reconnaissance / Aufklärungsarbeit (Mögliche Ziele identifizieren und auskundschaften)
Planungsphase des Angreifers. Suche nach öffentlich zugänglichen Informationen, z.B.
- Email Adressen sammeln
- Angestellte / Personen / Rollen identifizieren
- Informationen sammeln aus dem Web, den Nachrichten, den Sozialen Medien, Konferenzlisten,
- Informationen im Darknet kaufen
Möglichkeiten der Verteidigung:
- Vor der Tür können wir wenig tun!
- Begrenzen Sie und kontrollieren Sie die öffentlich zugängliche Information, z.B. mit einer Social Media Richtlinie (Sowohl für Social Media, als auch für eigene Webseiten des Unternehmens
- Wieviel können Sie an den eigenen Webservern loggen, nach Mustern durchsuchen, und als Historie für Analysen aufbewahren?
2. Weaponization / Bewaffnung aussuchen (Angriff vorbereiten)
Automatisierte Tools werden „in Ruhe“ für den ausgesucht, zusammengestellt, und deren Einsatz wird vorbereitet, z.B.
- USB Stick, evtl. in Kombination mit einem Köder / Angebot z.B. in einem Modemagazin und einem Aufkleber „Sommerkollektion YSL“ auf dem USB Stick, oder einem Ford Mustang Magazin, und einem Ferrari Ettiket?
- Dateibasierte Angriffe werden vorbereitet, z.B. mit einem Köder, kaschierte Emails bzw. Webseiten mit „Fangangeboten“
- Die entsprechende Malware, z.B.: eine Backdoor, oder Exploit wird vorbereitet.
Möglichkeiten der Verteidigung:
Die Vorbereitung des Gegners kann nicht verhindert werden!
Aber in der Zeit kann und muss sich das Unternehmen ebenfalls vorbereiten, aus der Vergangenheit lernen, sich mental und digital vorbereiten:
- Sicherheitsstrategie, System und Controls aufsetzen und in der Tat umsetzen.
- Detektoren / Scanner aktiv und aktuell halten
- Awareness Schulungen durchführen
- Angriff / Verteidigung Trainings
- Incident Response Plan ausarbeiten, und trainieren
- Erkennung bekannter Muster einstellen (Viren, Malware, Trojaner)
- Analysen und Trends beobachten, allgemein informiert bleiben
- Sparten- und Branchen-Spezifische Information einholen über Angriffe beobachten
3. Delivery / Lieferung (Platzierung des Cyber-Schädlings)
Der Angreifer verschickt sein getarntes Paket. Der Angriff hat begonnen, z.B.
- USB Stick liegt im Hof, oder auf einem Firmen-Parkplatz, oder
- Ein USB Stick liegt in einem Paket einer Material-Lieferung, als Dankeschön, oder Werbegeschenk dabei.
- Dateibasierte Angriffe werden losgeschickt, mit Köder, Spam Emails, Persönliche Emails, gefälschte Emails bzw. Webseiten mit „Ködern/Fangangeboten“, gefakte Webseiten, etc.
- Direkter kontrollierter Angriff über Webserver / Datenbanken
- Penetrationsversuch über offene Ports und Protokolle
- Interaktionen über Social Media, Uploads, Einladungen, Honigtöpfchen/Köder. Die Phantasie hat keine Grenzen.
Möglichkeiten der Verteidigung:
Die erste und wichtigste Möglichkeit einen Angriff zu vereiteln, z.B.
- Sperrung der USB Ports für Datenspeicher
- Rollen, Verantwortung, Zugriffsrechte verstehen, planen, kontrollieren, aufzeichnen (Logging), einschränken auf das nötige Maß
- Server und Infrastrukturtrennen, kennen, überwachen.
- Standardkonfigurationen und Settings vermeiden
- Technik Einsetzen die Indizien überwacht und meldet
- Analyse der physikalischen und der digitalen Lieferungen
- Micro-Demilitarisierte Zonen einsetzen.
- Doppelte Firewalls einsetzen
- Scanner einsetzen, aktuell halten
- Logging sammeln, für laufende Analysieren, und für forensische Analysen falls es mal nötig sein sollte.
- Daten analysieren und Trends und unübliche Aktionen beobachten (z.B. Start von Programmen zur „Unzeiten“, Start von Programmen die „nicht gelistet sind“…
- Neue Benutzerkonten, die nicht freigegeben wurden erkennen und sperren
- Gestartete Prozesse die „nicht gestartet sein sollten", erkennen und genauer anschauen...
4. Exploitation / Ausbeutung (Zugriff erlangen)
Der Angriff muss nun eine Schwäche ausnutzen, eine Hardware-, Software-, oder Menschliche Schwäche.
- Starten des Angriffs aus der Ferne
- Starten des Angriffs durch ein „Opfer“ eines Köders (Email Anhang, Link klicken…)
Möglichkeiten der Verteidigung:
Menschliches Verhalten kennen, beobachten, und stärken.
Digitale Verteidigungsmöglichkeiten einsetzen.
- Aufmerksamkeit-Schulungen und Tests nach Schulungen durchführen
- Secure Coding Ausbildung für Entwickler einsetzen, und prüfen
- Vulnerability scaning durchführen
- Penetration Test (Pen Test)...
- Endpoints stärken / Endpoint hardening (individuell)
- Administrationsrechte beschränken
- Ausführungsrechte, und Automatische Startups beschränken / kontrollieren / überwachen
- Schellcode-, Script- Beschränkungen
- Digitale Audits, scanns ...
5. Installation / Installation (Festsetzen um einen geheimen Kommunikationskanal zu öffnen)
Hier werden normalerweise durch den Angreifer Backdoors geöffnet (Kommunikationskanäle) um sich beim Opfer
System einzunisten, und langfristig zu agieren, z.B.
- Webshell auf Webserver
- Backdoors auf clients
- Services hinzufügen, die selbstständig laufen (Autorun, Registry Schlüssel…)
- Hinzuaddierte Komponenten werden getarnt.
Möglichkeiten der Verteidigung:
Hier sind digitale Erkennungstools (Detection) essentiell, für Überwachung, Erkennung, Protokollierung und Analyse, z.B.
- Überwachung von typischen installationspfaden, Services und Registry
- Analyse von Berechtigungen zur Installation / zum Start von Prozessen (auch temporäre)
- Überwachung von Filesystemen bezüglich „anlegen abnormaler Dateien“
- Zertifikate und Programme überwachen
- Zeitstempel von Programmen / Dateien / Skripten überwachen (z.B. Installationsdatum / Patch Datum)
6. Command & Control (C2) / Zugriffskontrolle bekommen (Fernkontrolle etablieren)
Hier passiert die Kommunikation mit dem Angreifer, um das Opfer System zu verändern, z.B.
- Zweiwege Kommunikation / Fernkontrolle zur Kommando-Infrastruktur des Angreifers etablieren.
- Meist über Web, DNS, Emailprotokolle
- Die Kommandostruktur des Angreifers ist evtl. auf einem anderen „gekapertem und missbrauchten System, oder Netzwerk“
Möglichkeiten der Verteidigung:
Hier ist die letzte Möglichkeit der Verteidigung, indem die Kommunikation unterbunden wird.
- Kennen der erlaubten Kommunikationen
- Entdecken der „unerlaubten Kommunikation
- Entdecken der Malware
- Wege in die Außenwelt limitiert halten, kennen und überwachen
- Proxies einsetzen, überall wo möglich (http, DNS)
- Standardkonfigurationen und Settings vermeiden
- Kreativität einsetzen, Analytische Fähigkeiten trainieren
- Echtzeitanalyse trainieren
- Sperrmechanismen trainieren und bereit halten
7. Action on Objectives / Das Ziel des Angriffs erreichen (der Schadensfall ist eingetreten, das Ziel des Angriffs wurde erreicht)
Der Angreifer sendet das „Kill“ Kommando. Er/sie drückt auf dem Roten Knopf. Was nun passiert hängt vom Endziel der kriminellen Gegner ab:
- Benutzer Daten sammeln / klauen / kopieren und rausschicken
- Berechtigungen fälschen für weitere Schritte, Gehen Sie zurück zu Schritt Nr 4
- Weitere interne Erkundungsausflüge unternehmen (*)
- Aus der gesicherten Position, innerhalb des Netzwerks fortpflanzen.
- Daten / Informationen zerstören
- Daten / Informationen verschlüsseln und Opfer erpressen (Ransomware)
Evtl. sollte noch ein Schritt 8 hinzugezählt werden, falls es um Geld geht
8. 8. Get the money and run or do it again / Geld kassieren nach der Erpressung
Möglichst versteckt, mit Kryptowährungen etc.
Die Angreifer freuen sich und die Sektkorken knallen
Verteidigung:
- Einschalten der Polizei / BKA
- Zahlen oder nicht, wie, wo, wann, womit?
- Versuchen den Schaden zu begrenzen
- Scherbenhaufen aufräumen, Kunden, Partner, Reputation, Öffentlichkeit, Behörden
- Neu beginnen, weiter machen, oder ...
Lessons learned:
- Diese Methodik kann behilflich sein die eigenen Maßnahmen zu hinterfragen, umgesetzte Maßnahmen zu bestätigen, Lücken zu entdecken.
- Indem dieses Modell selbst hinterfragt wird, hilf es die eigene Strategie und Techniken auf den Prüfstand zu stellen.
- Wer dieses Modell gemeistert hat, ist im Anschluß daran reif für die Oberklasse, das Studium der Mitre Attack Datenbank, oder NIST Vulnerability Database mit viel mehr Details, vielen
Angriffsstrategien, noch viel mehr Taktiken, Techniken und Details.
- Gehen Sie mal folgendes
Gedankenexperiment durch: Der Täter ist schon mittendrin im System, nicht draußen vor der Tür! Was ergibt sich daraus?
Wie geht Ihre Organisation im Konkreten Fall vor?
Quellen:
a) Lockhead Martin - The Cyber Kill Chain
"https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html"
b) Mitre Attack Organisation und Datenbank:
https://attack.mitre.org/
c) NIST Vulnerability Database (NVD): https://nvd.nist.gov/vuln
(*) Nach einer IBM Analyse, betrug die durchschnittliche Verweildauer ca. 9 Monate, bevor es zum final count down kam. Es gibt viele solche Werte, von 50 Tagen, bis 270 Tage, alles erschreckend viel!
IBM: In 2022, it took an average of 277 days—about 9 months—to identify and contain a breach.
https://www.ibm.com/reports/data-breach
Vielen Dank für Ihren Besuch.
Sofern Sie das strategische Gespräch suchen, bitte gerne!
Ihr Konstantin Ziouras