Cyber Kill Chain

Die Cyber Kill Chain wurde von Lockheed Martin entwickelt, um Cyberangriffe zu beschreiben. Sie besteht aus mehreren Stufen, die ein immer tieferes Vordringen des Angreifers beschreiben. Dies ist dem militärischen Begriff der Kill Chain (Zielplanung) ähnlich.

Die Erkundungsphase umfasst das Sammeln von Informationen über das Ziel, sei es eine Einzelperson oder eine Organisation. Dieser Prozess wird in Zielidentifizierung, -auswahl und -profilierung unterteilt. Dabei kommen diverse Quellen und Methoden zum Einsatz, darunter Internetseiten, Konferenzen, Blogs, soziale Netzwerke, Mailinglisten und Netzwerkverfolgungstools. Es wird zwischen aktiver und passiver Erkundung unterschieden: Während die aktive Erkundung potenziell beim Ziel Alarm auslösen kann, bleibt die passive Erkundung unbemerkt. Das Ziel dieser Phase ist es, eine fundierte Grundlage zur Auswahl geeigneter Angriffsstrategien zu schaffen.^[1]

In der Bewaffnungsphase werden auf Grundlage der in der Erkundungsphase gewonnenen Informationen eine Hintertür und ein Penetrationsplan entwickelt. Hierbei kommen verschiedene Tools wie Remote-Access-Trojaner (RAT) zum Einsatz, darunter beispielsweise Carberp, Ventir Trojan oder Poison Ivy.^[1]

In der Zustellungsphase wird die entwickelte Malware-Nutzlast ausgeführt, nachdem eine geeignete Hintertür identifiziert wurde. Die Zustellung erfolgt entweder durch das gezielte Lenken oder Zwingen des Ziels zur Interaktion mit dem Malware-Exploit oder durch automatische Ausnutzung von Schwachstellen in Protokollen oder Software. Genutzte Methoden sind beispielsweise Phishing-Angriffe, bei denen E-Mails verwendet werden, um das Ziel dazu zu bringen, einen schädlichen Anhang herunterzuladen.^[2]

In der Ausnutzungsphase wird die auf das Zielsystem übertragene Malware vorbereitet, um deren Installation einzuleiten. Dabei erfolgt noch keine eigentliche Installation, sondern die Umgebung wird für die anschließende Installationsphase der Kill Chain optimiert. Diese Phase ist eng mit der Installationsphase verknüpft, da alle technischen Voraussetzungen für die Installation in der Ausnutzungsphase geschaffen werden müssen. Um die Nutzlast erfolgreich zu installieren oder auszuführen, nutzt sie Schwachstellen in der Hard- oder Software aus, die als Common Vulnerabilities and Exposures (CVE) bezeichnet werden. Informationen zu diesen Schwachstellen werden in einer öffentlich zugänglichen und regelmäßig aktualisierten Datenbank bereitgestellt.^[2]

In der Installationsphase wird die Malware, falls erforderlich, auf dem Zielsystem installiert, wodurch die eigentliche Infektion des Computers beginnt. Dabei nutzt die Malware privilegierte Zugriffsrechte, um die Dateizugriffsmechanismen des Betriebssystems zu verändern. Zusätzlich verändert sie das Erscheinungsbild ihrer Dateien, indem sie das Dateiformat ändert oder die Dateien vor dem Benutzer verbirgt.

Fortschrittliche Malware, wie polymorphe oder metamorphe Malware, passt ihre Speicherabdrücke an, um Erkennung durch Sandbox-Algorithmen oder verhaltensbasierte Antivirenprogramme zu umgehen. Polymorphe Malware verändert dabei den Datei-Header, während die Nutzlast gleich bleibt, während metamorphe Malware auch die Struktur der Nutzlast selbst verändert.

Die Installationsphase dient nicht nur dazu, eine Hintertür auf dem Zielsystem zu etablieren, sondern stellt auch sicher, dass die Angreifer eine Verbindung zum infizierten System aufrechterhalten können. Diese Phase unterscheidet sich von der Ausnutzungsphase, die lediglich sicherstellt, dass das Schadpaket für die Installation bereit ist und alle Voraussetzungen erfüllt sind. In der Installationsphase beginnt die eigentliche lokale Verankerung der Schadsoftware im Zielsystem. Die Kommunikation mit dem Command-and-Control-System wird jedoch erst in einer späteren Phase initiiert.^[2]

Die Befehls- und Kontrollphase (Command and Control) ermöglicht Angreifern, Anweisungen an die Malware auf dem Zielsystem zu senden und deren Aktivitäten zu steuern. Zu den Zielen dieser Phase gehören der Diebstahl sensibler Informationen wie Passwörter, Finanzdaten oder geistiges Eigentum durch Tools wie Keylogger, Zeus oder Trojaner. Darüber hinaus kann die Malware angewiesen werden, sich auf andere Teile des Netzwerks zu verbreiten, weitere Schadsoftware auszuführen oder Verschlüsselungsmechanismen für Ransomware-Angriffe zu aktivieren.^[2]

In der Abschlussphase eines Cyberangriffs werden die angestrebten Ziele des Angriffs erreicht. Wenn eine Malware erfolgreich auf einem System installiert wurde, beginnt sie, ihre programmierte Funktion entweder eigenständig oder durch Anweisungen vom Command-and-Control-Server auszuführen. Diese Phase wird auch als Detonationsphase bezeichnet und markiert den erfolgreichen Abschluss der Cyber-Kill-Chain.^[2]

Zu den zentralen Aktionen in dieser Phase zählen:

• Datenexfiltration: Der Diebstahl sensibler oder geistiger Daten aus dem Netzwerk.
• Ransomware-Angriffe: Die Verschlüsselung von Daten, die Änderung von Anmeldeinformationen oder das Blockieren von Netzwerkressourcen, um Lösegeld zu erpressen.
• Cyber-Terrorismus: Die gezielte Zerstörung durch Löschen oder vollständige Beschädigung von Dateien, um maximalen Schaden anzurichten.^[2]

Es wird kritisiert, dass sich die Vorgehensweise zu stark auf Malware fokussiert und das Vorgehen bei einem Systemeinbruch. Dadurch reflektiert sie in keiner Weise den wahren Aufwand für den Angreifer und auch nicht alternative Angriffswege. Auch werden Angriffe von Innen durch eigene Mitarbeiter nicht berücksichtigt. Als Antwort darauf wurde die Internal Kill Chain entwickelt. Auch wird nur der eigene Nahbereich betrachtet, eine Untersuchung der weiteren (digitalen) Umgebung unterbleibt.
Ferner wird in keiner Weise darauf eingegangen, wie auf einen derartigen Cyberangriff zu reagieren ist.^[3] Die Analyse gemäß Cyber Kill Chain ermöglicht es, strukturierte Berichte zu erstellen, um eine Wirkung entfalten zu können, wofür aber eine größere strategische Betrachtung notwendig ist.

• Cyber-Kill-Chain Grundlagen Anwendung und Entwicklung bei security-insider.de
• Cyber-Kill-Chain bei Lockheed Martin (eng.)
• Deconstructing The Cyber-Kill-Chain bei darkreading.com (eng.)
• us-cert.gov, TA18-074A: Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors

1. ↑ ^{a b} Tarun Yadav, Arvind Mallari Rao: Technical Aspects of Cyber Kill Chain. In: Security in Computing and Communications. Springer International Publishing, Cham 2015, ISBN 978-3-319-22915-7, S. 2–3, doi:10.1007/978-3-319-22915-7_40 (springer.com [abgerufen am 25. Dezember 2024]). 
2. ↑ ^{a b c d e f} Muhammad Salman Khan, Sana Siddiqui, Ken Ferens: A Cognitive and Concurrent Cyber Kill Chain Model. In: Computer and Network Security Essentials. Springer International Publishing, Cham 2018, ISBN 978-3-319-58424-9, S. 578–583, doi:10.1007/978-3-319-58424-9_34 (springer.com [abgerufen am 25. Dezember 2024]). 
3. ↑ Scott Jasper: strategic Cyber Deterrence: The Active Cyber Defense Option, 2017. S. 120. ISBN 978-1-53810-488-0.