Was ist die Cyber-Kill-Kette?

(Di Alessandro Rugolo, Lino Proceddu)
29/03/21

In mehreren Artikeln haben wir das sogenannte "Cyber-Kill-Kette"Aber bei näherer Betrachtung haben wir nie wirklich erklärt, was es ist. 

Heute verfolgen wir in diesem kurzen Artikel die Geburt des Modells und versuchen, gemeinsam etwas mehr zu verstehen.

Das Konzept der Cyber-Kill-Kette wurde erstmals von Lockheed Martin, der wichtigsten amerikanischen Verteidigungsindustrie, im Weißbuch veröffentlicht: "Intelligenzgesteuerte Verteidigung von Computernetzwerken durch Analyse von gegnerischen Kampagnen und Intrusion Kill Chains"von Eric M. Hutchins, Michael J. Cloppert und Rohan M. Amin.

Ich empfehle jedem, das Dokument vollständig zu lesen, da es sehr interessant ist (Link unten). In unserem Fall beschränken wir uns darauf, das zu nehmen, was uns am nützlichsten erscheint, insbesondere in der Einleitung, in der wir eine erste Definition von finden Cyber-Kill-Kette:

"Der Ausdruck" Kill Chain "beschreibt die Struktur des Eindringens, und das entsprechende Modell leitet die Analyse, um verwertbare Sicherheitsinformationen zu informieren.".

Die Autoren waren daher besorgt über die Entwicklung eines Cyber-Angriffsmodells, das den Verteidigern helfen würde, Risikominderungstechniken zu entwickeln, um einen hypothetischen Eindringling in seiner Arbeit wirksam zu behindern. Das Modell sollte auch die "Priorisierung" von Investitionen in neue Technologien erleichtern.

Es ist kein Zufall, dass eine Verteidigungsindustrie das Konzept von eingeführt hat Cyber-Kill-KetteEs handelt sich lediglich um eine Anpassung eines militärischen Konzepts an die Cyberumgebung. Ursprünglich war es ein Phasenmodell, mit dem die verschiedenen Schritte identifiziert werden konnten, die für die Ausführung eines Angriffs erforderlich sind.

Die Analyse der töten Kette ermöglicht es Ihnen zu verstehen, wie ein Gegner, um sein Ziel zu erreichen, in der Lage sein muss, die gesamte Kette zu durchlaufen, und hervorzuheben, welche Minderungsmaßnahmen wirksam sind, um die zu unterbrechen töten Kette selbst.

Das Papier zielt insbesondere auf die Analyse der Gegner ab, die über ausreichende Kapazitäten und Ressourcen verfügen, um APT-Kampagnen (Advanced Persistent Threath) durchzuführen.  

Aber mal sehen, woraus das besteht Cyber-Kill-Kette. Es ist ein Prozess bestehend aus sieben Stufen:

Die erste Stufe heißt Aufklärung (Patrouille) und, wie der Name deutlich zeigt, besteht es darin, Suchen zur Identifizierung und Auswahl des Ziels durchzuführen, im Internet nach Informationen zu suchen, die sich auf das Ziel beziehen, die verwendeten Technologien, E-Mail-Adressen und Mitarbeiter sowie soziale Beziehungen. Diese Phase ist von grundlegender Bedeutung für die Definition des ursprünglichen Ziels, das nützlich ist, um das endgültige Ziel zu erreichen, möglicherweise mit einer seitlichen Bewegung. Beispielsweise wird der Mitarbeiter unten rechts getroffen, um schließlich den CEO des Unternehmens zu erreichen.

Die zweite Phase heißt Waffen (Bewaffnung) und besteht darin, eine Malware zu erstellen oder zu identifizieren, die für den Angriff verwendet werden kann, normalerweise eine Kombination aus Fernzugriffssoftware (Trojanisches Pferd) und a ausbeuten (Software, die eine Systemschwachstelle ausnutzt). Oft, um Zugang zu einem System zu erhalten, wird die Zero-Day- von denen es immer noch keine Verteidigung gibt, da es sich um brandneue Schwachstellen handelt, die noch "gepatcht" werden müssen, gerade weil sie gerade entdeckt wurden.

Die dritte Stufe heißt Versand (Lieferung) und besteht in der Übertragung der Cyberwaffe (Waffe) auf das Ziel. Normalerweise werden E-Mails mit Links zu gefälschten Websites oder angehängten Dokumenten, die Malware enthalten, zur Verteilung an das Opfer verwendet. Es sind aber auch USB-Sticks, Infrarot, Bluetooth, optische Medien, Tastaturen oder Mäuse mit „verschachtelter“ Malware in der Firmware oder anderen Methoden möglich.  

Die vierte Stufe ist bekannt als Ausbeutung (Ausnutzung) und besteht im Allgemeinen in der Ausnutzung einer oder mehrerer Sicherheitslücken durch schädliche Software, die in das angegriffene System eingeführt wird. Es sei darauf hingewiesen, dass die fortschrittlichsten Techniken von Verschleierung (oft sogar neue Techniken), um diese Aktionen für unsere "Radargeräte" völlig unsichtbar zu machen, unabhängig davon, ob es sich um Firewalls, IDS, IPS, E-Mail-Filter, Antivirus und SIEM handelt.

Die fünfte Stufe heißt Installation (Installation) und besteht aus der Installation innerhalb des Zielsystems, damit der Angreifer nach Belieben im System bleiben kann, der sogenannten Persistenz. Malware-Trojaner (RAT Remotezugriffstrojan) werden Ports im Netzwerk geöffnet oder erstellt Hintertür-. In dieser Phase wird das System unbeaufsichtigt, aber stark geändert. Registrierungsschlüssel, Systemdateien und sogar die Startpartitionen können geändert werden. Dies ist einer der Gründe, warum das Ergebnis der Wiederherstellung "kompromittierter Systeme" niemals eine Selbstverständlichkeit ist.

Die sechste Phase heißt Command and Control (C2 oder C & C, Befehl und Kontrolle) und besteht aus der Einrichtung einer soliden Befehls- und Kontrollkette, die es dem Angreifer ermöglicht, Befehle zu erteilen und Feedback zu erhalten. Diese Phase ist in einer APT besonders wichtig. 

Die siebte Stufe heißt Maßnahmen zu Zielen (Aktionen auf die Ziele) und besteht aus dem tatsächlichen Angriff auf das Zielsystem. In der Regel werden Daten exfiltriert, was im Allgemeinen bedeutet, das System zu erkunden, Daten zu sammeln, zu verschlüsseln und zu exfiltrieren. In anderen Fällen geht es darum, die Daten nicht verfügbar zu machen und sie im Allgemeinen zu verschlüsseln, um später ein Lösegeld zu verlangen (das berühmte Ramsomware). In anderen Fällen geht es darum, die Daten zu ändern (was würde passieren, wenn die Größe eines Flugzeugersatzteils um einige Bruchteile eines Millimeters geändert würde?). Der Angreifer hat möglicherweise auch nur ein Interesse daran, Daten zu sammeln, um ein anderes, rentableres System anzugreifen.

Jede Phase kann wiederum in mehrere mehr oder weniger zahlreiche Schritte unterteilt werden.

Natürlich kann und wird das von Lockheed Martin für Verteidigungszwecke entwickelte Modell auch für Offensivzwecke verwendet, insbesondere in Bezug auf die frühen Stadien von Aufklärung und Waffe.

Natürlich gibt es viele Variationen der Cyber-Kill-Kette, von verschiedenen Unternehmen entwickelt, aber das Ziel ist immer dasselbe, nämlich die Vorgehensweise des Angreifers zu verstehen, um zu verstehen, wie man ihn besiegt oder allgemeiner die Risiken moderiert.     

Um mehr zu erfahren:

LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)

Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf (lockheedmartin.com)