Cyber Kill Chain Die wurde von Lockheed Martin entwickelt um Cyberangriffe zu beschreiben Sie besteht aus mehreren Stufe

Der Angreifer hat eine Organisation als Ziel auserkoren. Er beginnt nun, Informationen über sein Opfer zu sammeln. Dabei versucht er, Informationen über die Firmenstruktur, Datennetze und Firmenkontakte, wie z. B. Lieferanten, aus öffentlichen Quellen auszuspähen. Auch eine gezielte Auswertung von Photos aus der Firma auf diversen Webseiten kann Informationen über die vorhandene Infrastruktur geben. Durch gezielte Ausspähung ist es möglich, Fernzugriff auf bestimmte Hardware zu bekommen und so z. B. die Web-E-Mail und Virtual-Private-Network-Verbindungen (VPN-Verbindungen) zu ermitteln.

Das Ziel dieser Phase ist es, mehr über die eingesetzte Software herauszufinden. Beliebte Methoden sind:

• Spear-Phishing

Ebenfalls durch Spear-Phishing können auch andere Funktionen getriggert werden. So kann mit Hilfe eines präparierten MS-doc Dokuments Microsoft Office dazu gebracht werden, ein Dokument via Server Message Block (SMB) Protokoll von einem Server zu holen. Dabei muss sich die Abfrage gegen den Server ausweisen (authentifizieren). Dieser Hash kann nun benutzt werden, um das Passwort im Klartext zu bekommen. Damit kann sich nun der Angreifer innerhalb der Firma authentifizieren. Diese Sicherheitslücke ist vor allem dann problematisch, wenn eine Single-Sign-on Authentifikation verwendet wird.

• Watering hole attack (Water-Holing)

Dabei werden z. B. Webseiten, die außerhalb des Zieles liegen, aber von Firmenmitarbeitern häufig frequentiert werden, angegriffen und übernommen, um dann über manipulierte Seiten wieder Zugriff auf die Infrastruktur innerhalb der Zielorganisation zu erhalten. Die Manipulation kann sich auch bei Subunternehmen abspielen. So können dort Dokumente manipuliert werden, die dann von Mitarbeitern des Subunternehmers ohne Kenntnis der Manipulation an das eigentliche Ziel geschickt werden.

Hat man genügend Informationen über die Zielorganisation gesammelt, können gezieltere Angriffe erfolgen:

• E-Mails, USB-Sticks etc. mit manipuliertem Inhalt veranlassen das Opfer dazu, detaillierte Information preiszugeben z. B. Username, Passwort etc.

Wurden genügend Informationen gesammelt, kann ein Brückenkopf in Form einer Backdoor installiert werden. In der erkannten Schwachstelle wird nun ein Programm hinterlegt, das einen Zugriff von außen ermöglicht.

Nach der erfolgreichen Installation einer Backdoor kann diese nun verwendet werden, um das Ziel zu übernehmen, durch das Anlegen von Administrator-Accounts und anderen Maßnahmen. Von nun an ist der Angreifer fest etabliert. Er kann dazu übergehen, weitere Accounts zu erzeugen und so das Ziel-Unternehmen zu übernehmen.

Es wird kritisiert, dass sich die Vorgehensweise zu stark auf Malware fokussiert und das Vorgehen bei einem Systemeinbruch. Dadurch reflektiert sie in keiner Weise den wahren Aufwand für den Angreifer und auch nicht alternative Angriffswege. Auch werden Angriffe von Innen durch eigene Mitarbeiter nicht berücksichtigt. Als Antwort darauf wurde die Internal Kill Chain entwickelt. Auch wird nur der eigene Nahbereich betrachtet, eine Untersuchung der weiteren (digitalen) Umgebung unterbleibt.
Ferner wird in keiner Weise darauf eingegangen, wie auf einen derartigen Cyberangriff zu reagieren ist. Die Analyse gemäß Cyber Kill Chain ermöglicht es, strukturierte Berichte zu erstellen, um eine Wirkung entfalten zu können, wofür aber eine größere strategische Betrachtung notwendig ist.

• Cyber-Kill-Chain Grundlagen Anwendung und Entwicklung bei security-insider.de
• Cyber-Kill-Chain bei Lockheed Martin (eng.)
• Deconstructing The Cyber-Kill-Chain bei darkreading.com (eng.)
• us-cert.gov, TA18-074A: Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors

1. Scott Jasper, strategic Cyber Deterrence: The Active Cyber Defense Option, S. 120