Die 7 Stufen eines IT Angriffes

Angriffe auf IT Systeme

Ein großer Teil der Angriffe, die heute auf IT Systeme durchgeführt werden, bestehen aus gut durchdachten Schritten. Genau diese Planung erfordert, dass Zielsysteme sich entsprechend verteidigen können. Das findet man leider nur selten vor, somit ist ein Angriff Schritten erfolgreich und bleibt unentdeckt. Glaubt man dem Verizon Data Breach Report, so dauert es bei weit über der Hälfte aller Angriffe, mehrere Monate, bis ein Angriff entdeckt wird.

An dieser Stelle möchte ich mich auf das Buch “Die Kunst des Krieges” von Sunzi beziehen. Darin beschreibt der Kriegsstratege viele Möglichkeiten, wie Kämpfe und Kriege gewonnen werden. Ein Satz sticht ganz stark hervor, der beschreibt, dass vor jedem Kampf zuerst die Strategie des Feindes vereitelt werden soll. Dadurch steigt die Wahrscheinlichkeit, dass es zu keinen großen kriegerischen Aussetzungen kommt. Somit ist das Ziel, einen Angreifer möglichst daran zu hindern einen Versuch zu starten.

Dieses Konzept passt gut, denn bevor man die Strategie des Feindes vereiteln kann, muss man diese kennen. Es gibt mehrere Modelle, aber ich bevorzuge das 7-stufige Modell bzw. die Strategie.

  1. Aufklärung

    Kein Angriff ohne eine vernünftige Aufklärung. Welche Ziele sind verwundbar? Wo laufen alte Systeme, die im Netz exponiert sind? Ist die Firewall sogar veraltet? Erfolgen lieber Social Engineering Angriffe? An dieser Stelle hat es der Angreifer leicht. Er muss lediglich einen einzigen Zugang finden. Wir als Verteidiger müssen jedes mögliche Einfallstor schließen bzw. überhaupt erst erfassen. Das ist ein gravierender Nachteil für den Verteidiger.

  2. Scanning

    Ist ein Ziel ausgemacht worden, beginnt die Tiefenaufklärung. Es müssen Schwachstellen am Ziel identifiziert werden. Ein Windows XP Rechner beispielsweise wurde entdeckt, aber ist es verwundbar? Das muss nicht zwangsläufig der Fall sein. Tools wie nmap kommen hier häufig zum Zuge und führen Scans aller möglichen Ports durch, um dahinterliegende Services zu entdecken. Manchmal dauert dieser Schritt sehr lange. Ein Angreifer geht dabei vorsichtig vor, sonst wird er entdeckt.

  3. Zugriff

    Der Zugriff konnte erfolgen. Die Schwachstelle ist gefunden und wurde ausgenutzt. Ein böser Anhang in einer Mail, an eine unbedarfte Person? Ein altes OpenSSL mit entsprechenden Lücken und passenden Exploits kann auch eine administrative Oberfläche für den Angreifer generieren lassen. Damit hat der Angreifer nun administrative Rechte im System. Als nächstes sind die gehashten Passwörter dran. Mittels Rainbow Tables stellt er die Kennwörter wieder her und kann nun unter offizieller Flagge schalten und walten. Das System gehört nun ganz dem Angreifer. Ohne passende Aufklärungsmaßnahmen vom Verteidiger, bleibt nach wie vor alles im Dunkeln.

  4. Datenabgriff

    Was sind die wertvollsten Dinge in einem Netzwerk? Je nach Firma unterschiedlich, aber eines haben alle modernen Firmen von heute gemeinsam, sie haben wertvolle Daten, egal welcher Art. Diese können nun dank administrativer Berechtigungen vollständig kopiert oder zerstört werden. CAD Zeichnungen, Rezepte, Know-How, Programmcode, Intellectual Properties uvm.

  5. Persistente feindliche Besetzung

    Langfristig gedachte Angriffe basieren auch auf einer persistenten feindlichen Besetzung. Das bedeutet, dass Rootkits installiert werden, um Angreifern die Möglichkeit zu geben jeder Zeit wieder auf das System zu zugreifen. Es kann gut sein, dass Systeme neu aufgesetzt werden. Ein Rootkit verhindert, dass kein Zugriff mehr durch die Angreifer erfolgen kann. Das trojanische Pferd ist somit hoffentlich getarnt mit an Bord und wird immer aktiv bleiben. Wenn nun Sicherheitslücken gestopft werden und Updates installiert werden, so hat dies keinerlei Wirkung auf die Malware.

  6. Zerstörerischer Angriff

    Die meisten Angriffe zielen auf Daten ab. Hin und wieder kommt Malware zum Einsatz, die auch zerstörerische Zwecke hat. Dabei wird beispielsweise die Hardware direkt angegriffen, falls möglich. Stuxnet ist ein klassisches Beispiel. Es sollte kritische Infrastrukturen im Iran sabotieren.

  7. Verschleierung

    Um ein System möglichst lange zu kontrollieren ist es wichtig unentdeckt zu bleiben. Nicht immer wird darauf Fokus gelegt. Ist die Verschleierung aber nötig, so werden bestimmte Mittel getätigt, um einen Virenscanner zu verwirren und forensische Untersuchungen zu erschweren. Es gibt zahlreiche Tools, die Programmcode stark zu ungunsten von Disassemblern verändern, so dass es mühselig wird zu verstehen, was der Programmcode bewirken soll. Es gibt auch Logcleaner, die passende Logs aus den Protokollen streichen und vieles mehr.

Verteidigung

Erst durch die Kenntnis eines Angriffes können wir eine Verteidigungsstrategie entwerfen. Ein Teil der Lösung könnte beispielsweise das Privileged identity management sein. Dazu gehören Systeme, die bestimmten Prozessen administrative Rechte vergeben, ohne dass ein Benutzer lokale Administrationsrechte benötigt. des Weiteren können solche Systeme das Netzwerk nach Konten untersuchen und alle selbst managen, darunter auch ein Audit darüber fahren, wer diese Logins verwendet. Passwörter können auch regelmäßig automatisch verändert werden. Damit könnte gerade ein persitenter Zugriff unterbrochen werden. Zumindest muss ein Angreifer von vorne anfangen und irgendwann merkt dies ein SIEM System relativ schnell und alarmiert. Beispiele als Lösungen:

Beispiele für Arten dieser Angriffe zeigen uns Firmen wie Target und Sony Pictures, bei denen es zu erfolgreichen Einbrüchen kam.

Artikel teilen:

Ein Gedanke zu „Die 7 Stufen eines IT Angriffes

Kommentar verfassen