Um Hacker zu bekämpfen, müssen Sie wissen, wie sie funktionieren. Was machen sie eigentlich?
Die meisten Hacks folgen der Lockheed Martin Cyber Kill Chain, einem Intelligence-Framework, das entwickelt wurde, um Cyberangriffe zu identifizieren und zu verhindern. Der Prozess beginnt damit, Informationen über ein potenzielles Ziel zu erhalten, und endet mit dem Diebstahl wertvoller Daten. Welche Phasen durchlaufen Cyberkriminelle also, wenn sie ein System hacken?
Die Cyber-Kill-Kette von Lockheed Martin
Obwohl es Variationen des Prozesses gibt, folgen Hacker normalerweise den Lockheed Martin Cyber-Kill-Kette bei ihrer Suche, wen sie hacken und einen Angriff durchführen können. Die Kill Chain besteht aus sieben Schritten.
1. Hackerforschung und Ernteinformationen
Der erste Schritt bei einem Cyberangriff ist die Aufklärung – oder das Auskundschaften des Ziels. Dies beinhaltet in der Regel das Sammeln öffentlich zugänglicher Informationen über ein potenzielles Ziel, einschließlich E-Mail-Adressen, Benutzernamen für soziale Medien und öffentliche Aufzeichnungen.
Sie können diese Informationen aus Datenlecks erhalten oder durch Routinearbeiten, wenn sie an einer bestimmten Person interessiert sind. Im letzteren Fall greifen sie möglicherweise auf ausgefeiltere Methoden wie einen Bluetooth-Angriff oder das Abfangen des Netzwerks zurück, auch Man-in-the-Middle-Angriff (MITM) genannt. Während ersteres erfordert, dass sich der Hacker in unmittelbarer Nähe des Ziels befindet, kann letzteres aus der Ferne mithilfe von Software oder vor Ort erfolgen, indem das WLAN des Opfers abgefangen wird.
Das ultimative Ziel besteht darin, unter anderem so viel wie möglich über die Ziele, die von ihnen verwendeten Geräte, die Betriebssysteme der Geräte und die von ihnen verwendeten Dienste zu erfahren. Die Informationen, die sie hier erhalten, können ihnen helfen, Schwachstellen zu finden.
2. Hacker finden die Tools, die für die Durchführung von Angriffen erforderlich sind
Diese Stufe wird in der Cyber-Kill-Kette „Waffenisierung“ genannt. Ausgestattet mit Informationen über ihre potenziellen Ziele stellen Hacker die Tools zusammen, die sie für den Cyberangriff benötigen. Sie können beispielsweise Malware in Dateien erstellen und verstecken, die ihr Ziel wahrscheinlich herunterladen wird.
Sie können sich diese Phase als Angeln vorstellen. Die Ausrüstung, die Sie zum Angeln in einem Süßwassersee einpacken müssen, unterscheidet sich von der Ausrüstung, die Sie zum Angeln im Meer benötigen. Sie würden wahrscheinlich auch mit einem anderen Boot fahren.
3. Hacker werfen ihr Netz oder ihren Köder aus
Diese Phase wird in der Kill Chain als „Delivery“ bezeichnet. Dieser Schritt beinhaltet, das Ziel dazu zu bringen, die Malware herunterzuladen – im Grunde lädt es die Bösewichte in die Festung ein.
Hacker tun dies häufig, indem sie E-Mails mit bösartigen Dateien versenden. Die Übermittlungsmethode können auch Bilder sein, auf denen die Malware gehostet wird, wie man gesehen hat, als Hacker die Bilder des James-Webb-Teleskops ausgenutzt haben, um Malware zu verbreiten. SQL-Injection ist eine weitere gängige Methode, mit der Hacker Malware verbreiten.
In jedem Fall besteht das Ziel darin, das Ziel dazu zu bringen, Malware auf sein Gerät herunterzuladen. Ab hier übernimmt die Malware: Sie extrahiert sich automatisch und fügt sie in das System ein.
4. Malware nutzt eine Schwachstelle im System aus
Die Malware übernimmt, sobald sie sich auf dem Computer des Ziels befindet. Bestimmte Hintergrundaktionen wie USB oder Media Autoplay können dazu führen, dass die Malware automatisch extrahiert und auf dem Gerät des Opfers ausgeführt wird. Diese Phase wird als „Ausbeutung“ bezeichnet.
5. Malware tut, wofür sie programmiert wurde
Diese Phase in der Kill Chain wird “Installation” genannt. Sobald die Malware in das System (oder Computernetzwerk) gelangt, wird sie stillschweigend im Hintergrund installiert, normalerweise ohne das Wissen des Opfers. Dann beginnt es, nach Schwachstellen im System zu suchen, die dem Hacker höhere Administratorrechte gewähren.
Die Malware baut auch ein Command-and-Control-System mit dem Hacker auf. Dieses System ermöglicht es dem Hacker, regelmäßige Statusaktualisierungen über den Fortschritt des Hacks zu erhalten. Um es ins rechte Licht zu rücken, stellen Sie sich das Command-and-Control-System als einen hochrangigen Militäroffizier vor, der eigentlich ein Spion ist. Die Position des Spions verschafft ihm Zugang zu sensiblen Militärgeheimnissen. Dieser Status macht sie auch bereit, gestohlene Informationen ohne Verdacht zu sammeln und zu versenden.
6. Das Spionagesystem der Hacker übernimmt und erweitert sich
Die Malware unternimmt in diesem Stadium verschiedene Dinge, um ihr Command-and-Control-System einzurichten, das auch für die sechste Stufe in der Kill Chain namensgebend ist. Normalerweise scannt es das System weiterhin auf Schwachstellen. Es kann auch Hintertüren erstellen, die Hacker verwenden können, um in das System einzudringen, wenn das Opfer den Einstiegspunkt entdeckt.
Darüber hinaus sucht das System auch nach anderen Geräten, die mit den kompromittierten Geräten verbunden sind, und infiziert diese ebenfalls. Es ist, als würde jeder im Büro eine Erkältung bekommen. Wenn genug Zeit vergeht, erinnert sich niemand mehr, wer genau damit begonnen hat.
7. Plündern, zerstören, raus
In der letzten Phase des eigentlichen Hacking-Prozesses nutzt der Cyberkriminelle seine erhöhte Kontrolle über das Gerät des Opfers, um vertrauliche Daten wie Anmeldedaten, Kreditkarteninformationen oder Dateien mit Geschäftsgeheimnissen zu stehlen. Ein Hacker kann auch die Dateien auf dem System zerstören, was besonders gefährlich ist, wenn das Opfer keine Sicherung für gestohlene und zerstörte Daten hat.
Was passiert normalerweise nach einem Hack?
In Fällen, in denen ein Hacker den Angriff heimlich angegangen ist, merkt das Opfer dies möglicherweise nicht, wodurch der Hacker ständig mit Material versorgt wird. Wenn das Opfer jedoch feststellt, dass es gehackt wurde, entfernt es möglicherweise die Malware und schließt die Hintertüren, die es finden kann.
Einige Organisationen zerstören kompromittierte Geräte, nur um auf Nummer sicher zu gehen. Sie beginnen auch, die Wirkung des Hacks zu neutralisieren. Wenn beispielsweise ein Hacker in das Netzwerk einer Bank eindringt und Kreditkarteninformationen stiehlt, würde die Bank sofort alle kompromittierten Karten deaktivieren.
Für die Hacker bedeutet der erfolgreiche Hack derweil Zahltag. Sie können das Opfer zu Lösegeld zwingen, das normalerweise über nicht nachvollziehbare Zahlungsmethoden gezahlt wird. Eine andere Möglichkeit besteht darin, die gestohlenen Daten an andere Cyberkriminelle zu verkaufen, die möglicherweise Verwendung dafür finden; um beispielsweise die Identität von jemandem zu stehlen, sein Geschäftsmodell zu kopieren oder proprietäre Software zu stehlen.
Sie können Hacking-Versuche verhindern
Hacker nutzen eine Reihe von Möglichkeiten, um potenzielle Opfer zu finden. Einige davon sind passiv und unkompliziert, während andere aktiv und anspruchsvoll sind. Aber keine Panik. Sichere Online-Praktiken und die Begrenzung der Informationen, die Sie online teilen, können verhindern, dass Sie zur Zielscheibe werden. Auch Best Practices und Tools für die Cybersicherheit wie VPNs und Anti-Malware können Sie vor Angriffen schützen.
