Es gibt mehrere Phasen eines aktiven Cyberangriffs und jede ist ein gefährliches Glied in einer komplexen Kill-Chain, die Kriminellen die Möglichkeit gibt, kritische Informationen in nativen und hybriden cloud Workloads und Benutzer- und IoT-Geräten auszuspähen, zu verbreiten und zu stehlen.
Die KI-gesteuerte Cognito-Plattform bietet einen umfassenden Einblick in alle Workloads und den Netzwerkverkehr von Vectra erkennt das Verhalten von Bedrohungen in jeder Phase des Lebenszyklus eines Angriffs in Echtzeit.
Phasen des Lebenszyklus eines Angriffs
Es ist wichtig zu wissen, wann ein Angriff von einer Phase in die nächste übergeht. So kann beispielsweise ein Angriff, der von der Phase der internen Aufklärung zur Phase der seitlichen Bewegung übergeht, bedeutender sein als die Summe seiner Teile.
Einige Ereignisse in den Phasen des Angriffslebenszyklus deuten eher auf gezielte Angriffe hin als andere. So kann z. B. ein opportunistisches Botnet-Monetarisierungsverhalten auf das Vorhandensein von Crimeware hinweisen, ist aber kein gezielter Angriff. Interne Aufklärungsmaßnahmen und seitliche Bewegungen sind jedoch starke Indikatoren für gezielte Angriffe.
Nachfolgend finden Sie eine Aufschlüsselung und allgemeine Beschreibung der einzelnen Phasen des Angriffslebenszyklus.
Befehl und Kontrolle
C&C-Verhalten tritt auf, wenn Geräte scheinbar unter der Kontrolle einer externen bösartigen Einheit stehen. Meistens erfolgt die Kontrolle automatisch, weil das Gerät Teil eines Botnets ist oder Adware oder Spyware installiert hat. Seltener, aber am wichtigsten, kann ein Gerät manuell von einem böswilligen Außenstehenden gesteuert werden. Dies ist der bedrohlichste Fall und bedeutet oft, dass der Angriff auf eine bestimmte Organisation abzielt.
Interne Erkundung
Angreifer verhalten sich aufklärerisch, wenn ein Gerät dazu verwendet wird, die Unternehmensinfrastruktur zu erkunden. Diese Aktivität ist oft Teil eines gezielten Angriffs, kann aber auch darauf hinweisen, dass Botnets versuchen, sich intern auf andere Geräte auszubreiten. Die Erkennungsarten umfassen schnelle und langsame Scans von Systemen, Netzwerkports und Benutzerkonten.
Seitliche Bewegung
Seitliche Bewegungen umfassen Szenarien mit seitlichen Aktionen, die einen gezielten Angriff unterstützen sollen. Dabei kann es sich um Versuche handeln, Anmeldeinformationen für Konten zu stehlen oder Daten von einem anderen Gerät zu stehlen. Es kann auch darum gehen, ein anderes Gerät zu kompromittieren, um die Position des Angreifers zu festigen oder näher an die Zieldaten heranzukommen. Diese Phase des Angriffslebenszyklus ist die Vorstufe zum Eindringen in private Rechenzentren und öffentliche Clouds.
Exfiltration von Daten
Datenexfiltration liegt vor, wenn Daten auf eine Art und Weise nach außen gesendet werden, die darauf abzielt, die Übertragung zu verbergen. Bei legitimen Datenübertragungen werden in der Regel keine Techniken zur Verschleierung der Übertragung eingesetzt. Das Gerät, das die Daten überträgt, der Ort, an dem es die Daten überträgt, die Datenmenge und die zum Senden verwendete Technik sind Indikatoren für Exfiltration.
Monetarisierung von Botnetzen
Botnets sind opportunistische Angriffe, bei denen ein Gerät Geld für seinen Bot-Herder verdient. Die Möglichkeiten, wie ein infiziertes Gerät zur Wertschöpfung eingesetzt werden kann, reichen vom Mining von Bitcoins über das Versenden von Spam-E-Mails bis hin zu gefälschten Werbeklicks. Um Profit zu machen, nutzt der Bot-Herder die Geräte, ihre Netzwerkverbindungen und vor allem den unbefleckten Ruf der ihnen zugewiesenen IP-Adressen.
Für weitere Informationen über das Verhalten von Bedrohungen in jeder Phase des Angriffslebenszyklus laden Sie den 2019 Attacker Behavior Industry Report herunter oder kontaktieren Sie uns unter vectra.ai/demo.