# Cyber Kill Chain Die Cyber Kill Chain ist ein Modell, das von Lockheed Martin entwickelt wurde, um die Phasen eines Cyberangriffs zu beschreiben und zu verstehen. Es besteht aus sieben Hauptphasen, die im Folgenden detailliert erklärt werden. *`Überlegen Sie sich bei jedem Schritt, wie Sie die "Kette" durchtrennen können.`*
#### 1. Aufklärung (Reconnaissance) In dieser Phase sammeln Angreifer Informationen über ihr Ziel, um Schwachstellen und Angriffsmöglichkeiten zu identifizieren. Dies kann durch Open-Source Intelligence (OSINT), Social Engineering, Scanning von Netzwerken und anderen Methoden erfolgen.\ \ **Sicherheitsmassnahmen:** * **Informationen:**\ Veröffentlichen Sie auf Ihrer Webseite keine E-Mail-Adressen, Mobile Nr., Alter/Geburtsdaten, Namen und Vornamen (meistens Benutzernamen), welche die Angreifer für attacken verwenden können. * **Leaks:**\ Prüfen Sie auf [**https://haveibeenpwned.com/**](https://haveibeenpwned.com/), [**https://intelx.io**](https://intelx.io) & [**https://leakcheck.io**](https://leakcheck.io) ob geleakte Daten im Internet vorhanden sind, welche die Angreifer ausnutzen können. * **DNS Records:**\ Prüfen Sie auf [**https://subdomainfinder.c99.nl/**](https://subdomainfinder.c99.nl/) ob DNS-Records für Webzugänge wie webmail.ihredomain.ch vorhanden sind und löschen sie diese oder schützen Sie Webzugriffe mit 2FA. * **Exponiert:**\ Prüfen Sie auf [**https://www.shodan.io/**](https://www.shodan.io/) ob Server und Systeme von aussen erreichbar sind und schränken Sie die Zugänge ein. * **Einschränkungen:**\ Schränken Sie alle Logins von Aussen mit Massnahmen wie VPN, 2FA, Firewall und WAFs ein. * **Schwachstellen Scan:**\ Scannen Sie regelmässig von Aussen Ihr Netzwerk nach Schwachstellen mit [**https://hackertarget.com/**](https://hackertarget.com/) #### 2. Bewaffnung (Weaponization) Hier kombinieren die Angreifer die gesammelten Informationen mit Malware oder anderen Exploits, um ein bösartiges Paket zu erstellen. Dies kann ein Trojaner, ein Wurm oder eine speziell entwickelte Schadsoftware sein, die dazu bestimmt ist, auf das Zielsystem zu gelangen.

Über externe Foren und Plattformen kaufen die Angreifer ihre Werkzeuge ein

**Sicherheitsmassnahmen:** * **Updates:** \ Installieren Sie regelmässig die neusten Sicherheitsupdates auf Ihrem Router, Firewall, Drucker, Computer, Server, NAS etc. * BIOS Updates * Betriebssystem Updates (OS) * Treiber Updates * Firmware Updates * Software Updates * **Virtual Patching:**\ Teilweise stehen von den Herstellern keine Sicherheitsupdates zur Verfügung. \ Anbieter wie [Trend Micro ](https://www.trendmicro.com/de_de/it-security-best-practices/mit-virtual-patching-schwachstellen-schliessen.html)oder [0Patch ](https://0patch.com/)ermöglichen virtual patching.\ Auch Firewalls mit IPS ermöglichen sogenanntes virtual patching.

https://0patch.com/ für Windows

#### 3. Zustellung (Delivery) In dieser Phase wird das bösartige Paket an das Ziel übermittelt. Dies kann durch Phishing-E-Mails, infizierte Anhänge, Drive-by-Downloads oder andere Methoden geschehen, um die Malware auf das Zielsystem zu bringen. #### 4. Ausnutzung (Exploitation) Nach der Zustellung versucht die Malware, Schwachstellen im Zielsystem auszunutzen, um Code auszuführen. Dies kann das Ausnutzen von Sicherheitslücken in Software, Betriebssystemen oder Anwendungen beinhalten. #### 5. Installation (Installation) Hier wird die Malware auf dem Zielsystem installiert, um eine dauerhafte Präsenz zu gewährleisten. Dies kann durch das Kopieren von Dateien, das Ändern von Systemkonfigurationen oder das Installieren von Hintertüren (Backdoors) erfolgen. #### 6. Kommando und Kontrolle (Command and Control, C2) Nach der Installation stellt die Malware eine Verbindung zu einem Kontrollserver her, um Befehle zu empfangen und Daten an die Angreifer zurückzusenden. Diese Kommunikation ermöglicht es den Angreifern, das kompromittierte System zu steuern und weitere Aktionen durchzuführen. #### 7. Aktionen am Ziel (Actions on Objectives) In dieser letzten Phase führen die Angreifer ihre eigentlichen Ziele aus, wie Datendiebstahl, Sabotage, Spionage oder Erpressung. Dies kann das Exfiltrieren sensibler Daten, das Löschen von Dateien, das Verschlüsseln von Daten für Ransomware oder andere schädliche Aktivitäten umfassen. #### Fazit Das Verständnis der Cyber Kill Chain hilft Sicherheitsexperten, Angriffe frühzeitig zu erkennen und zu verhindern, indem sie die einzelnen Phasen überwachen und entsprechende Gegenmassnahmen ergreifen. Durch die Unterbrechung der Kette in einer der frühen Phasen können potenzielle Schäden minimiert oder ganz vermieden werden. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.iktsicherheit.ch/wiki/allgemein/cyber-kill-chain.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.