Cyber Kill Chain

Question 1

Wie lauten die 7 Stufen der Cyber Kill Chain?

Answer 1

1. Identifizierung des Ziels (Reconaissance)
2. Passende Angriffsmethode finden (Weaponization)
3. Gezielter Angriff (Delivery)
4. Ausnutzung von Schwachstellen (Exploitation)
5. Brückenkopf erstellen (Installation)
6. Command and Control (C2)
7. Ausführen von Aktionen (Actions on Control)

Question 2

Was passiert in der Recoinnaissance Phase?

Answer 2

• Informationen sammeln
• Social Media, Email, Firma
• Identifizierung des Ziels

Question 3

Was passiert in der Weaponization Phase?

Answer 3

• Malware, Exploit
• Firewall Scans
• Passende Angriffsmethode finden

Question 4

Was passiert in der Delivery Phase?

Answer 4

• Verteilung der Malware
• Email Kampagne, USB Sticks
• Social Media, Apps
• Gezielter Angriff

Question 5

Was passiert in der Exploitation Phase?

Answer 5

• Ausnutzung von Schachstellen
• Social Engineering
• Eternal Blue

Question 6

Was passiert in der Installationsphase?

Answer 6

• Installation der Malware (Emotet)

- Erstellung von Backdoors

Question 7

Was passiert in der Command and Control Phase?

Answer 7

• Öffnen der Verbindungen

- Nachladen von Schadcode

Question 8

Was passiert in der Ausführen von Aktionen Phase?

Answer 8

• Verschlüsseln von Daten

- Stehlen von Informationen

Question 9

Wie kann man sich gegen Reconnaissance Phase schützen?

Answer 9

• Scan detection
• Watch forums
• Control External Information

Question 10

Wie kann man sich gegen Phase 2/3 bspw. Email Phishin oder Spear Phishing schützen?

Answer 10

• Email Antivirus
• Email Sandbox
• geschulte bewusste User
• Least privilege
• Endpoint security
• User Access Controls hoch
• abgeschaltete oder nur signierte Makros zulassen

Question 11

Wie kann man sich gegen die 4. Phase (Exploitation) schützen? Ausnutzung von Schwachstellen (Bspw. Powershell Download Emtotet)

Answer 11

• Endpoint Security
• User Access hoch
• Eternal Blue patches
• Event detection / SIEM
• Strict URL Filter
• Firewall Ruleset
• Webfilter / Sandbox
• MFA

Question 12

Wie kann man sich gegen die 5. Phase (Installation) schützen?

Answer 12

• SIEM (Event detection)
• Firewall Ruleset
• no saved PW in Browser
• Zero Trust, least privilege
• Event detection at Perimeter incl source, target, dataflow
• Separate Netzwerke, Micro Segmentation

Question 13

Wie kann man sich gegen die 6. Phase (C&C) schützen?

Answer 13

• Perimeter security mit strengen Policies und Anomalie Detection

Question 14

Wie kann man sich gegen die 7. Phase (Actions on Control / Ausführen) schützen?

Answer 14

• Perimeter Security mit Web-Filter
• ATP Sandbox
• Strenge Policen
• File Integrity Checks
• Event detection
• Offline Backups Emergency Recover Plan
• Crisis Management