Ein Angriffsvektor oder Attack Vector bezeichnet sowohl einen Angriffsweg als auch eine Angriffstechnik, mittels derer ein Angreifer einen erfolgreichen Angriff auf ein IT-System oder -Dienst durchführt. Um das Ziel zu erreichen kann dieser Angriffsweg auch verteilt oder mehrstufig sein. In der Regel nutzt ein Angreifer dafür Sicherheitslücken / Schwachstellen in den IT-Systemen, Social Engineering bei den Nutzern, Hacking-Technologien für die Installation von Malware und weitere Angriffstechniken (wie Exploits, JavaScript-Code, Programme zum automatischen Auffinden von Schwachstellen oder Brute-Force-Angriffe). Sowie im Weiteren die Schadfunktion in der Malware (Keylogger, Ransomware, Trojanisches Pferd, Spyware, DDoS-Malware …) , um den speziellen Angriff auf dem Opfer-IT-System ausführen zu können. Je mehr potenzielle Angriffsvektoren vorhanden sind, desto höher ist die Wahrscheinlichkeit eines erfolgreichen Angriffes auf ein IT-System oder eine IT-Infrastruktur.
Beispiele von Angriffsvektoren, Cyber-Angriffe, Angriffsmethoden, Cyber-Attacken, Angriffsmöglichkeiten, Angriffstechniken und Angriffswege
Angriffsvektor: Malware-Infiltration über manipulierte Webseiten
Als erstes wird mit einem gezielten Hacking-Angriff auf den Webserver die Platzierung von Schadsoftware zur Durchführung eines Drive-by-Downloads unter Nutzung einer vorhandenen Schwachstelle auf dem Webserver umgesetzt. Um einen Nutzer (Opfer) zum Besuch der manipulierten Webseite zu motivieren kann beispielsweise ein Phishing-Angriff auf der Baisis von Social Engineering durchgeführt werden. Beim Zugriff auf die manipulierten Webseiten werden dann beim Drive-by-Download Sicherheitslücken des Browsers oder des Betriebssystems des Opfer-IT-Systems des Nutzers ausgenutzt, um Malware zu installieren. Mit der generalisierten installierten Malware kann dann der Angreifer spezielle Schadfunktionen nutzen, um das gekaperte IT-System gemäß seiner Ziele zu manipulieren.
Angriffsvektor: Malware-Infiltration über schadhafte E-Mail-Anhänge
Mit Hilfe von Sozialen- und Berufsnetzwerken werden die Vorlieben eines potenziellen Opfers analysiert. Mit diesen Kenntnissen wird dem Opfer eine persönliche Nachricht gesendet, die perfekt dazu verleitet, auf den Anhang der E-Mail zu klicken. Durch das Klicken wird ein Prozess ausgelöst, der ermöglicht, über vorhandene Schwachstellen eine Malware zu installieren. Damit ist die Übernahme der Kontrolle über das betroffene Opfer-IT-System umgesetzt. Anschließend nutzt der Angreifer entsprechende Schadfunktionen, um seine Ziele auf dem Opfer-IT-System umzusetzen.
Mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen (Advanced Persistent Threat – APT)
Ein Angreifer verschafft sich einen ersten Zugang auf ein IT-System in einem Unternehmen, wie bei dem Angriffsvektor 1 und 2 beschrieben. Dann sorgt der Angreifer mit der Schaffung einer individualisierten Malware dafür, dass er den Zugang etabliert, um sich im IT-System frei bewegen zu können und seine Spuren zu verwischen. Anschließend verschafft sich der Angreifer mit zusätzlichen Angriffstechniken mehr Administrationsrechte. Damit kann er die Kontrolle über weitere IT-Systeme bekommen und lateral in große Teile des Netzwerks zu gelangen. So sammelt der Angreifer umfangreiches Wissen über vorhandene Schwachstellen, Funktionen, Werte, usw. auf den IT-Systemen des Unternehmens und kann darüber eine Strategie für den eigentlichen Angriff entwickeln und erfolgreich umsetzen. Siehe auch Advanced Persistent Threat (APT).
Bei der Man-in-the-Middle-Angriffsmethode schleust sich ein Angreifer aktiv, aber heimlich – physisch oder logisch – in die Kommunikation zwischen mindestens zwei Kommunikationspartnern, mit dem Ziel Daten lesen oder manipulieren zu können. Die Kommunikationspartner bemerken diesen Eingriff nicht und gehen davon aus, dass sie direkt und vertraulich miteinander kommunizieren, da sich der Angreifer bei beiden Kommunikationspartnern jeweils als das wahrgenommene Gegenüber ausgibt. Durch einen Man-in-the-Middle-Angriff ist es möglich Passwörter oder weitere wichtige Daten mitzulesen, Kommunikationsverbindungen zum Beispiel nach einer Authentifikation zu übernehmen oder Daten zu manipulieren.
Angriff mithilfe eines Software-Updates (Supply Chain-Angriff)
Bei einem Supply Chain-Angriff oder Lieferketten-Angriff ist die prinzipielle Idee, dass ein vertrauenswürdiger Dienst (Software), der seit längerer Zeit bei einer Organisation/einem Unternehmen in Einsatz ist, irgendwann für einen Angriff verwendet wird. Hierfür missbraucht der Angreifer ein legitimiertes Software-Update, das der vertrauenswürdige Softwarehersteller zur Verfügung stellt, um Organisationen/Unternehmen anzugreifen (Angriffsvektor). Um diesen Angriff durchführen zu können, dringt der Angreifer zuerst in das IT-System des Dienstleisters (Supplier) – dem vertrauenswürdigen Softwarehersteller – ein und infiltriert zum Beispiel das Software-Update mit Malware. Dieser Angriff wird als Advanced Persistent Threat (APT) – mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen – durchgeführt. Voraussetzung für die weiteren Schritte des Angriffes ist, dass dieser Vorgang unbemerkt bleibt, von daher muss er an einer bestimmten Prozessstelle umgesetzt werden. Nur so lässt sich sicherstellen, dass das manipulierte Software-Update offiziell als Hersteller-Update digital signiert und somit als autorisierter Code vom Kunden akzeptiert und eingespielt wird. Darauf basierend kann, in einem zweiten Schritt, der Angreifer bei mehreren Tausend Organisationen gleichzeitig die Software des Herstellers nutzen, um die eigentlichen Angriffe umsetzen. Zum Beispiel Ransomware. Beipsiele dieser Angriffsmethode sind: Kaseya und SolarWinds.
Angriff auf die Verfügbarkeit von IT-Systeme (DDoS-Angriff)
Der Angreifer nutzt die Schwachstelle aus, dass IT-Systeme nur begrenzte Ressourcen (Bandbreite, CPU, RAM …) haben. Für den Angriff wird das IT-System gezielt mit einer großen Last spezieller Anfragen überflutet und dadurch überlastet und letztendlich lahmgelegt. Dies wird in der Regel unter Einsatz von Botnetzen, bei denen die Bots die Schadfunktion DDoS aktiviert haben, und weiteren Verstärkungsmechanismen wie Reflection und Amplification erfolgreich umgesetzt. Die Motivation der Angreifer ist vielfältig: Entweder soll so ein IT-System für eine definierte Zeit lahmgelegt werden, um beispielsweise einen Wettbewerber zu behindern oder es steckt eine erpresserische Absicht dahinter, um von dem angegriffenen Unternehmen eine bestimmte Summe verlangen zu können, damit der DDoS-Angriff gestoppt oder gar nicht erst durchgeführt wird.
Angriffsvektor: Missbräuchliche Ausnutzung einer Business-Beziehung mit einem High-Level-Phishing Angriff
Bei diesem Angriffsvektor erlagt ein Angreifer zum Beispiele mithilfe eines Malware-Keyloggers den Zugang zu einem E-Mail-Konto im Unternehmen. In der Vorbereitungsphase analysiert der Angreifer kontinuierlich die E-Mails des angegriffenen Mitarbeiters dahingehend, welche Informationen für einen Angriff verwendbar sind. Das kann zum Beispiel eine hohe Rechnung an einen langfristigen Kunden sein. Sobald diese über das E-Mail-Konto versendet wird, beginnt der Angriff. Im ersten Schritt wird dafür diese E-Mail zusammen mit allen alten Inhalten kopiert, im zweiten Schritt dann in der PDF-Rechnung die Kontonummer verändert. Nach einer sehr kurzen Zeitspanne erfolgt dann der Versand dieser E-Mail zusammen mit einer E-Mail, in der der Angreifer nachfragt, ob die Rechnung bereits beglichen wurde. Der Zeitpunkt muss so gewählt sein, dass es sehr unwahrscheinlich ist, dass eine Bezahlung bereits stattgefunden hat. Denn nur so ist es möglich das angegriffene Unternehmen dazu aufzufordern die Rechnung an eine neue Kontonummer zu überweisen, zum Beispiel mit der Begründung, dies sei aufgrund aktueller Sicherheitsvorkehrungen notwendig geworden. Wichtig ist, diese E-Mail wird seitens des Angreifers von einem anderen E-Mail-Konto versendet, damit der Mitarbeiter – dessen E-Mail-Account kompromittiert wurde – den Vorgang nicht mitbekommt. Trotzdem ist bei dieser E-Mail der eigentliche Mitarbeiter als Absender angegeben (Mail-Spoofing). Als Return-Pfad im E-Mail-Header ist jedoch eine andere E-Mail-Adresse angegeben, damit, falls der Empfänger eine Nachfrage hat, diese nicht bei dem Mitarbeiter des (angegriffenen) Unternehmens ankommt, denn ist in diesem Szenario zwingend notwendig, dass der Angreifer diese (eventuelle) E-Mail erhält, damit er entsprechend reagieren kann. Dass der Empfänger glaubt, die E-Mail kommt von der altbekannten Kundenbeziehung lässt sich dadurch erreichen, indem die Absenderadresse dieselbe ist und Fragmente älterer E-Mail integriert sind. Durch diese umfangreiche Vorarbeit ist sichergestellt, dass das angegriffene Unternehmen den geforderten Betrag auf das neue Konto überweist. Aufgrund längerer Zahlungsziele, zum Beispiel von sechs Wochen fällt den beteiligten Unternehmen nicht rechtzeitig auf, dass sie einem Phishing-Angriff ausgesetzt waren. Daher ist die Verfolgung des Vorfalls sehr schwer bis unmöglich.
Nutzung von homografischen Domänen für einen Angriff
Eine Ergänzung zum Angriffsvektor 7 im Business-Bereich ist, dass der Angreifer eine ähnliche Domäne, eine sogenannte homografische Domäne eines Unternehmens registriert, um diese für einen Angriff zu nutzen. Dies ist möglich, da die homografische Domäne Zeichen enthält, die der den Buchstaben der originalen Domäne ähnlich sind: Etwa die Ziffer 0, die dem Buchstaben O ähnelt oder der Buchstaben l (kleines L) und I (großes i). Beispiel für eine homografische Domäne: internet-sicherheit.de – im Original mit einem i am Anfang –, manipuliert mit einem kleingeschriebenen L also lnternet-sicherheit.de. Der Angreifer kann diese Domäne für einen E-Mail-Dienst nutzen, um sich so fälschlicherweise als das eigentliche Unternehmen auszugeben, da der Empfänger die Täuschung mit hoher Wahrscheinlichkeit nicht bemerkt. Dadurch ist es dem Angreifer möglich, mit einer beliebigen falschen E-Mail-Adresse eine Kommunikationsbeziehung mit einem Mitarbeiter eines beliebigen Kunden von dem anvisierten Unternehmen aufzubauen, denn Kommunikationsinhalte sowie die richtigen Kommunikationspartner lassen sich leicht und strukturiert über Webseiten, Social Media-Kanäle sowie Businessnetzwerke ermitteln. So ist es möglich einen hohen Schaden anzurichten, beispielsweise bezüglich der Reputation: Aufkündigung von Verträgen oder Veränderung von Konditionen zuungunsten des Unternehmens.
Ein Steuerberater erhält per E-Mail die Mitteilung, dass über einen längeren Zeitraum eine Kopie seiner kompletten Mandantenkartei angefertigt wurde. In der gleichen E-Mail fordert der Angreifer den Steuerberater auf, 100.000 Euro zu zahlen, da er ansonsten den gesamten Datenbestand veröffentlichen würde. Zum Beweis, dass der Steuerberater nicht kontinuierlich zahlen müsse, übersendet der Angreifer, als Zeichen seiner Vertrauenswürdigkeit, eine Referenzliste. In dieser waren die Kontaktdaten derjenigen Steuerbüros aufgeführt, die aufgrund der Zahlung tatsächlich eine Veröffentlichung dauerhaft abgewendet haben. Interessant ist in diesem Fall auch die Frage bezüglich der Höhe des geforderten Betrags – also warum nicht 50.000 oder 250.000 Euro? Die Erklärung dafür lieferten im Weiteren die Experten, die der Steuerberater zur Hilfe holte. Diese fanden heraus, dass der Angreifer sich tief in die IT des Steuerberaters eingenistet hatte. Das ließ den Schluss zu, dass es sich nicht um Freizeit-Hacker handelte, sondern ein Profi mit einem langfristigen „Geschäftsmodell“ am Werk war, der die Lösegeldzahlung als einmalige und deshalb für die Opfer lohnenswerte Investition sieht. Zur Ermittlung der Summe hatte der Angreifer jahrelang jede digitale Bewegung beobachtet, geduldig die betriebswirtschaftliche Entwicklung des Steuerbüros verfolgt und dann zugeschlagen als das Geschäft für ihn einträglich, aber gleichzeitig für den Steuerberater wirtschaftlich verkraftbar war.
Ein Angriffsvektor bezeichnet sowohl einen Angriffsweg als auch eine Angriffstechnik, mittels derer ein Angreifer einen erfolgreichen Angriff auf ein IT-System oder -Dienst durchführt. Um das Ziel zu erreichen kann dieser Angriffsweg auch verteilt oder mehrstufig sein.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Angriffsvektor Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
