Ein Angriffsvektor oder Attack Vector bezeichnet sowohl einen Angriffsweg als auch eine Angriffstechnik, mittels derer ein Angreifer einen erfolgreichen Angriff auf ein IT-System oder -Dienst durchführt. Um das Ziel zu erreichen kann dieser Angriffsweg auch verteilt oder mehrstufig sein. In der Regel nutzt ein Angreifer dafür Sicherheitslücken / Schwachstellen in den IT-Systemen, Social Engineering bei den Nutzern, Hacking-Technologien für die Installation von Malware und weitere Angriffstechniken (wie Exploits, JavaScript-Code, Programme zum automatischen Auffinden von Schwachstellen oder Brute-Force-Angriffe). Sowie im Weiteren die Schadfunktion in der Malware (Keylogger, Ransomware, Trojanisches Pferd, Spyware, DDoS-Malware …) , um den speziellen Angriff auf dem Opfer-IT-System ausführen zu können. Je mehr potenzielle Angriffsvektoren vorhanden sind, desto höher ist die Wahrscheinlichkeit eines erfolgreichen Angriffes auf ein IT-System oder eine IT-Infrastruktur.
Beispiele von Angriffsvektoren, Cyber-Angriffe, Angriffsmethoden, Cyber-Attacken, Angriffsmöglichkeiten, Angriffstechniken und Angriffswege
Angriffsvektor: Malware-Infiltration über manipulierte Webseiten
Als erstes wird mit einem gezielten Hacking-Angriff auf den Webserver die Platzierung von Schadsoftware zur Durchführung eines Drive-by-Downloads unter Nutzung einer vorhandenen Schwachstelle auf dem Webserver umgesetzt. Um einen Nutzer (Opfer) zum Besuch der manipulierten Webseite zu motivieren kann beispielsweise ein Phishing-Angriff auf der Baisis von Social Engineering durchgeführt werden. Beim Zugriff auf die manipulierten Webseiten werden dann beim Drive-by-Download Sicherheitslücken des Browsers oder des Betriebssystems des Opfer-IT-Systems des Nutzers ausgenutzt, um Malware zu installieren. Mit der generalisierten installierten Malware kann dann der Angreifer spezielle Schadfunktionen nutzen, um das gekaperte IT-System gemäß seiner Ziele zu manipulieren.
Angriffsvektor: Malware-Infiltration über schadhafte E-Mail-Anhänge
Mit Hilfe von Sozialen- und Berufsnetzwerken werden die Vorlieben eines potenziellen Opfers analysiert. Mit diesen Kenntnissen wird dem Opfer eine persönliche Nachricht gesendet, die perfekt dazu verleitet, auf den Anhang der E-Mail zu klicken. Durch das Klicken wird ein Prozess ausgelöst, der ermöglicht, über vorhandene Schwachstellen eine Malware zu installieren. Damit ist die Übernahme der Kontrolle über das betroffene Opfer-IT-System umgesetzt. Anschließend nutzt der Angreifer entsprechende Schadfunktionen, um seine Ziele auf dem Opfer-IT-System umzusetzen.
Mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen (Advanced Persistent Threat – APT)
Ein Angreifer verschafft sich einen ersten Zugang auf ein IT-System in einem Unternehmen, wie bei dem Angriffsvektor 1 und 2 beschrieben. Dann sorgt der Angreifer mit der Schaffung einer individualisierten Malware dafür, dass er den Zugang etabliert, um sich im IT-System frei bewegen zu können und seine Spuren zu verwischen. Anschließend verschafft sich der Angreifer mit zusätzlichen Angriffstechniken mehr Administrationsrechte. Damit kann er die Kontrolle über weitere IT-Systeme bekommen und lateral in große Teile des Netzwerks zu gelangen. So sammelt der Angreifer umfangreiches Wissen über vorhandene Schwachstellen, Funktionen, Werte, usw. auf den IT-Systemen des Unternehmens und kann darüber eine Strategie für den eigentlichen Angriff entwickeln und erfolgreich umsetzen. Siehe auch Advanced Persistent Threat (APT).
Bei der Man-in-the-Middle-Angriffsmethode schleust sich ein Angreifer aktiv, aber heimlich – physisch oder logisch – in die Kommunikation zwischen mindestens zwei Kommunikationspartnern, mit dem Ziel Daten lesen oder manipulieren zu können. Die Kommunikationspartner bemerken diesen Eingriff nicht und gehen davon aus, dass sie direkt und vertraulich miteinander kommunizieren, da sich der Angreifer bei beiden Kommunikationspartnern jeweils als das wahrgenommene Gegenüber ausgibt. Durch einen Man-in-the-Middle-Angriff ist es möglich Passwörter oder weitere wichtige Daten mitzulesen, Kommunikationsverbindungen zum Beispiel nach einer Authentifikation zu übernehmen oder Daten zu manipulieren.
Angriff mithilfe eines Software-Updates (Supply Chain-Angriff)
Bei einem Supply Chain-Angriff oder Lieferketten-Angriff besteht die grundlegende Idee darin, dass ein vertrauenswürdiger Dienst, also eine Software, die bereits seit längerer Zeit bei einer Organisation/einem Unternehmen eingesetzt wird, später für einen Angriff verwendet wird. Dafür missbraucht der Angreifer ein legitimiertes Software-Update, das der vertrauenswürdige Softwarehersteller zur Verfügung stellt, um Organisationen/Unternehmen anzugreifen (Angriffsvektor).
Um diesen Angriff durchführen zu können, dringt der Angreifer zuerst in das IT-System des Dienstleisters (Supplier) – dem vertrauenswürdigen Softwarehersteller – ein und infiltriert zum Beispiel das Software-Update mit Malware. Dieser Angriff wird als Advanced Persistent Threat (APT) – mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen – durchgeführt. Voraussetzung für die weiteren Schritte des Angriffes ist, dass dieser Vorgang unbemerkt bleibt, von daher muss er an einer bestimmten Prozessstelle umgesetzt werden. Nur so lässt sich sicherstellen, dass das manipulierte Software-Update offiziell als Hersteller-Update digital signiert und somit als autorisierter Code vom Kunden akzeptiert und eingespielt wird. Darauf basierend kann, in einem zweiten Schritt, der Angreifer bei mehreren Tausend Organisationen gleichzeitig die Software des Herstellers nutzen, um die eigentlichen Angriffe umsetzen. Zum Beispiel Ransomware. Beipsiele dieser Angriffsmethode sind: Kaseya und SolarWinds.
Angriff auf die Verfügbarkeit von IT-Systeme (DDoS-Angriff)
Der Angreifer nutzt die Schwachstelle aus, dass IT-Systeme nur begrenzte Ressourcen (Bandbreite, CPU, RAM …) haben. Für den Angriff wird das IT-System gezielt mit einer großen Last spezieller Anfragen überflutet und dadurch überlastet und letztendlich lahmgelegt. Dies wird in der Regel unter Einsatz von Botnetzen, bei denen die Bots die Schadfunktion DDoS aktiviert haben, und weiteren Verstärkungsmechanismen wie Reflection und Amplification erfolgreich umgesetzt. Die Motivation der Angreifer ist vielfältig: Entweder soll so ein IT-System für eine definierte Zeit lahmgelegt werden, um beispielsweise einen Wettbewerber zu behindern oder es steckt eine erpresserische Absicht dahinter, um von dem angegriffenen Unternehmen eine bestimmte Summe verlangen zu können, damit der DDoS-Angriff gestoppt oder gar nicht erst durchgeführt wird.
Angriffsvektor: Missbräuchliche Ausnutzung einer Business-Beziehung mit einem High-Level-Phishing Angriff
Bei diesem Angriffsvektor verschafft sich ein Angreifer beispielsweise mithilfe eines Malware-Keyloggers den Zugang zu einem E-Mail-Konto im Unternehmen. Anschließend analysiert er in der Vorbereitungsphase kontinuierlich die E-Mails des betroffenen Mitarbeiters. Dadurch findet er heraus, welche Informationen sich für einen Angriff eignen. Das kann zum Beispiel eine hohe Rechnung an einen langfristigen Kunden sein.
Sobald diese über das E-Mail-Konto versendet wird, beginnt der Angriff. Zunächst kopiert der Angreifer die E-Mail einschließlich aller bisherigen Inhalte. Danach verändert er in der PDF-Rechnung die Kontonummer. Kurz darauf versendet er die manipulierte E-Mail zusammen mit einer weiteren Nachricht. Dabei behauptet er beispielsweise, dass dies aufgrund aktueller Sicherheitsvorkehrungen notwendig sei.
Wichtig ist außerdem, dass diese E-Mail von einem anderen E-Mail-Konto des Angreifers versendet wird. Dadurch bemerkt der eigentliche Mitarbeiter, dessen E-Mail-Konto kompromittiert wurde, den Vorgang nicht. Trotzdem ist bei dieser E-Mail der eigentliche Mitarbeiter als Absender angegeben (Mail-Spoofing).
Zusätzlich wird im Return-Pfad des E-Mail-Headers eine andere E-Mail-Adresse hinterlegt. Dadurch gelangen mögliche Rückfragen des Empfängers nicht zum betroffenen Unternehmen. Stattdessen erhält der Angreifer die Nachricht selbst und kann entsprechend reagieren.
Der Empfänger glaubt, dass die E-Mail aus der bekannten Kundenbeziehung stammt. Das gelingt, weil dieselbe Absenderadresse verwendet und Fragmente älterer E-Mails übernommen werden. Durch diese umfangreiche Vorbereitung ist sichergestellt, dass das angegriffene Unternehmen den geforderten Betrag auf das neue Konto überweist.
Da Zahlungsziele häufig mehrere Wochen betragen, bemerken die beteiligten Unternehmen den Phishing-Angriff meist nicht rechtzeitig. Daher ist die Verfolgung des Vorfalls sehr schwer bis unmöglich.
Nutzung von homografischen Domänen für einen Angriff
Eine Ergänzung zum Angriffsvektor 7 im Business-Bereich ist, dass der Angreifer eine ähnliche Domäne, also eine sogenannte homografische Domäne, eines Unternehmens registriert. Anschließend nutzt er diese Domäne für einen Angriff.
Dies ist möglich, da die homografische Domäne Zeichen enthält, die den Buchstaben der originalen Domäne sehr ähnlich sehen. Beispielweise kann die Ziffer 0 anstelle des Buchstaben O verwendet werden. Ebenso kann ein kleines l (kleines L) anstelle eines großen I (großes i) eingesetzt werden.
Ein Beispiel ist die Domäne internet-sicherheit.de. Dabei beginnt die originale Adresse mit einem i am Anfang. Die manipulierte Variante verwendet stattdessen ein kleines L am Anfang. Dadurch wirkt die Adresse auf den ersten Blick nahezu identisch.
Der Angreifer kann diese Domäne für einen E-Mail-Dienst nutzen, um sich fälschlicherweise als das eigentliche Unternehmen auszugeben. Da der Unterschied nur sehr schwer zu erkennen ist, bemerkt der Empfänger die Täuschung häufig nicht.
Außerdem kann der Angreifer mit einer beliebigen falschen E-Mail-Adresse eine Kommunikationsbeziehung zu einem Mitarbeiter eines beliebigen Kunden aufbauen. Denn Informationen über Kommunikationsinhalte sowie die richtigen Ansprechpartner lassen sich häufig über Webseiten, Social Media-Kanäle oder Businessnetzwerke leicht ermitteln.
Dadurch kann der Angreifer erheblichen Schaden verursachen. Beispielsweise kann die Reputation eines Unternehmen leiden. Außerdem können Verträge gekündigt oder Konditionen zugunsten des Angreifers verändert werden.
Ein Steuerberater erhält per E-Mail die Mitteilung, dass über einen längeren Zeitraum eine Kopie seiner kompletten Mandantenkartei angefertigt wurde. Außerdem fordert der Angreifer den Steuerberater in derselben E-Mail auf, 100.000 Euro zu zahlen. Andernfalls werde der gesamte Datenbestand veröffentlicht.
Zum Beweis, dass keine regelmäßigen Zahlungen erforderlich sind, übersendet der Angreifer, als Zeichen seiner Vertrauenswürdigkeit, eine Referenzliste. Darin sind Steuerbüros aufgeführt, die durch ihre Zahlung eine dauerhafte Veröffentlichung ihrer Daten verhindern konnten. Dadurch möchte der Angreifer seine Glaubwürdigkeit erhöhen.
Interessant ist außerdem die Frage, warum genau 100.000 Euro gefordert werden. Warum verlangt der Angreifer nicht nicht 50.000 oder 250.000 Euro? Die Erklärung dafür liefern die Experten, die der Steuerberater zur Unterstützung hinzuzieht.
Die Experten stellen fest, dass sich der Angreifer tief in die IT des Steuerberaters eingenistet hat. Dadurch kommen sie zu dem Schluss, dass es sich nicht um einen Freizeit-Hacker handelt. Vielmehr handelt es sich um einen Profi mit einem langfristigen „Geschäftsmodell“. Dabei betrachtet der Angreifer die Lösegeldzahlung als eine einmalige und deshalb lohnenswerte Investition.
Um die Höhe der Forderung festzulegen, beobachtet der Angreifer über Jahre hinweg jede digitale Bewegung. Außerdem verfolgt er geduldig die betriebswirtschaftliche Entwicklung des Steuerbüros. Erst dann schlägt er zu, wenn das Geschäft für ihn besonders erträglich ist, aber gleichzeitig die Zahlung für den Steuerberater wirtschaftlich noch verkraftbar erscheint.
Ein Angriffsvektor bezeichnet sowohl einen Angriffsweg als auch eine Angriffstechnik, mittels derer ein Angreifer einen erfolgreichen Angriff auf ein IT-System oder -Dienst durchführt. Um das Ziel zu erreichen kann dieser Angriffsweg auch verteilt oder mehrstufig sein.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Angriffsvektor Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten