All Rights Reserved. WK IT GmbH
Die 5 Phasen eines Hackerangriffs erklärt
Phase 1: Die Aufklärung
Die Aufklärungsphase umfasst den Großteil eines Hackerangriffs (70 – 80 %). Hierbei handelt es sich vor allem um Recherchetätigkeiten.
Der Hacker sucht nach einem passenden Ziel und ermittelt, welche Informationen das Angriffsziel mehr oder weniger freiwillig öffentlich verfügbar macht. Dazu gehört beispielsweise das Herausfinden des IP-Adressbereichs, des Netzwerks und der DNS-Einträge.
Im Hauptfokus steht das Threat Modeling (deutsch: Bedrohungsmodellierung) und die Schwachstellenanalyse der gefundenen Informationen. Sie bilden die Grundlage für das weitere Angriffsvorgehen.
Für die Aufklärungsphase nutzen Angreifer verschiedene aktive und passive Methoden wie OSINT oder Foodprinting. Das identifizierte Ziel ist zu diesem Zeitpunkt noch ahnungslos.
Phase 2: Das Eindringen
In Phase 2 verschafft der Hacker sich Zugang, indem er die in Phase 1 entdeckte Schwachstelle gezielt ausnutzt. Er erlangt die Kontrolle über ein oder mehrere Netzwerkgeräte oder Systeme, um von dort aus weitere Ziele angreifen zu können. Dies führt uns zu Phase 3.
Phase 3: Das Querbewegen
Der Hacker versucht, sich von dem eingeschränkten Gerät aus Phase 2 weiter im Unternehmensnetzwerk zu verbreiten. Der Fokus liegt hier vor allem auf high value targets wie Datenbanken. Er setzt sich noch weiter im Netzwerk des Opfers fest, um Daten und Systeme zu kompromittieren.
Phase 4: Das Eskalieren der Privilegien
In dieser Phase des Angriffs weitet der Hacker die vorher erworbenen Rechte aus. Sein Ziel ist es, administrative Rechte (z. B. Lokaler, Exchange- oder SQL-Administrator) zu erlangen. Im Optimalfall schafft er es sogar, zum Domain Administrator zu werden. Ab diesem Zeitpunkt ist es dem Angreifer möglich, sich alle notwendigen Rechte selbst zu erteilen, ohne dafür das System weiter hacken zu müssen.
Phase 5: Der Abschluss der Mission
Nun ist es zu spät, um die Cyberbedrohung zu stoppen, die bereits Monate vor ihrer Entdeckung begann. Die Vertraulichkeit, Verfügbarkeit oder Integrität der Daten und Geräte ist nicht mehr vorhanden. Der Hacker kann Daten verändern oder den Zugriff auf Daten durch Denial of Service (DoS) Angriffe verhindern. Ebenfalls werden in dieser Phase Beweise wie Events und Wiederherstellungsmöglichkeiten wie Schattenkopien gelöscht.
Der neueste Trend ist das Verschlüsseln von Daten oder die Daten zunächst abfließen zu lassen und anschließend zu verschlüsseln. Auf diese Art und Weise kann der Angreifer das geschädigte Unternehmen teilweise sogar mehrfach um Lösegeld erpressen.
