| Phasen des Killchain-Modells | Anmerkungen |
| Auskundschaften des Opfers | Der Angriff wird Geheimdiensten zugeschrieben. Laut Attribution wurde der Angriff der Gruppe Hafnium zugeordnet, die der chinesischen Regierung nahestehen soll. Angegriffen wurde kein gezieltes Unternehmen, sondern beliebige hunderttausende Exchange-Server weltweit. Zwischenzeitlich nutzen neben den Geheimdiensten auch andere Angreifer die Schwachstellen. |
| Ausbringen des Schadcodes | Angreifbar waren/sind die Exchange-Systeme, die über den Port 443 erreichbar waren (OWA) und keine weiteren Sicherheitsvorkehrungen aktiviert hatten. |
| Ausführen des Schadcodes | Es wurden verschiedene Software-Schwachstellen genutzt, um eine sogenannte Webshell zu installieren. Bei den Schwachstellen handelte es sich um sogenannte „Zero-Day“-Schwachstellen. Dies bedeutet, die Schwachstellen wurden umgehend ausgenutzt, noch bevor die Sicherheitslücken überhaupt geschlossen werden konnten. Webshells betreffen Webanwendungen, die mittels Skript-Sprachen wie Python oder PHP entwickelt werden. |
| Lateral Movement | Durch die platzierte Webshell wäre es möglich, dass sich der Angreifer weiter im Netzwerk fortbewegt, um an noch lohnendere Daten zu kommen. Ein Ziel könnte z. B. der Domaincontroller sein. Sollte der Angreifer aber „nur“ am Mailserver interessiert sein, hat er sein Ziel bereits erreicht. |
| Exfiltration / Aktionen | Was, wann nun geschieht, kommt darauf an, wer am „Keyboard sitzt“. Zum Beispiel könnten E-Mail exportiert, Passwörter gesammelt, Daten gelöscht, geändert oder verschlüsselt werden. |
| Verwischen der Spuren | In der letzten Phase der Killchain könnten Angreifer ihre Spuren verwischen. |
Was geschah beim Angriff auf den Exchange Server (Darstellung mittels Killchain-Modells)?
zurück
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.