Zum Inhalt

MITRE ATT&CK

Was ist MITRE ATT&CK?

MITRE ATT&CK ist eine allgemein zugängliche Wissensbasis für cyberkriminelle Taktiken und Techniken, die auf realen Beobachtungen basiert. Diese Taktiken und Techniken werden in einer Reihe von Matrizen angezeigt, die nach Angriffsstufen angeordnet sind (vom ersten Zugriff bis hin zum Datendiebstahl oder der Fremdsteuerung durch Hacker).

ATT&CK steht für Adversarial Tactics, Techniques, & Common Knowledge. Taktiken beschäftigen sich mit der Angriffsursache. Techniken zeigen hingegen, wie Angreifer ihre Ziele mit bestimmten Aktionen erreichen. Common Knowledge ist im Wesentlichen die Dokumentation von Abläufen von Angriffen.

MITRE-Angriffskette.

Framework-Definitionen

  • Initial Access (Erstzugriff): Angreifer versuchen, durch gezieltes Spear-Phishing und die Ausnutzung von Schwachstellen auf öffentlichen Webservern in Ihr Netzwerk einzudringen
  • Execution (Ausführung): Angreifer versuchen, schädlichen Code auf einem lokalen oder Remote-System auszuführen, um umfassendere Ziele zu erreichen, wie die Untersuchung eines Netzwerks oder den Diebstahl von Daten
  • Persistence (Persistenz): Angreifer versuchen, trotz Neustarts, neuer Zugangsdaten usw. im Netzwerk verbleiben zu können
  • Privilege Escalation (Rechteausweitung): Angreifer versuchen, höhere Zugriffsrechte für ein System oder Netzwerk zu erlangen, indem sie Systemschwächen, Fehlkonfigurationen und Schwachstellen ausnutzen
  • Defense Evasion (Umgehung der Abwehr): Angreifer versuchen, der Erkennung zu entgehen, indem sie Sicherheitssoftware deinstallieren/deaktivieren oder Daten und Skripte verschleiern/verschlüsseln
  • Credential Access (Zugriff mit Anmeldeinformationen): Angreifer versuchen, Kontonamen und Kennwörter zu stehlen, um Zugang zu Systemen zu erhalten, wodurch diese viel schwieriger zu erkennen sind
  • Discovery (Erkundung): Angreifer versuchen, mehr über Ihre Umgebung zu erfahren, indem sie Kenntnisse über das System und das interne Netzwerk erlangen
  • Lateral Movement (Laterale Bewegung): Angreifer versuchen, sich durch Ihre Umgebung zu bewegen, um ihr Ziel zu finden und anschließend Zugriff darauf zu erhalten
  • Collection (Datenerfassung): Angreifer versuchen, relevante Daten zu sammeln
  • Command and Control: Angreifer versuchen, mit dem kompromittierten System zu kommunizieren und sich so die Kontrolle zu verschaffen
  • Exfiltration: Angreifer versuchen, Daten aus Ihrem Netzwerk zu stehlen, und verpacken diese oft, um beim Entfernen der Daten unerkannt zu bleiben
  • Impact (Auswirkung): Angreifer versuchen, Ihre Systeme und Daten zu manipulieren, zu beeinträchtigen oder zu vernichten, um die Verfügbarkeit zu unterbrechen oder die Integrität zu gefährden, indem sie Geschäfts- und Betriebsprozesse manipulieren

Weitere Informationen zum MITRE ATT&CK-Framework finden Sie unter https://attack.mitre.org/.

Verbinden von Alarm-Daten und MITRE ATT&CK

Wenn Sophos MDR auf einem Gerät (Endpoint oder Server) aktiviert oder eine Integration hinzugefügt wurde, erfassen und analysieren wir beständig Gerätedaten in der MDR-Plattform. Durch die Analyse der Daten und die Ausrichtung am MITRE-Framework verfügt das MDR-Ops-Team über eine standardisierte Methode zur Kategorisierung der Daten nach Techniken und Taktiken und kann einfacher feststellen, wie ein Angreifer Software-Schwachstellen in Client-Anwendungen ausnutzt.

Firewalls überwachen den ein- und ausgehenden Netzwerkverkehr auf der Grundlage der zuvor festgelegten Sicherheitsrichtlinien eines Unternehmens.

Beispiele für Erkennungen

  • Versuch von Apache Log4j-Protokollierung, Remotecode auszuführen
  • Ausgehende Verbindung MALWARE-CNC Win.Trojan.Mirage
  • ELECTRICFISH Command-and-Control-Traffic-Erkennung
  • Nette-Code-Injektions-Schwachstelle

Beispiele für Threat-Hunting-Erkennungen

  • Übermäßige Ablehnungen – Böswillige Kommunikationsversuche und Erkennung falsch konfigurierter Geräte
  • Malware-Beaconing – Hosts senden per Beaconing zurück an einen C2-Server (Command and Control)
  • Interne ICMP-Scans – Böswillige Akteure versuchen, die Netzwerkumgebung eines Ziels zu scannen und abzubilden

Drei MITRE-Taktiken, die mit Firewall-Daten erkannt werden können

  • C2 – Angreifer versuchen, mit dem kompromittierten System zu kommunizieren und sich so die Kontrolle zu verschaffen
  • Initial Access (Erstzugriff) – Angreifer versuchen, sich Zugriff auf Ihr Netzwerk zu verschaffen
  • Credential Access (Zugriff mit Anmeldeinformationen) – Angreifer versuchen, Benutzernamen und Kennwörter zu stehlen

Public-Cloud-Sicherheitstools bieten Sicherheit und Compliance für Cloud-Dienste wie AWS, Microsoft Azure, Google Cloud und Kubernetes.

Beispiele für Erkennungen

  • Impact (Auswirkung): EC2/BitcoinDomainRequest.Reputation
  • Backdoor: EC2/C2-Aktivität
  • Discovery (Erkundung): S3/MaliciousIPCaller
  • Freistehender DNS-Datensatz für eine App-Serviceressource ermittelt

Beispiele für Threat-Hunting-Erkennungen

  • Absicherung der Cloud-Umgebung – Identifizieren von Assets, die aktualisiert werden müssen, Ports, die geschlossen werden müssen, und/oder Erzwingen von MFA
  • Suche nach böswilligem oder ungewöhnlichem Verhalten – Identifizieren von Änderungen von Berechtigungen oder Aktionen, die ein Benutzer außerhalb der üblichen Arbeitszeiten noch nie zuvor ausgeführt hat, und Admin-Ports, die dem Internet ausgesetzt sind (z. B. RDP/SSH)

Drei MITRE-Taktiken, die mit Cloud-Daten erkannt werden können

  • Persistence (Persistenz) – Angreifer versuchen, ihre Position im Netzwerk zu verteidigen
  • Privilege Escalation (Rechteausweitung) – Angreifer versuchen, höhere Zugriffsrechte zu erlangen
  • Credential Access (Zugriff mit Anmeldeinformationen) – Angreifer versuchen, Benutzernamen und Kennwörter zu stehlen

E-Mail-Sicherheitstools bieten Bedrohungsschutz vor Phishing, schädlichen URLs, DLP und Scannen von Anhängen.

Beispiele für Erkennungen

  • Malware-Kampagne in SharePoint und OneDrive erkannt
  • Erhöhung der Exchange-Administratorrechte
  • Benutzerzugriff auf Link in ZAP-isolierter E-Mail
  • Unsicherer E-Mail-Anhang

Beispiele für Threat-Hunting-Erkennungen

  • Endbenutzer haben auf verdächtige Links geklickt
  • Phishing-Artefakte wurden zurückgelassen
  • Ein Endpoint hat eine ausführbare Datei blockiert, nachdem ein E-Mail-Anhang geöffnet wurde
  • Unerwartete E-Mail-Adressen wurden zu den Weiterleitungseinstellungen hinzugefügt

Drei MITRE-Taktiken, die mit E-Mail-Daten erkannt werden können

  • Initial Access (Erstzugriff) – Angreifer versuchen, sich Zugriff auf Ihr Netzwerk zu verschaffen
  • Impact (Auswirkung) – Angreifer versuchen, höhere Zugriffsrechte zu erlangen
  • Execution (Ausführung) – Angreifer versuchen, Schadcode auszuführen

Identity Access Management-Tools (IAM) verwalten digitale Identitäten und den Benutzerzugriff auf Daten, Systeme und Ressourcen innerhalb eines Unternehmens.

Beispiele für Erkennungen

  • Fehlgeschlagene Anmeldungen
  • Privilege Escalation (Rechteausweitung) – Erstmalige Nutzung einer Berechtigung
  • Domänen-Richtlinienänderungen
  • Erster Remote-Zugriff auf Host

Beispiele für Threat-Hunting-Erkennungen

  • Fehlerrate im Anmeldefluss – Mehr Fehler mit falschem Benutzernamen oder falschem Kennwort, was auf „Credential Stuffing“ hinweisen könnte
  • Rate der Ereignisse zum Schutz vor Angriffen – Ungewöhnlich hoher Datenverkehr bezüglich Ereignissen zum Schutz vor Angriffen, z. B. Erkennung kompromittierter Kennwörter oder Brute-Force-Angriffe für mehrere Konten

Drei MITRE-Taktiken, die mit Identitätsdaten erkannt werden können

  • Credential Access (Zugriff mit Anmeldeinformationen) – Angreifer versuchen, Benutzernamen und Kennwörter zu stehlen
  • Defense Evasion (Umgehung der Abwehr) – Angreifer versuchen, unerkannt zu bleiben
  • Privilege Escalation (Rechteausweitung) – Angreifer versuchen, höhere Zugriffsrechte zu erlangen

Netzwerksicherheitstools verwenden in der Regel eine Kombination aus Datenanalyse und maschinellem Lernen, um Anomalien im Netzwerkdatenverkehr zu erkennen und das Unternehmensnetzwerk vor Bedrohungen zu schützen.

Beispiele für Erkennungen

  • Backdoor: Mirai.Botnet
  • CVE-2014-6278 – SHELLSHOCK-HTTP-Exploit
  • SaaS-Ressourcen gelöscht
  • Führt Befehle aus oder verwendet API, um Systeminformationen abzurufen

Beispiele für Threat-Hunting-Erkennungen

  • Korrelation von Netzwerkdaten – Mit Prozessinformationen, um Daten-Staging-Aktivitäten wie Archivierung von Dateien zu erkennen
  • Trendkampagnen – Erkennen von Zero-Day-Exploit-Kampagnen wie log4j
  • Ermittlung dunkler Entitäten/nicht verwalteter Geräte – Auffinden von Geräten ohne EDR-Schutz
  • Erkennung von Algorithmus zur Domänengenerierung – Identifizieren von Quellen, die mit DGA-Servern kommunizieren

Drei MITRE-Taktiken, die mit Netzwerkdaten erkannt werden können

  • C2 – Angreifer versuchen, mit dem kompromittierten System zu kommunizieren und sich so die Kontrolle zu verschaffen
  • Discovery (Erkundung) – Angreifer versuchen, sich einen Überblick über Ihre Umgebung zu verschaffen
  • Exfiltration – Angreifer versuchen, Daten zu stehlen