Das ATT&CK Framework von MITRE hat sich im Bereich der IT-Sicherheit branchenweit als die Wissensdatenbank für TTPs, also Taktiken, Techniken und Prozeduren etabliert, die beschreibt, welche Methoden Angreifer bei einer Cyberattacke verwenden. Wie die Wissensdatenbank funktioniert und wie diese zur Absicherung der Infrastruktur genutzt werden kann, beschreibt der folgende Artikel.
Der Inhalt im Überblick
Wie ist die Matrix aufgebaut?
Bei MITRE handelt es sich um eine amerikanische Non-Profit-Organisation, welche ursprünglich 2013 zur Beratung der Regierung gegründet wurde. Hieraus entstand das Project „Adversarial Tactics, Techniques (ATT) & Common Knowledge (CK)“. Zwei Jahre später wurde dieses der Öffentlichkeit frei zugänglich gemacht. Die Taktiken, Techniken und Prozeduren lassen sich wie folgt beschreiben:
Angreifer Taktiken
Die Taktiken repräsentieren im Wesentlichen das „Warum“ einer Technik. Sie geben einer Technik mehr Kontext und zeigen das Verhalten eines Angreifers auf. So ist beispielsweise der Grund für Reconnaissance die Weiterverwendung der gesammelten Daten im Verlauf eines Angriffs.
Angreifer Techniken
Die Techniken zeigen das „Wie“ auf. Das heißt, mit welcher Methode die Angreifer ihr taktisches Ziel erreichen. Um sich mit gestohlenen Zugängen an einem System anzumelden, zeigt eine Technik des Frameworks auf, wie diese Zugänge gestohlen werden können.
Angreifer Prozeduren
Die Prozeduren beschreiben die spezielle Umsetzung einer Technik oder Unterkategorie. Zum Beispiel wird dargestellt, wie ein Angreifer PowerShell verwendet, um Zugänge mit Hilfe eines bestimmten Prozesses aus dem Arbeitsspeicher des Systems zu extrahieren.
Kategorien der Att&ck Matrix
Mittlerweile umfasst die Matrix die folgenden, drei Bereiche mit ihren jeweiligen Unterkategorien:
- Enterprise (PRE, Windows, macOS, Linux, Cloud, Network, Containers)
- Mobile (Android, iOS)
- Industrial Control Systems
In diesem Artikel wollen wir in erster Linie die Methoden für einen Angriff auf eine Enterprise-Umgebung eingehen und aufzeigen, wie die einzelnen Angriffsphasen von dem Framework abgedeckt werden.
Welche Angriffsphasen bildet ATT&CK ab?
Ähnlich der Cyber-Kill-Chain wird die ATT&CK Matrix in 14 verschiedene Kategorien aufgeteilt. Wir stellen die Phasen kurz mit einem Beispiel vor:
- Reconnaissance
Angreifer sammeln Informationen, um diese in einer der nachfolgenden Phasen zielführend einzusetzen. - Ressource Development
Angreifer schaffen oder beschaffen sich Ressourcen wie z.B. Account-Zugänge. - Initial Access
Angreifer verschaffen sich den ersten Zutritt zum System bzw. Netzwerk ihres Ziels. - Execution
Angreifer führen schadhaften Code auf einem übernommenen System aus. - Persistence
Angreifer verwenden Techniken, um zu einem späteren Zeitpunkt auf ein übernommenes System zurückkehren zu können. - Privilege Escalation
Angreifer verschaffen sich Zugang zu erhöhten Rechten, um sich weiter im Netzwerk ausbreiten zu können. - Defense Evasion
Um im Netzwerk unentdeckt zu bleiben, verwenden Angreifer Techniken, um bspw. Sicherheitslösungen auszuschalten oder zu umgehen. - Credential Access
Angreifer stehlen weitere Zugangsdaten, um mit diesen legitimen Zugängen unentdeckt auf weitere Systeme zuzugreifen. - Discovery
Angreifer verschaffen sich einen Überblick über das interne Netzwerk, um mögliche, weitere Ziele ausfindig zu machen. - Lateral Movement
Angreifer verwenden Techniken, um sich remote durch das Netzwerk zu bewegen. - Collection
Angreifer sammeln wertvolle und schützenswerte Daten. - Command and Control
Angreifer kommunizieren und kontrollieren übernommene Systeme. Dabei wird darauf Wert gelegt die Kommunikation möglichst natürlich für das betroffene Netzwerk darzustellen. - Exfiltration
Angreifer schleusen die gesammelten, sensiblen Daten aus dem Netzwerk. - Impact
Angreifer manipulieren oder zerstören die Systeme.
Dies sind nur einige Beispiele für die Angreifer-Techniken aus dem ATT&CK-Framework. Jede Unterkategorie einer Phase beschreibt eine Vielzahl von Techniken. Dabei wird jede Technik in einer Übersicht beschrieben. Zudem werden Beispiele aufgezeigt und von welchen Angreifergruppen diese Technik verwendet wird. Des Weiteren, können hier kategorisierte Schutzmaßnahmen eingesehen werden. Als weiteres Feature werden zusätzlich Methoden dargestellt, wie die beschriebene Methodik der Angreifer in einem Netzwerk erkannt werden könnte.
MITRE ATT&CK am Beispiel „Phishing“
Eine Angriffsmethode, die nicht mehr aus dem Arsenal von Angreifergruppen wegzudenken ist, lautet „Phishing“. Als Teil der Reconnaissance-Phase, beschreibt das ATT&CK Framework Phishing u.a. als Versenden von Nachrichten zum Entlocken von sensiblen Daten zur Weiterverwendung für den Angriff.
Unter anderem führt das Framework auch Beispiele für eine dokumentierte Verwendung der Methode auf, sowie die Angreifergruppen, welche diese verwendet haben. Beispielsweise hat die Gruppe, geführt unter dem Namen „APT28“ oder „Fancy Bear“, Phishing als eine von vielen Prozeduren in ihrem Angriffsschema.
Weiter enthält das ATT&CK Framework Maßnahmen, wie die oben genannten Methoden erschwert oder gar verhindert werden könnten. In diesem Fall werden als eine Empfehlung Awareness-Schulungen gegen Social-Engineering aufgeführt.
Zuletzt zeigt das ATT&CK Framework auf, an welchen Stellen, an denen der dargestellte Angriff entdeckt werden könnte. Hier werden z.B. Möglichkeiten des Loggings oder das Monitoring von Netzwerkverkehr aufgeführt.
Neben all diesen Information hat die Kategorie Phishing auch weitere Unterkategorien wie verschiedene Arten des Spearphishing. Da jede Methode mit einer einzigartigen ID versehen ist, können diese immer problemlos identifiziert werden.
Cyber Threat Intelligence mit MITRE ATT&CK
Die eindeutige Zuordnung aller Informationen ist im Besonderen hilfreich für die Arbeit im Bereich Cyber Threat Intelligence (CTI). Das ATT&CK Framework liefert eine Übersicht über eine Großzahl bekannter Angreifergruppen. Die gängigen Methoden dieser Gruppen sind mit den TTPs der Matrix verknüpft, sodass diese Informationen in beide Richtungen verwendet werden können.
Wenn bei einem Angriff beispielsweise die Gruppe bereits bekannt ist, können deren TTPs in der Matrix eingesehen werden. Auf diese Weise wird ein besseres Verständnis über einen möglichen nächsten Schritt der Angreifergruppe ermöglicht. Ebenfalls versorgt die Matrix so die Verteidiger mit einer Liste an Angreifer-Tools, nach denen das Netzwerk durchsucht werden könnte.
Falls ein Unternehmen aktives Threat Hunting betreibt, ist das MITRE ATT&CK Framework besonders wertvoll und kann bei der Erstellung von Schutzmaßnahmen enorm hilfreich sein.
Die eigene Umgebung mit MITRE ATT&CK härten
Unter dem Reiter „Defenses“ (Verteidigung) sind eine Vielzahl von hilfreichen Maßnahmen – jeweils verknüpft mit den entsprechenden Angriffsmustern – dargestellt, die gegen eben diese Muster in einer IT-Infrastruktur zum Einsatz kommen könnten.
Dabei sind nicht nur Gegenmaßnahmen, sondern auch präventive Maßnahmen, wie z.B. Audits Teil der Wissensdatenbank. Unter „Data Sources“ werden Sensoren, Logging und weitere Quellen für die Erkennung eines Cyberangriffs gelistet. Diese lassen sich ebenfalls einem entsprechenden Angriffsmuster zuordnen.
Unter „Mitigations“ finden sich eine Vielzahl von Maßnahmen, die ergriffen werden können, um einen Angriff zu erschweren oder verhindern. Anhand dieser Liste kann jedes Unternehmen individuell für die eigene Umgebung die individuellen, etablierten Maßnahmen mit dem ATT&CK Framework abgleichen und ggf. um Weitere ergänzen. Gleichzeitig kann ein Blick auf die gelisteten Angreifermethoden – und den verlinkten Gegenmaßnahmen – genutzt werden, um zu überprüfen, gegen welche Methoden noch Bedarf für weitere Schutzmaßnahmen bestehen.
