Was ist MITRE ATT&CK und wozu dient es?

Was ist MITRE ATT&CK und worin liegt sein Nutzen?

Was ist MITRE ATT&CK™?

MITRE hat ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) in 2013 als eine Möglichkeit zur Kategorisierung und Beschreibung von schädlichen Aktivitäten auf der Grundlage von Beobachtungen aus der realen Welt eingeführt. Bei ATT&CK handelt es sich um eine strukturierte Liste bekannter Verhaltensweisen von Angreifern, die zu Taktiken und Techniken zusammengeführt wurden und in Form einiger Matrizen sowie über STIX/TAXII. ausgedrückt werden. Da diese Liste eine recht umfassende Darstellung der Verhaltensweisen darstellt, die Angreifer bei der Kompromittierung von Netzwerken anwenden, kann sie für viele offensive und defensive Messungen, Darstellungen und andere Mechanismen genutzt werden.

Funktionsweise von ATT&CK-Matrizen

MITRE hat ATT&CK in verschiedene Matrizen unterteilt: Enterprise, Mobile, und PRE-ATT&CK. Jede dieser Matrizen enthält verschiedene Taktiken und Techniken, die mit der Thematik dieser Matrix verknüpft sind.

Die Enterprise-Matrix besteht aus Techniken und Taktiken, die für Windows-, Linux- und/oder MacOS-Systeme gelten. Die Mobile-Matrix enthält Taktiken und Techniken, die für Mobilgeräte gelten. PRE-ATT&CK enthält Taktiken und Techniken im Zusammenhang mit dem, was Angreifer tun, bevor sie versuchen, ein bestimmtes Zielnetzwerk oder -system auszunutzen.

Die Grundlagen von ATT&CK: Taktiken und Techniken

Bei ATT&CK in Form einer Matrix stellen die Spaltentitel am oberen Rand die Taktiken dar, d. h. im Grunde Kategorien der Techniken. Taktiken sind das ,was Angreifer zu erreichen versuchen, während die einzelnen Techniken die Art und Weise darstellen, was diese Schritte oder Ziele erreicht werden.

ATT&CK Enterprise Matrix
ATT&CK Enterprise Matrix von https://attack.mitre.org/matrices/enterprise/

Eine der Taktiken ist beispielsweise Lateral Movement. Damit ein Angreifer erfolgreich Lateral Movement (laterale Bewegung) in einem Netzwerk erzielen kann, wird er möglicherweise eine oder mehrere der Techniken anwenden, die in der Spalte „Lateral Movement“ in der ATT&CK-Matrix aufgeführt sind.

Eine Technik ist ein bestimmtes Verhalten, das angewendet wird, um ein Ziel zu erreichen. Oft bildet sie einen einzelnen Schritt in einer Reihe von Aktivitäten, die ein Angreifer zur Erreichung seines Ziels durchführt. ATT&CK stellt zahlreiche Details zu jeder Technik zur Verfügung, einschließlich einer Beschreibung, Beispiele, Referenzen und Vorschläge zur Eindämmung und Erkennung.

Technique description in MITRE ATT&CK
Beispiel einer Technikbeschreibung in MITRE ATT&CK

Als Beispiel dafür, wie Taktiken und Techniken bei ATT&CK funktionieren, nehmen wir an, dass ein Angreifer Zugang zu einem Netzwerk erlangen und Cryptocurrency-Mining-Software auf so vielen Systemen wie möglich innerhalb dieses Netzwerks installieren möchte. Um dieses Gesamtziel zu erreichen, muss der Angreifer mehrere Zwischenschritte erfolgreich durchführen. Zuerst muss er Zugriff auf das Netzwerk erhalten, möglicherweise über einen Spearphishing-Link.Als Nächstes muss er ggf. mittels Process Injection die Berechtigung weiterleiten. Nun kann er mittels Credential Dumping weitere Zugangsdaten aus dem System abrufen und Persistenz herstellen, indem er das Mining-Skript so einrichtet, dass es als geplante Aufgabe ausgeführt wird. Wenn dies erreicht ist, kann sich der Angreifer ggf. mit Pass the Hash überall im Netzwerk lateral bewegen (Lateral Movement) und seine Crypto-Mining-Software auf möglichst vielen Systemen verteilen.

In diesem Beispiel musste der Angreifer fünf Schritte erfolgreich ausführen, von denen jeder eine spezielle Taktik oder Phase des Angriffs darstellt: Anfangszugriff, Weiterleitung von Berechtigungen, Zugriff auf Zugangsdaten, Persistenz , und Lateral Movement. Innerhalb dieser Taktiken hat er bestimmte Techniken eingesetzt, um alle Phasen seines Angriffs (Spearphishing-Link, Prozess-Injection, Credential Dumping usw.) durchzuführen.

Die Unterschiede zwischen PRE-ATT&CK und ATT&CK Enterprise

PRE-ATT&CK und ATT&CK Enterprise bilden zusammen die vollständige Liste der Taktiken, die grob auf die Cyber Kill Chain ausgerichtet sind. PRE-ATT&CK ist überwiegend auf die ersten drei Phasen der Kill Chain ausgerichtet: Aufklären, Bewaffnen und Liefern. ATT&CK Enterprise ist optimal auf die letzten vier Phasen der Kill Chain ausgerichtet: Ausnutzen, Installieren, Steuern und Kontrollieren sowie Maßnahmen zum Erreichen des Ziels.

Cyber Kill Chain

PRE-ATT&CK-TaktikenATT&CK Enterprise-Taktiken
  • Definition der Prioritäten
  • Auswahl der Ziele
  • Sammeln von Informationen
  • Identifizierung von Schwachstellen
  • Gegnerische Betriebssicherheit
  • Aufbau und Wartung der Infrastruktur
  • Persona-Entwicklung
  • Aufbau von Fähigkeiten
  • Testfunktionen
  • Phasenfunktionen
  • Erstzugriff
  • Ausführung
  • Persistenz
  • Ausnutzung von Berechtigungen
  • Umgehung der Abwehr
  • Zugriff auf Zugangsdaten
  • Erkennung
  • Laterale Bewegung
  • Sammlung
  • Ausschleusung
  • Befehlen und Steuern

Wofür kann ATT&CK genutzt werden?

ATT&CK ist in einer Vielzahl von alltäglichen Szenarien wertvoll. Alle Verteidigungsaktivitäten, die Informationen zum Angreifer und seinem Verhalten nutzen, können von der Taxonomie von ATT&CK profitieren. Neben einem gemeinsamen Lexikon für Cyberschutz bietet ATT&CK auch eine Grundlage für Penetrationstests und Red Teaming. So wird sichergestellt, dass Verteidiger und Red Teamer eine gemeinsame Sprache im Zusammenhang mit den Verhaltensweisen von Gegnern sprechen.

Beispiele, bei denen die Anwendung der Taxonomie von ATT&CK nützlich sein kann:

  • Zuordnung von Abwehrmaßnahmen
    • Abwehrmaßnahmen können eine hinreichend bekannte Bedeutung haben, wenn sie auf die ATT&CK-Taktiken und -Techniken Bezug nehmen, auf die sie angewendet werden.
  • Threat hunting
    • Durch die Zuordnung der Verteidigungsmaßnahmen zu ATT&CK wird eine Roadmap von Verteidigungslücken erstellt, die Threat Hunter darauf hinweist, wo sie nach verpassten Angreiferaktivitäten suchen sollten.
  • Erkennung und Untersuchung
    • Das Security Operations Center (SOC) und das Incident-Response-Team können auf ATT&CK-Techniken und -Taktiken zurückgreifen, die erkannt oder aufgedeckt wurden. Dies hilft dabei nachzuvollziehen, wo die Stärken und Schwächen bei der Verteidigung liegen, ermöglicht die Validierung der Eindämmungs- und Abwehrmaßnahmen und kann Fehlkonfigurationen und andere operative Probleme aufdecken.
  • Nennen der Akteure
    • Akteure und Gruppen können bestimmten, definierbaren Verhaltensweisen zugeordnet werden.
  • Integration von Tools
    • Verschiedene Tools und Services können ATT&CK-Taktiken und -Techniken standardisieren und so einen Zusammenhalt der Verteidigung schaffen, die oft fehlt.
  • Austausch
    • Beim Austausch von Informationen zu einem Angriff, Akteur oder einer Gruppe oder zu Abwehrmaßnahmen können die Verteidiger durch den Einsatz von ATT&CK-Techniken und -Taktiken zu einer gemeinsamen Auslegung gelangen.
  • Red Team/Penetrationstests
    • Bei der Planung, Durchführung und Berichterstattung von Red Team- und Purple Team-Aktivitäten sowie Penetrationstests stellt ATT&CK sicher, dass Verteidiger und Berichtsempfänger miteinander und untereinander eine gemeinsame Sprache sprechen.

Zuordnung von Verteidigungsmaßnahmen und Erkennen von Lücken mit ATT&CK

Bei der Betrachtung von MITRE ATT&CK neigen die meisten Sicherheitsteams dazu, für jede Technik in der Enterprise-Matrix eine Art von Erkennungs- oder Präventionskontrolle zu entwickeln und zu testen. Diese Idee ist zwar nicht schlecht, aber die Nuancen von ATT&CK machen diesen Ansatz ein wenig gefährlich, wenn nicht gewisse Vorbehalte beachtet werden. Die Techniken in den ATT&CK-Matrizen können häufig auf verschiedene Weisen durchgeführt werden. Das Blockieren oder Erkennen einer einzelnen Methode zur Ausführung der Techniken bedeutet nicht unbedingt, dass jede mögliche Art und Weise zur Ausführung dieser Technik abgedeckt ist. Dies kann zu einem falschen Gefühl der Sicherheit führen, da davon ausgegangen wird, dass die Technik ordnungsgemäß für die Organisation abgedeckt ist, wenn ein Tool eine Anwendungsform einer Technik blockiert. Angreifer können diese Technik jedoch ohne vorhandene Erkennung oder Prävention auch erfolgreich auf andere Weise anwenden.

Gehen Sie wie folgt vor, um diesem Problem zu begegnen:

  • Gehen Sie immer davon aus, dass es mehr als eine Möglichkeit gibt, eine ATT&CK-Technik durchzuführen.
  • Recherchieren und testen Sie bekannte Methoden zur Durchführung bestimmter Techniken und zur Messung der Effektivität der Tools und der Transparenz.
  • Protokollieren Sie die Ergebnisse der Tests sorgfältig, um zu zeigen, wo sich bei dieser Technik Lücken befinden und welche Möglichkeiten der Anwendung dieser Technik verhindert oder erkannt werden können.
  • Notieren Sie, welche Tools sich bei bestimmten Erkennungen als effektiv erweisen, und achten Sie auf Lücken, bei denen überhaupt keine Abdeckung vorhanden ist.
  • Halten Sie sich über neue Methoden zur Durchführung von Techniken auf dem Laufenden, und testen Sie diese unbedingt in der Umgebung, um die Abdeckung zu messen.

Wenn eine Virenschutzsoftware beispielsweise das Vorhandensein von Mimikatz erkennt, bedeutet dies nicht, dass Pass the Hash (T1075) und Pass the Ticket (T1097) abgedeckt sind, da es noch mehrere andere Möglichkeiten gibt, diese Techniken durchzuführen, die nicht die Verwendung von Mimikatz erfordern. Beachten Sie dies, wenn Sie ATT&CK zur Darstellung von Abwehrmaßnahmen in einer Organisation verwenden.

Verwendung von ATT&CK mit Cyber Threat Intelligence

ATT&CK kann für Cyber Threat Intelligence nützlich sein, da es die Beschreibung von schädlichem Verhalten auf standardisierte Weise ermöglicht. Akteure können in ATT&CK anhand von Zuordnungen zu Techniken und Taktiken verfolgt werden, die sie bekanntermaßen nutzen. Dadurch erhalten Verteidiger einen Fahrplan zur Überprüfung ihrer operativen Kontrollen, mit dem sie feststellen können, wo Schwächen und Stärken in Bezug auf bestimmte Akteure vorhanden sind. Das Erstellen von MITRE ATT&CK Navigator-Einträgen für bestimmte Akteure ist eine gute Möglichkeit, die Stärken und Schwächen der Umgebung für diese Akteure oder Gruppen darzustellen. ATT&CK ist auch als STIX/TAXII 2.0-Feed verfügbar, was die Einbindung von bestehenden Tools, die diese Technologien unterstützen, erleichtert.

ATT&CK bietet Details zu nahezu siebzig Akteuren und Gruppen, einschließlich der Techniken und Tools, die sie basierend auf Open Source-Berichten verwenden können.

MITRE ATT&CK Group List
Liste der MITRE ATT&CK-Gruppen

Der Prozess der Intelligence-Erstellung von der Verwendung der gemeinsamen ATT&CK-Terminologie profitieren. Wie bereits erwähnt, kann dies für Akteure und Gruppen gelten, aber auch für beobachtete Verhaltensweisen, wie sie aus SOC- oder Vorfallsreaktionsaktivitäten ersichtlich sind. Malware kann auch in Form von Verhaltensweisen über ATT&CK referenziert werden. Alle Threat Intelligence-Tools, die ATT&CK unterstützen, tragen dazu bei, diesen Prozess zu vereinfachen. Commercial und Open Source Intelligence, die ATT&CK auf alle erwähnten Verhaltensweisen anwendet, sind ebenfalls zur Beibehaltung von Konsistenz hilfreich. Die Weitergabe von Intelligence an den Betrieb oder das Management ist letztlich wesentlich einfacher, wenn alle Parteien im Hinblick auf schädliches Verhalten die gleiche Sprache sprechen. Wenn man sich im Betrieb genau darüber im Klaren ist, was eine erzwungene Authentifizierung ist, und diese in einem Intelligence-Bericht erscheint, wissen die Mitarbeiter möglicherweise genau, welche Maßnahmen ergriffen werden sollten oder welche Kontrollen hinsichtlich dieses Intelligence-Elements bereits angewendet werden. Eine derartige Standardisierung auf ATT&CK-Referenzen in Intelligence-Produkten kann die Effizienz erheblich verbessern und ein gemeinsames Verständnis gewährleisten.

Simulation schädlichen Verhaltens und ATT&CK

Das Testen der Techniken in ATT&CK anhand der Umgebung ist die beste Methode, um:

  • Kontrollen und ihre Wirksamkeit zu testen
  • Die Abdeckung mithilfe verschiedener Techniken sicherzustellen
  • Lücken bei Transparenz oder Schutz zu erkennen
  • Die Konfiguration von Tools und Systemen zu validieren
  • Zu demonstrieren, wo verschiedene Akteure erfolgreich sind oder in der Umgebung erwischt werden
  • Vermutungen und Annahmen im Zusammenhang mit Kontrollen zu vermeiden, indem Sie genau wissen, was erkannt oder eingedämmt wurde und was nicht

Die Durchführung einer Simulation schädlichen Verhaltens ist in vielen Umgebungen nicht fremd. Wenn Organisationen Penetrationstester zum Testen der Umgebung einsetzen, beteiligen sie sich an Tests der Simulation von schädlichen Verhaltensweisen. Dasselbe gilt für Organisationen, die über interne Red Teams verfügen oder Purple Team-Aufgaben erfüllen. Durch die Anwendung der Aktivitäten in Rahmen dieser Aufgaben auf ATT&CK-Techniken können die Verteidiger die Ergebnisse besser verstehen. Statt der Meldung von Fehlern zur Erkennung bestimmter Aktivitäten können Berichte aus Penetrationstests und von Red Teams einen besseren Kontext enthalten, um ihre Aktivitäten direkt auf operative Kontrollen, Verteidigungstools und Verfahren anzuwenden. Dies macht es für Verteidiger einfacher, aufgrund der Berichte geeignete Maßnahmen zu ergreifen.

Simulationen können entwickelt werden, um Tools und Techniken zu spiegeln, die auch von bestimmten Akteuren verwendet werden. Dies kann besonders dann nützlich sein, wenn Sie versuchen zu beurteilen, wie erfolgreich bestimmte Gegner in Bezug auf die in der Umgebung vorhandenen Kontrollen sein könnten.

Darüber hinaus stehen Tools zur Verfügung, die Mechanismen zum Testen bestimmter Techniken direkt in der Umgebung bieten und bereits mit ATT&CK abgestimmt sind. Kommerzielle Tools wie Verodin, SafeBreach und AttackIQ sind in der Lage, auf ATT&CK ausgerichtete schädliche Verhaltensweisen zu simulieren. Darüber hinaus stehen einige an ATT&CK ausgerichtete Open Source-Optionen für die Simulation schädlichen Verhaltens zur Verfügung (siehe unten). Gehen Sie stets vorsichtig vor, wenn Sie schädliches Verhalten in Produktionsnetzwerken simulieren, in denen der Umfang potenzieller Auswirkungen nicht vollständig bekannt ist.

Das Verfahren zur Nutzung dieser Tools ist unkompliziert:

  1. Simulieren: Wählen Sie die Simulationskriterien basierend auf den gewünschten Tests und starten Sie dann das Tool oder führen Sie die Technik manuell aus.
  2. Hunt: Überprüfen Sie die Protokolle und die Tool-Ausgabe auf Beweise für die simulierte Aktivität. Vermerken Sie nicht erfüllte Erwartungen bei aufdeckenden und präventiven Kontrollen.
  3. Erkennen: Fügen Sie basierend auf den Ergebnissen neue Funde oder Entschärfungen hinzu. Notieren Sie außerdem Lücken bei der Transparenz oder bei den Tools, die zur Erkennung und Eindämmung eingesetzt werden.

Best Practices für die Verwendung von ATT&CK

Nachfolgend finden Sie eine Liste der Best Practices für ATT&CK.

  • Austausch erkannter Methoden zur Erkennung und Eindämmung
  • Austausch von Taktiken und Techniken bei beobachteten Verhaltensweisen von Angreifern
  • Nutzung der ATT&CK-Integration in vorhandene Tools
  • Ermutigen von Händlern und Dienstanbietern dort, wo es nützlich ist, Unterstützung von ATT&CK hinzuzufügen

Herausforderungen bei der Nutzung von ATT&CK

Die Verwendung von ATT&CK bringt auch Herausforderungen mit sich. Diese sollten bei der Nutzung von ATT&CK berücksichtigt werden.

  • Bei einigen Techniken gibt es viele mögliche Ausführungsmethoden
  • Einige Techniken sind unter mehreren Taktiken aufgeführt
    • Beispiel: DLL Search Order Hijacking (T1038)
    • Wird unter den Taktiken Persistenz, Weiterleitung von Berechtigungen und Berechtigungseskalation und Umgehung der Abwehr aufgeführt
    • Einige Techniken, darunter auch diese, können für mehrere Anwendungsfälle verwendet werden und sind in mehreren Angriffsphasen nützlich

ATT&CK-Tools und Ressourcen

Im Folgenden finden Sie eine Liste der Tools und weiteren Ressourcen, die ATT&CK nutzen. Einige davon wurden bereits erwähnt, sind hier aber zu Referenzzwecken nochmals aufgeführt. Wenn Sie etwas zu dieser Liste hinzufügen möchten, senden Sie eine E-Mail an marketing@anomali.com.

ATT&CK Navigator

ATT&CK Navigator ist ein hervorragendes Tool für das Entwerfen von Kontrollen für ATT&CK-Techniken. Es können Ebenen hinzugefügt werden, die spezielle aufdeckende Kontrollen, präventive Kontrollen oder auch beobachtetes Verhalten anzeigen. Navigator kann online für schnelle Modelle oder Szenarien verwendet werden oder als dauerhaftere Lösung heruntergeladen und intern eingerichtet werden.

MITRE ATT&CK Navigator
MITRE ATT&CK Navigator

Uber Metta

Metta ist ein Open Source-Projekt von Uber, das eine Simulation von schädlichem Verhalten durchführt und an MITRE ATT&CK angepasst ist.

MITRE Caldera

Caldera ist ein automatisiertes Open Source-Tool zur Simulation von schädlichem Verhalten, das auf MITRE ATT&CK basiert.


Screenshot von MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team ist ein Open Source-Tool von Red Canary zur Simulation von schädlichem Verhalten, das MITRE ATT&CK zugeordnet ist. Weitere Informationen finden Sie unter: https://atomicredteam.io/

Red Canary Atomic Red Team
Atomic Red Team – Testbeispiel

Endgame Red Team Automation

Red Team Automation ist ein Open Source-Tool von Endgame, das bösartiges Verhalten auf der Grundlage von MITRE ATT&CK testet.


Aktuelle Liste der von Red Team Automation (RTA) unterstützten Techniken

Malware Archeology Windows ATT&CK Logging Cheat Sheet

Die Mitarbeiter von Malware Archeology stellen eine Reihe von Windows Logging Cheat Sheets zur Verfügung, die Verteidiger bei der Suche nach bösartigen Aktivitäten in Protokollen helfen sollen. Eines davon ist speziell für das Auffinden von Techniken von MITRE ATT&CK vorgesehen.


Beispiel für im ATT&CK Logging Cheat Sheet von Malware Archeology enthaltene Details

MITRE Cyber Analytics Repository (CAR)

MITRE verfügt über eine Ressource namens Cyber Analytics Repository (CAR). Dies ist eine Referenzseite für verschiedene Analysen, die für die Erkennung von Verhaltensweisen in MITRE ATT&CK nützlich sind.

MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)

ATT&CK Tableau Table by Cyb3rPanda

Für einfaches Pivoting und Filtern hat Cyb3rPanda ATT&CK in eine öffentliche Tableau-Instanz geladen.

ATT&CK Tableau Table by Cyb3rPanda
ATT&CK Enterprise Matrix in einem öffentlichen Tableau von Cyb3rPanda

Palo Alto Unit 42 Playbook Viewer

Die Unit 42-Gruppe von Palo Alto hat einen kostenlosen Playbook-Viewer herausgebracht, der bekanntes schädliches Verhalten für ein paar an MITRE ATT&CK ausgerichtete Bedrohungsgruppen anzeigt.

Palo Alto Unit 42 Playbook Viewer
Playbook-Viewer von Palo Alto Unit 42

Anomali Cyber Watch

Das wöchentliche Briefing „Anomali Cyber Watch“ ist ein kostenloser wöchentlicher Bericht über die wichtigsten Entwicklung der Woche in Bezug auf Sicherheit und Bedrohungen. Der Bericht enthält relevante IOCs und ATT&CK-Techniken für jede Story im Briefing.

Anomali Weekly Threat Briefing
Beispiel für ein wöchentliches Threat Briefing von Anomali

Zusammenfassung

MITRE leistet einen bedeutenden Beitrag zur Sicherheits-Community, indem es uns ATT&CK und die zugehörigen Tools und Ressourcen zur Verfügung stellt. Der Zeitpunkt dafür hätte nicht besser sein können. Da Angreifer Wege finden, noch heimlicher zu agieren und sich von herkömmlichen Sicherheitstools nicht erwischen zu lassen, müssen Verteidiger ihre Herangehensweise für Erkennung und Abwehr ändern. ATT&CK verlagert unsere Wahrnehmung von niedrigstufigen Indikatoren wie IP-Adressen und Domänennamen und veranlasst uns, Angreifer und unsere Verteidigungsmechanismen in Bezug auf das Verhalten zu betrachten. Diese neue Wahrnehmung bedeutet jedoch nicht, dass die Ergebnisse von nun an ganz einfach erzielt werden können. Die unkomplizierte Zeit der Blockierlisten und einfachen Filter ist leider vorbei. Das Erkennen und Verhindern von Verhaltensweisen gestaltet sich heute viel schwieriger als der Einsatz der Fire-and-Forget-Tools aus früheren Zeiten. Darüber hinaus werden Angreifer sich sicherlich stets wieder an neue Mechanismen der Verteidiger anpassen. ATT&CK bietet eine Möglichkeit, jegliche von ihnen entwickelten neuen Techniken zu beschreiben und dafür zu sorgen, dass Verteidiger hoffentlich Schritt halten können.