Im ersten Teil dieser Serie haben wir die Grundlagen und Ziele von MITRE ATT&CK kennengelernt. In diesem Beitrag gehen wir einen Schritt weiter und betrachten den Aufbau des Frameworks sowie die wichtigsten Kategorien, mit denen Angriffe systematisch beschrieben werden.
Grundstruktur: Taktiken, Techniken und Prozeduren (TTPs)
Das MITRE-ATT&CK-Framework basiert auf drei zentralen Elementen:
- Taktiken: Beschreiben das Warum eines Angriffs – also das übergeordnete Ziel, z. B. „Initial Access“ oder „Persistence“.
- Techniken: Beschreiben das Wie – die konkrete Methode, z. B. „Phishing“ oder „Credential Dumping“.
- Prozeduren: Beschreiben das Was genau – die spezifische Umsetzung in der Praxis, z. B. mit welchen Tools oder Malware-Familien ein Angriff ausgeführt wurde.
Diese Hierarchie ermöglicht es, Angriffe von der Strategie bis zur technischen Umsetzung zu verstehen.
Die 14 Taktiken des Enterprise Matrix
Die Enterprise ATT&CK Matrix ist die bekannteste Variante des Frameworks. Sie umfasst aktuell 14 Taktiken:
| Nr. | Taktik | Beschreibung |
|---|---|---|
| 1 | Reconnaissance | Aufklärung und Informationsbeschaffung |
| 2 | Resource Development | Aufbau von Infrastruktur für Angriffe (z. B. Domains, Tools) |
| 3 | Initial Access | Erster Zugriff auf das Zielsystem |
| 4 | Execution | Ausführen von Schadcode |
| 5 | Persistence | Sicherung der dauerhaften Präsenz im System |
| 6 | Privilege Escalation | Ausweitung von Benutzerrechten |
| 7 | Defense Evasion | Umgehung von Sicherheitsmechanismen |
| 8 | Credential Access | Zugriff auf Zugangsdaten und Passwörter |
| 9 | Discovery | Erkundung des Netzwerks und der Systemumgebung |
| 10 | Lateral Movement | Seitliche Bewegung innerhalb des Netzwerks |
| 11 | Collection | Sammeln von Daten |
| 12 | Command and Control | Kommunikation mit Angreifern außerhalb des Netzwerks |
| 13 | Exfiltration | Abfluss sensibler Daten |
| 14 | Impact | Zerstörung, Manipulation oder Unterbrechung von Systemen |
Techniken und Sub-Techniken
Jede Taktik ist in Techniken unterteilt, die wiederum Sub-Techniken enthalten können.
Beispiel:
- Taktik: Credential Access
- Technik: Credential Dumping
- Sub-Technik: LSASS Memory Dump
Diese Granularität ermöglicht eine sehr präzise Abbildung von Angriffsabläufen.
ATT&CK-Matrizen für unterschiedliche Umgebungen
Neben der Enterprise-Matrix gibt es weitere Varianten:
- Mobile Matrix: Für Angriffe auf iOS- und Android-Geräte
- ICS Matrix: Für industrielle Steuerungssysteme
Jede Matrix ist an die Besonderheiten der jeweiligen Umgebung angepasst.
Verknüpfung mit Bedrohungsakteuren
MITRE ATT&CK enthält Informationen über:
- Bedrohungsgruppen (z. B. APT28, APT29)
- Bekannte Malware und deren Einsatztechniken
- Werkzeuge wie Mimikatz oder Cobalt Strike
Dadurch lassen sich Angriffe konkreten Gruppen zuordnen und besser nachvollziehen.
Schreibe einen Kommentar