Die Menge an Informationen über Cyberverbrechen, die von Forschern für Cybersicherheit veröffentlicht wird, nimmt jedes Jahr weiter zu. Parallel entsteht dadurch das Risiko, dass diese Informationsflut für IT-Administratoren potenziell nicht beherrschbar bleibt. Sie benötigen klare Ansatzpunkte, um das Unternehmensnetzwerk zu schützen. Daher ist es entscheidend, diese Daten in Berichte zusammenzufassen und miteinander zu verknüpfen, um die charakteristischen Bewegungen von cyberkriminellen Gruppierungen zu verstehen, die es auf die vertikal vernetzten Abteilungen abgesehen haben. Das ist dank der Arbeit von MITRE ATT&CK seit 2013 möglich.
MITRE ATT&CK ist eine Wissensdatenbank, die Security Operations Center-Teams (SOC-Teams) einen Fundus von Open-Source-Informationen zu bekannten Taktiken, Techniken und Prozeduren (TTPs) von möglichen Angreifern bereitstellt. Dadurch können die Teams ihre Fähigkeiten testen, potenzielle Bedrohungen zu erkennen und ihre Netzwerke schützen. Einer der Vorteile dieser Wissensdatenbank ist die Schwerpunktsetzung.
Da es mehrere verschiedene Gruppierungen von Cyberkriminellen gibt, die Ihr Unternehmen oder Ihre Organisation unter Umständen ins Visier nehmen, können Network Defender ihre Bemühungen auf die übergreifenden Techniken konzentrieren, die von allen Gruppierungen verwendet werden – und schlagen somit zwei Fliegen mit einer Klappe. Unter Verwendung der MITRE ATT&CK Enterprise Matrix kann eine Strategie ausgearbeitet werden, basierend auf den sich überschneidenden Techniken mit der höchsten Priorität.
Stellen Sie sich zum Beispiel ein SOC-Team vor, dass für die Absicherung von Online-Wahlkampagnen und/oder Wahlsystemen verantwortlich ist. In dem man „democratic“ in die MITRE ATT&CK search bar eingibt (um nach Gruppierungen zu suchen, die ihre Angriffe zuvor auf die Democratic National Committee gerichtet hatten), würde man sehen, dass wohl The Dukes (APT29) als auch Sednit (APT28) für den DNC-Hack unter Verdacht stehen.
Scrollt man dann durch die Techniken, würde man herausfinden, dass The Dukes und Sednit dabei beobachtet wurden, wie sie den initialen Zugriff auf die Computer ihrer Opfer über Spearphishing Links erhalten haben. Indem man in den aufgelisteten Referenzen nach dieser speziellen Technik sucht, würde man eine Veröffentlichung von ESET-Forschern finden, in der die Vorgehensweise von Sednit im Detail erklärt wird. Dort wird dargelegt, wie Sednit Spearphishing-E-Mails versendete, die gekürzte URLs enthielten, die zu einem ZIP-File führten, welches die erste Stufe von Sednits liebster Hintertür, Zebrocy, zum Download enthielt.
Solche E-Mails oder eingeschleppte Malware auf einem Endgerät zu erkennen und zu blockieren, ist offensichtlich entscheidend bei der Absicherung der Computersysteme von Wahlkampagnen-Teams und, da sich viele Malware-Arten lateral bewegen, des gesamten Netzwerks. Selbstverständlich enthalten Veröffentlichungen von ESET IoCs, in diesem Falle für die URL, über die ZIP-Files verteilt werden, den C&C-Server und Malware-Hashes – alles exzellente Ansatzpunkte für einen Scan Ihres Netzwerks. Um die gesamte Kompromittierungskette, die mit dem Download von Zebrocy in Gang gesetzt wurde, besser in den Griff zu bekommen, könnte ein Threat-Intelligence-Analytiker auf die MITRE ATT&CK-Tabelle in unseren Veröffentlichungen zurückgreifen. Dort würde er eine Auflistung von Vorgehensweisen der Sednit-Gruppierung in Bezug auf initialen Zugriff, Ausführung, Persistenz, Exfiltration und andere Taktiken, die bei Angriffen beobachtet wurden, finden.
Der vielleicht wichtigste Aspekt beim Lesen einer Veröffentlichung im Bereich der Malware-Forschung ist womöglich, dass der Bedrohungsanalytiker Zebrocys Verhalten und Handlungsweisen detailliert verstehen kann. Cyberkriminelle mit fortgeschrittenen Vorgehensweisen wie die Sednit-Gruppierung können ihre IP-Adressen, Domain-Namen und andere Komponenten schnell ändern, aber ihr Verhalten nicht. Das Verhalten einer Malware zu verstehen und eine Verhaltensanalyse anzufertigen, kann also dazu beitragen, dass sich ein Angreifer niemals ganz unentdeckt einschleichen kann.
Nicht jede Bedrohungserkennung ist gleichermaßen effektiv. Denken Sie nicht, dass durch das Verfassen einer Verhaltensanalyse ein Angriffsvektor ausreichend abgedeckt werden kann – das ist ein beliebter Fehler. MITRE empfiehlt, dass Sie Ihre Bedrohungserkennungen auf einer Skala von 1 bis 5 bewerten, basierend auf rigorosen Tests mithilfe von Purple Teaming. So können Sie feststellen, wie effektiv das für Ihr Netzwerk funktioniert und wo Verbesserungsbedarf besteht.
Sich die Bedrohungsanalysen zunutze zu machen, die von ESETs Malware-Forschungsteam bereits formuliert wurden, ist ein wirksamer und einfacher Weg, um die Leistungsfähigkeit Ihres SOC-Teams auf Anhieb zu verstärken. Über den ESET Enterprise Inspector (EEI), ESETs Lösung für Erkennung und Abwehr für Endgeräte, erhalten Network Defenders über 300 konfigurierbare Bedrohungserkennungen/Regeln, die entworfen wurden, um einen automatischen Alarm auf dem Dashboard auszulösen.
Seit mehr als 30 Jahren analysieren ESET-Forscher die neuesten Bedrohungen und schreiben die dazugehörigen Analysen zur Bedrohungserkennung. Aufbauend auf dem tiefgründigen Wissen über gegnerische Verhaltensweisen, stellen die Regelsätze des EEI sehr sorgfältig ausgefeilte Algorithmen dar, die Anomalien präzise bestimmen, welche die Anwesenheit eines Angreifers verraten.
Das ist besonders wichtig, wenn man nie zuvor gesehene Malware im Griff behalten will: Wie in den Fällen von LoJax, dem ersten UEFI-Rootkit in freier Wildbahn (genutzt von Sednit), und DePriMon, die als erste Malware „Port Montior“-Technik einsetzte.
Ein signifikanter Teil der ESET-Forscher leistet einen kontinuierlichen Beitrag zur MITRE ATT&CK-Wissensdatenbank und enthüllt zuvor unbekannte Techniken sowie Vorgehensweisen von cyberkriminellen Gruppierungen.
MITRE ATT&CK würdigt den Beitrag der ESET-Forscher: Darunter die Entdeckung der neuen Techniken, die von ATP32 über eine macOS-Backdoor eingesetzt wurde; die Entdeckung von Ebury, einer Linux-Backdoor, die in der Lage war, OpenSSH-Anmeldeinformationen zu stehlen; und der Entdeckung einer neuen Version von Machetes Python-basiertem Toolset, mit dem hauptsächlich Angriffe auf Venezuelas Regierung gestartet wurden.
Andere Beiträge zu Techniken und Software von MITRE ATT&CK finden Sie unter den folgenden Links: Software packing, genutzt von FinFisher; Access notifications unter Android OS, Binary padding, Turlas Epic backdoor, und Taint Shared Content.
Um mehr darüber zu erfahren, wie ESET ATT&CK für verbesserten Endpoint-Schutz einsetzt, fragen Sie unser gemeinsames Webinar mit MITRE ATT&CK hier an.