
Die sechs häufigsten MITRE ATT&CK-Techniken, die im Jahr 2020 identifiziert wurden, sind Taktiken zur Umgehung der Verteidigung [Bericht]

Executive Summary
Im Jahr 2020 waren die sechs am häufigsten verwendeten Techniken laut der Recorded Future Platform T1027 – Verschleierte Dateien und Informationen, T1055 – Prozessinjektion, T1098 – Kontomanipulation, T1219 – Remote-Zugriffstools, T1082 – Ermittlung von Systeminformationen und T1018 – Remote-Systemermittlung. Zu den weiteren „Zugehörigen Techniken“ bzw. MITRE ATT&CK-Techniken, die mit den Top sechs in Zusammenhang standen, gehörten die folgenden drei: T1497 – Virtualisierung/Sandbox-Umgehung, T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading.
Vier dieser Techniken werden der Taktik „Verteidigungsausweichung“ zugeordnet, gefolgt von „Beharrlichkeit“ und „Entdeckung“. Dass in den Daten vorwiegend Taktiken zur Umgehung der Verteidigung zum Einsatz kommen, steht im Einklang mit den Beobachtungen der Insikt Group, wonach diese Taktiken bei Schadsoftware immer häufiger zum Einsatz kommen. Durch die Identifizierung dieser Techniken lässt sich besser einschätzen, wie die Cyber-Bedrohungslandschaft im letzten Jahr aussah: von opportunistischen Bedrohungsakteuren, die sich aufgrund von COVID-19 die Tatsache zunutze machten, dass die Belegschaft remote arbeitet, bis hin zu massiven Ausweitungen bekannter Ransomware-Betreiber auf Exfiltration und Erpressung. Alle identifizierten Techniken waren entscheidend für den Erfolg der Cyberangriffe im Jahr 2020.
Die Herausforderung für Verteidiger besteht darin, diese Informationen umsetzbar zu machen. Die Erkennung einiger dieser Techniken kann schwierig sein, da fortgeschrittenere Bedrohungsakteure versuchen, ihre wahren Absichten zu verbergen oder sich in normale Aktivitäten einzumischen. Wie im MITRE ATT&CK-Glossar erwähnt , sollten Daten nicht isoliert betrachtet werden, sondern als Aktivitätsmuster, das Taktiken wie Defense Evasion oder Persistence hervorhebt. Durch die Korrelation dieser Techniken mit zusätzlichen High-Fidelity-Ereignissen können Verteidiger bessere Hinweise auf verdächtige Aktivitäten finden. Wir haben in diesem Bericht Erkennungen sowohl für einzelne Malware aufgenommen, die mit den hervorgehobenen Techniken beobachtet wurde, als auch für allgemeinere Erkennungsstrategien.
Hintergrund
MITRE ATT&CK ist eine weltweit zugängliche Wissensdatenbank für Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basieren. Das ATT&CK-Framework wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Community der Cybersicherheitsprodukte und -dienstleistungen verwendet. Mit Hilfe des ATT&CK-Frameworks erhalten Sicherheitsteams ein breiteres Bild des Verhaltens von Angreifern, sodass Abwehr- und Erkennungsmethoden gegen die Techniken getestet werden können. Es hat sich in vielen Cybersicherheitsdisziplinen zu einem nützlichen Werkzeug entwickelt, um Informationen bereitzustellen, Trends bei Taktiken und Techniken zu verfolgen, Tests durch Red Teaming oder Adgressary Emulation durchzuführen und die Netzwerk- und Systemabwehr gegen Eindringlinge zu verbessern.
Das ATT&CK-Framework hat sich seit seiner Veröffentlichung im Jahr 2018 weiterentwickelt und enthält fast 200 einzigartige Taktiken, Techniken und Verfahren (TTPs). Die kürzlich erfolgte Konsolidierung des Pre-ATT&CK-Frameworks mit dem wichtigsten Enterprise-ATT&CK-Framework sowie die Einführung von Untertechniken haben die Benutzerfreundlichkeit des Frameworks nur verbessert.
Methodik
In unserem Bericht von 2019 stützte sich Insikt Group auf die Recorded Future Malware Detonation Sandbox als Quelle für die Suche nach den besten ATT&CK-Techniken. Basierend auf den Änderungen am ATT&CK-Framework und der kontinuierlichen Verbesserung der Recorded Future-Daten haben wir drei Abfragen in der Recorded Future-Plattform verwendet, um die „besten“ MITRE ATT&CK-Techniken zu ermitteln, die im Jahr 2020 verwendet wurden. Die Daten jeder Abfrage stammen aus Insikt Notes, Recorded Future Malware Detonation Sandbox-Samples und Angriffsvektoren, die automatisch von Recorded Future kategorisiert wurden.
Die Notizen der Insikt Group decken ein breites Spektrum an Bedrohungsinformationen und Cyberangriffen ab, das in der ersten Abfrage dargestellt wird. Die zweite Abfrage, die die Beispielanalyse der Malware Detonation Sandbox als Quelle verwendet, bietet eine technische Perspektive, die sich auf die Ausführung von Malware konzentriert. Die dritte Abfrage sucht nach Cyberangriffsereignissen, bei denen eine MITRE ATT&CK-Technik als Angriffsvektor angegeben wurde, um zu versuchen, zusätzliche Informationen zu erfassen. Die Abfragen wurden getrennt, um Fehlalarme auszuschließen und ein umfassenderes Bild der verwendeten Techniken zu erhalten.
Die Überarbeitung des ATT&CK-Frameworks zur Jahresmitte , die Pre-ATT&CK- und Subtechniken umfasste, schuf unserer Meinung nach eine genauere und detailliertere Darstellung der Cyber Kill Chain von der Aufklärung bis zur Exfiltration und darüber hinaus. Die Notizen der Insikt Group decken Taktiken vor und nach der Ausnutzung (Aufklärung, Erstzugriff, Auswirkungen usw.) ab, da sie fertige Informationen oder "Hörensagen" abdecken (z. B. ein Bedrohungsakteur, der behauptet, Zugang zu Anmeldeinformationen zu haben). Die Ergebnisse der Malware Detonation Sandbox konzentrieren sich jedoch auf Ausnutzungstaktiken (z. B. Ausführung, Persistenz oder Privilegienausweitung), die auf einer dynamischen Analyse der übermittelten bösartigen Samples basieren. Die Ergebnisse der Angriffsvektoren basieren auf der Verarbeitung und Klassifizierung von Taktiken, die bei Cyberangriffen weltweit eingesetzt werden, wobei die Recorded Futuresehr unterschiedlich ist.
Da Insikt Notes, Ergebnisse der Malware Detonation Sandbox und Verweise auf Angriffsvektoren unterschiedliche Taktikbereiche abdecken, erfassen die drei Abfragen zusammen den gesamten Lebenszyklus der Kerntechniken, die bei Cyberangriffen im Jahr 2020 zum Einsatz kamen, besser.
Jede Spalte unten ist mit den am häufigsten referenzierten MITRE ATT&CK-Techniken pro Auftreten in Insikt Notes, Auftreten in unserer Malware Detonation Sandbox-Quelle oder Verbindung mit Angriffsvektor-Entitäten in der Recorded Future Platform gefüllt. Die Listen in dieser Tabelle sind in absteigender Reihenfolge der Referenzanzahl sortiert.

Analyse der sechs wichtigsten ATT&CK-Techniken

Wir haben sechs Techniken identifiziert, die in zwei oder mehr Quellen beobachtet wurden, und von diesen waren nur zwei Techniken in allen drei Quellgruppen vorhanden: _T1027 – Verschleierte Dateien und Informationen_ und T1055 – Prozessinjektion. Diese beiden Techniken, die unter die Taktiken „ Defense Evasion “ (TA0005) bzw. „Privilege Escalation “ (TA0004) fallen, werden von Bedrohungsakteuren so häufig eingesetzt, weil sie für die meisten erfolgreichen Cyber-Bedrohungsoperationen unverzichtbar sind. Dies steht im Gegensatz zu spezifischen Techniken wie T1486 – „Data Encrypted for Impact“, die nur für Ransomware-Betreiber von Nutzen sind.
Die zusätzlichen Techniken T1098 – Kontomanipulation, T1219 – Remote Access Tools, T1082 – System Information Discovery und T1018 – Remote System Discovery waren nur in zwei der drei Quelltypen vorhanden. Diese Techniken stellen nur einen kleinen Teil der Cyberlandschaft des Jahres 2020 dar. Dazu gehören opportunistische Bedrohungsakteure, die sich aufgrund von COVID-19 die Möglichkeit einer Remote-Belegschaft zunutze machen, sowie die massive Ausweitung bekannter Ransomware-Betreiber auf Exfiltration und Erpressung.
Im Einklang mit den Ergebnissen von 2019 ist die wichtigste Taktik, die diesen Techniken gemeinsam ist, die „ Verteidigungsflucht“. Bedrohungsakteure, die Ransomware, Remote Access Tools (RATs) oder Infostealer einsetzen, versuchen alle, der Erkennung zu entgehen. Dies geschieht entweder durch verschleierte Dateien, die bei der statischen Dateierkennung unentdeckt bleiben, oder indem sie sich durch Prozessinjektionstechniken als legitime Dienste tarnen.
Die Insikt Group hat für jede der sechs Techniken aus dem vergangenen Jahr relevante Beispiele zusammengestellt, darunter die damit verbundene Schadsoftware, Bedrohungsakteure und die damit verbundenen Techniken. Vorschläge zur Schadensbegrenzung und Erkennung sind für jede erwähnte Schadsoftware in der Zeile verlinkt.
Zusätzliche ATT&CK-Technikanalyse und -Erkennung

Die Insikt Group hat 16 weitere MITRE ATT&CK-Techniken (Tabelle 3) identifiziert, die im Jahr 2020 von Bedrohungsakteuren häufig eingesetzt wurden. Sie wurden zwar in einer der „Top 10“-Listen der drei Abfragen identifiziert, kamen jedoch in nicht mehr als einer der Abfragen vor und werden daher im Abschnitt „Analyse der Top-Techniken“ oben nicht ausführlich aufgeführt.
Auf einige davon wird in den Unterabschnitten „Zugehörige Techniken“ verwiesen. Drei Techniken werden darunter mehr als einmal erwähnt: T1497 – Virtualisierung/Sandbox-Umgehung, T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading. Die Referenzen dieser Techniken, die unter den Taktiken „Defense Evasion“ und „Discovery“ kategorisiert sind, stammen aus der Malware Sandbox-Abfrage.
Das Erkennen dieser Techniken kann schwierig sein, da alle drei Techniken den Versuch beinhalten, ihre wahren Absichten zu verbergen oder sich in normale Aktivitäten einzufügen. Wie im MITRE ATT&CK-Glossar erwähnt, sollten Daten nicht isoliert betrachtet werden. Vielmehr sollten sie ein Aktivitätsmuster aufweisen, das Taktiken wie Defense Evasion oder Persistence hervorhebt. Durch die Korrelation dieser Techniken mit zusätzlichen hochpräzisen Ereignissen können Verteidiger bessere Hinweise auf verdächtige Aktivitäten finden.
T1497 – Virtualisierung/Sandbox-Umgehung ist keine neue Technik, aber ihre Verwendung hat im letzten Jahr zugenommen und manifestiert sich in Malware-Varianten wie Pysa Ransomware oder BABAX Stealer. Die Erkennung von T1497 – Virtualisierungs-/Sandbox-Evasion -Techniken kann mit der YARA-Regel Antidebug_antivm aus dem Yara Rules Project durchgeführt werden. Diese Yara-Regel erkennt nur eine Teilmenge der Virtualisierungs-/Sandbox-Umgehungstaktiken und sollte als Ausgangspunkt betrachtet oder in Verbindung mit anderen Erkennungstechniken oder -tools verwendet werden.
Die Erkennung beider Techniken T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading kann durch die Überwachung verdächtiger Aktivitäten in Ihren Überwachungstools erfolgen. Für T1083 – Datei- und Verzeichniserkennung gibt es bestimmte Befehle, die normalerweise ausgeführt werden, wenn ein Bedrohungsakteur aktiv ein Netzwerk auflistet. JPCERT hat einige der am häufigsten von Gegnern missbrauchten Befehle beschrieben . Die für die Dateierkennung und -aufzählung relevantesten Befehle sind „dir“, „type“, „net view“ und „net use“.
Die Erkennung von Befehlen wie „dir“, „type“, „net view“ und „net use“ allein reicht nicht aus, um Sie vor böswilligen Aktivitäten zu warnen, da diese auch von Systemadministratoren verwendet werden. Allerdings wäre die Ausführung dieser Befehle in Kombination mit dem Herunterladen einer Datei von einem Remote-Laufwerk beispielsweise innerhalb von 30 Minuten ein besserer Hinweis auf böswillige Aktivitäten. Darüber hinaus wird ein Bedrohungsakteur wahrscheinlich mehrere Erkennungstaktiken verwenden, darunter T1082 – System Information Discovery und T1018 – Remote System Discovery, wie wir in der Kategorie „Zugehörige Techniken“ beobachtet haben.
Ähnlich wie T1083 (Datei- und Verzeichniserkennung) basiert die Erkennung von T1036 (Masquerading) auf der Identifizierung des Missbrauchs legitimer Anwendungen und Tools. Die Sunburst-Malware ist ein gutes Beispiel für getarnte Malware, da der Code unter SolarWinds-Prozessen ausgeführt wird und für die C2-Kommunikation auch das SolarWinds Orion Improvement Program (OIP) verwendet. Um diese Aktivität zu erkennen, muss man das normale Verhalten solcher Tools verstehen und dann Anomalien identifizieren. Obwohl die Sunburst-Malware ausgefeilte Techniken zur Tarnung verwendet, ist eine Erkennung möglicherweise dennoch möglich, indem ausgehende Verbindungen überwacht werden oder Aktivitäten von SolarWinds-Prozessen, -Benutzern oder -Hosts überwacht werden, die auf den Erwerb von Anmeldeinformationen oder eine Ausweitung von Berechtigungen hindeuten.
Ausblick
Das ATT&CK-Framework ist darauf ausgelegt, den Lebenszyklus eines Cyberangriffs anhand einer Reihe von TTPs abzubilden, die von der Cybersicherheits-Community anerkannt werden. Verteidiger können Cyberangriffe diesem Framework zuordnen, um zu priorisieren, gegen welche Techniken sie sich verteidigen müssen. Während sich die Netzwerk- und Endpunkt-Verteidigungstechnologien an die neusten Bedrohungen anpassen, werden sich Angreifer weiterhin auf die Entwicklung innovativer Methoden konzentrieren, um der Erkennung durch die Verteidiger zu entgehen. Der ständige Kampf zwischen Angreifern und Verteidigern ist der Grund, warum die Verteidigungsflucht jedes Jahr die am weitesten verbreitete Taktik bleibt.
Zwar sollten Verteidiger den Einsatz von Tools und Erkennungsfunktionen zur Identifizierung von Angreifern während der Phase des Erstzugriffs priorisieren, um den Angriff zu stoppen, bevor er das Opfer infiziert, doch ist dies nicht immer möglich oder einfach. Verteidiger sollten außerdem den 37 Techniken der Defense Evasion- Taktik Priorität einräumen, insbesondere denjenigen, die in diesem Bericht beschrieben werden und im Jahr 2020 am häufigsten zum Einsatz kamen. Eine Herausforderung für Verteidiger beim Erstellen von Erkennungen für eine bestimmte Technik zur Umgehung der Verteidigung , wie etwa T1140 – Deobfuscate/Decode Files or Information (Dateien oder Informationen entschlüsseln/dekodieren), ist die große Vielfalt an Implementierungen, die Angreifer verwenden. In diesen Fällen ist es wichtiger, sich auf die zugrunde liegenden erkennbaren Artefakte und Verhaltensweisen zu konzentrieren, die hinter der jeweiligen Technik verborgen sind, als auf die Technik selbst.
Im Einklang mit den Erkenntnissen des letzten Jahres war Discovery im Jahr 2020 nach Defense Evasion die zweithäufigste Taktik. Der umfassende Einsatz der Discovery- Taktik unterstreicht das gemeinsame Ziel fast aller Angreifer, vertrauliche Informationen zu entdecken und zu stehlen. Dazu gehören Ransomware-Betreiber wie diejenigen hinter Netwalker, die Daten zu Erpressungszwecken entdecken und exfiltrieren, Info-Diebe wie FickerStealer, die nach Bitcoin-Wallets suchen, und RATs wie SDBbot, die Netzwerk-Scans für zukünftige Lateralbewegungen durchführen. Viele der von Bedrohungsakteuren zur Erkennung verwendeten Techniken haben, wie oben beschrieben, legitime Verwendungszwecke. Verteidiger sollten sich daher auf die Erstellung von Erkennungsmechanismen konzentrieren, um den Missbrauch dieser legitimen Anwendungen und Tools zu identifizieren.
Die Identifizierung von Techniken, die durch die Defense Evasion and Discovery-Taktiken zusammengefasst sind, gibt dem Verteidiger oft die Möglichkeit, einen Angriff während einer aktiven Operation zu erkennen, was für die Schadensbegrenzung entscheidend ist. Obwohl diese beiden Taktiken von Verteidigern priorisiert werden sollten, ist es dennoch wichtig, Erkennungen für die anderen 12 Taktiken zu erstellen. Jedes Mal, wenn ein Angreifer eine andere Technik in der ATT&CK-Matrix anwendet, bietet sich dem Verteidiger eine neue Möglichkeit, die bösartige Aktivität zu erkennen. Mithilfe der in den einzelnen Abschnitten beschriebenen Gegenmaßnahmen, öffentlich zugänglicher ATT&CK-kartierter Erkennungsmechanismen und Insikt Group Hunting Packages können Verteidiger über die Abwehrmaßnahmen gegen die neuesten TTPs auf dem Laufenden bleiben.