>
Research (Insikt)

Die sechs häufigsten MITRE ATT&CK-Techniken, die im Jahr 2020 identifiziert wurden, sind Taktiken zur Umgehung der Verteidigung [Bericht]

Veröffentlicht: 3. Februar 2021
Von: Insikt Group

insikt-group-logo-aktualisiert-3.png

Dieser Bericht skizziert einen Überblick über die Taktiken und Techniken auf hoher Ebene, die in Datenquellen der Recorded Future ® -Plattform markiert und im Jahr 2020 dem MITRE ATT&CK-Framework zugeordnet sind. Die Daten umfassen den Zeitraum vom 1. Januar bis 1. Dezember 2020. Dieser Bericht richtet sich an alle, die mit dem MITRE ATT&CK-Framework vertraut sind. Er ist insbesondere für Sicherheitsteams relevant, die sich bei Red- und Blue-Team-Übungen, Penetrationstests, der Bedrohungssuche und verschiedenen Priorisierungen von Sicherheitsprotokollen auf das Framework verlassen.

Executive Summary

Im Jahr 2020 waren die sechs am häufigsten verwendeten Techniken laut der Recorded Future Platform T1027 – Verschleierte Dateien und Informationen, T1055 – Prozessinjektion, T1098 – Kontomanipulation, T1219 – Remote-Zugriffstools, T1082 – Ermittlung von Systeminformationen und T1018 – Remote-Systemermittlung. Zu den weiteren „Zugehörigen Techniken“ bzw. MITRE ATT&CK-Techniken, die mit den Top sechs in Zusammenhang standen, gehörten die folgenden drei: T1497 – Virtualisierung/Sandbox-Umgehung, T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading.

Vier dieser Techniken werden der Taktik „Verteidigungsausweichung“ zugeordnet, gefolgt von „Beharrlichkeit“ und „Entdeckung“. Dass in den Daten vorwiegend Taktiken zur Umgehung der Verteidigung zum Einsatz kommen, steht im Einklang mit den Beobachtungen der Insikt Group, wonach diese Taktiken bei Schadsoftware immer häufiger zum Einsatz kommen. Durch die Identifizierung dieser Techniken lässt sich besser einschätzen, wie die Cyber-Bedrohungslandschaft im letzten Jahr aussah: von opportunistischen Bedrohungsakteuren, die sich aufgrund von COVID-19 die Tatsache zunutze machten, dass die Belegschaft remote arbeitet, bis hin zu massiven Ausweitungen bekannter Ransomware-Betreiber auf Exfiltration und Erpressung. Alle identifizierten Techniken waren entscheidend für den Erfolg der Cyberangriffe im Jahr 2020.

Die Herausforderung für die Verteidiger besteht darin, diese Informationen nutzbar zu machen. Die Erkennung einiger dieser Techniken kann schwierig sein, da fortgeschrittenere Bedrohungsakteure versuchen, ihre wahren Absichten zu verbergen oder sich in ihre normalen Aktivitäten einzufügen. Wie im MITRE ATT&CK-Glossar erwähnt , sollten Daten nicht isoliert betrachtet werden, sondern vielmehr als Aktivitätsmuster, das Taktiken wie Defense Evasion oder Persistence hervorhebt. Durch die Korrelation dieser Techniken mit zusätzlichen hochpräzisen Ereignissen können Verteidiger bessere Hinweise auf verdächtige Aktivitäten finden. Wir haben in diesen Bericht sowohl Erkennungen einzelner Schadsoftware aufgenommen, die mithilfe der hervorgehobenen Techniken beobachtet wurde, als auch Erkennungsstrategien auf höherer Ebene.

Hintergrund

MITRE ATT&CK ist eine weltweit zugängliche Wissensdatenbank zu gegnerischen Taktiken und Techniken, die auf Beobachtungen aus der realen Welt basiert. Das ATT&CK-Framework wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und Methoden im privaten Sektor, in der Regierung und in der Community für Cybersicherheitsprodukte und -dienstleistungen verwendet. Mithilfe des ATT&CK-Frameworks erhalten Sicherheitsteams einen umfassenderen Überblick über das Verhalten der Gegner, sodass Abwehr- und Erkennungsmethoden anhand der Techniken getestet werden können. Es ist in vielen Cybersicherheitsdisziplinen zu einem nützlichen Werkzeug geworden, um Informationen bereitzustellen, Trends bei Taktiken und Techniken zu verfolgen, Tests durch Red Teaming oder Gegneremulation durchzuführen und die Netzwerk- und Systemabwehr gegen Eindringlinge zu verbessern.

Das ATT&CK-Framework hat sich seit seiner Veröffentlichung im Jahr 2018 weiterentwickelt und enthält fast 200 einzigartige Taktiken, Techniken und Verfahren (TTPs). Die kürzlich erfolgte Konsolidierung des Pre-ATT&CK-Frameworks mit dem wichtigsten Enterprise-ATT&CK-Framework sowie die Einführung von Untertechniken haben die Benutzerfreundlichkeit des Frameworks nur verbessert.

Methodik

In unserem Bericht von 2019 verließ sich die Insikt Group auf die Recorded Future Malware Detonation Sandbox als Quelle für die Ermittlung der besten ATT&CK-Techniken. Basierend auf den Änderungen am ATT&CK-Framework und der kontinuierlichen Verbesserung der Recorded Future-Daten haben wir drei Abfragen in der Recorded Future-Plattform verwendet, um die „besten“ MITRE ATT&CK-Techniken zu ermitteln, die im Jahr 2020 verwendet wurden. Die Daten jeder Abfrage werden aus Insikt Notes, Samples der Recorded Future Malware Detonation Sandbox und Angriffsvektoren entnommen, die automatisch von Recorded Future kategorisiert werden.

Die Notizen der Insikt Group decken ein breites Spektrum an Bedrohungsinformationen und Cyberangriffen ab, das in der ersten Abfrage dargestellt wird. Die zweite Abfrage, die die Beispielanalyse der Malware Detonation Sandbox als Quelle verwendet, bietet eine technische Perspektive, die sich auf die Ausführung von Malware konzentriert. Die dritte Abfrage sucht nach Cyberangriffsereignissen, bei denen eine MITRE ATT&CK-Technik als Angriffsvektor angegeben wurde, um zu versuchen, zusätzliche Informationen zu erfassen. Die Abfragen wurden getrennt, um Fehlalarme auszuschließen und ein umfassenderes Bild der verwendeten Techniken zu erhalten.

Durch die zur Jahresmitte durchgeführte Überarbeitung des ATT&CK-Frameworks, das Pre-ATT&CK und Untertechniken umfasste, entstand unserer Ansicht nach eine genauere und detailliertere Darstellung der Cyber-Kill-Chain von der Aufklärung bis zur Exfiltration und darüber hinaus. Die Notizen der Insikt Group decken Taktiken vor und nach der Ausnutzung ab (Aufklärung, Erstzugriff, Einfluss usw.), da sie sich auf fertige Informationen oder „Hörensagen“ (z. B. wenn ein Bedrohungsakteur behauptet, Zugriff auf Anmeldeinformationen zu haben) beziehen. Die Ergebnisse der Malware Detonation Sandbox konzentrieren sich jedoch auf Ausnutzungstaktiken (wie etwa Ausführung, Persistenz oder Rechteausweitung), die auf einer dynamischen Analyse der übermittelten bösartigen Proben basieren. Die Ergebnisse zum Angriffsvektor basieren auf der Verarbeitung und Klassifizierung der bei Cyberangriffen weltweit eingesetzten Taktiken durch Recorded Future, die erheblich variierten.

Da Insikt Notes, Ergebnisse der Malware Detonation Sandbox und Verweise auf Angriffsvektoren unterschiedliche Taktikbereiche abdecken, erfassen die drei Abfragen zusammen den gesamten Lebenszyklus der Kerntechniken, die bei Cyberangriffen im Jahr 2020 zum Einsatz kamen, besser.

Jede Spalte unten ist mit den am häufigsten referenzierten MITRE ATT&CK-Techniken pro Auftreten in Insikt Notes, Auftreten in unserer Malware Detonation Sandbox-Quelle oder Verbindung mit Angriffsvektor-Entitäten in der Recorded Future Platform gefüllt. Die Listen in dieser Tabelle sind in absteigender Reihenfolge der Referenzanzahl sortiert.

top-2020-mitre-techniken-1-1-skaliert.jpg

top-2020-mitre-techniken-2-1.png

Tabelle 1: Top 10 der MITRE ATT&CK-Techniken, kategorisiert nach Abfrage (Quelle: Recorded Future)

Analyse der sechs wichtigsten ATT&CK-Techniken

top-2020-mitra-techniken-3-1.png

Tabelle 2: Insgesamt die sechs wichtigsten ATT&CK-Techniken im Jahr 2020 (Quelle: Recorded Future)

Wir haben sechs Techniken identifiziert, die in zwei oder mehr Quellen beobachtet wurden, und von diesen waren nur zwei Techniken in allen drei Quellgruppen vorhanden: _T1027 – Verschleierte Dateien und Informationen_ und T1055 – Prozessinjektion. Diese beiden Techniken, die unter die Taktiken „ Defense Evasion “ (TA0005) bzw. „Privilege Escalation “ (TA0004) fallen, werden von Bedrohungsakteuren so häufig eingesetzt, weil sie für die meisten erfolgreichen Cyber-Bedrohungsoperationen unverzichtbar sind. Dies steht im Gegensatz zu spezifischen Techniken wie T1486 – „Data Encrypted for Impact“, die nur für Ransomware-Betreiber von Nutzen sind.

Die zusätzlichen Techniken T1098 – Kontomanipulation, T1219 – Remote Access Tools, T1082 – System Information Discovery und T1018 – Remote System Discovery waren nur in zwei der drei Quelltypen vorhanden. Diese Techniken stellen nur einen kleinen Teil der Cyberlandschaft des Jahres 2020 dar. Dazu gehören opportunistische Bedrohungsakteure, die sich aufgrund von COVID-19 die Möglichkeit einer Remote-Belegschaft zunutze machen, sowie die massive Ausweitung bekannter Ransomware-Betreiber auf Exfiltration und Erpressung.

Im Einklang mit den Ergebnissen von 2019 ist die wichtigste Taktik, die diesen Techniken gemeinsam ist, die „ Verteidigungsflucht“. Bedrohungsakteure, die Ransomware, Remote Access Tools (RATs) oder Infostealer einsetzen, versuchen alle, der Erkennung zu entgehen. Dies geschieht entweder durch verschleierte Dateien, die bei der statischen Dateierkennung unentdeckt bleiben, oder indem sie sich durch Prozessinjektionstechniken als legitime Dienste tarnen.

Die Insikt Group hat für jede der sechs Techniken aus dem vergangenen Jahr relevante Beispiele zusammengestellt, darunter die damit verbundene Schadsoftware, Bedrohungsakteure und die damit verbundenen Techniken. Vorschläge zur Schadensbegrenzung und Erkennung sind für jede erwähnte Schadsoftware in der Zeile verlinkt.

Zusätzliche ATT&CK-Technikanalyse und -Erkennung

top-2020-mitra-techniken-4-1.png

Tabelle 3: Verbleibende MITRE ATT&CK-Techniken, wie in der Methodik dargestellt (Quelle: Recorded Future)

Die Insikt Group hat 16 weitere MITRE ATT&CK-Techniken (Tabelle 3) identifiziert, die im Jahr 2020 von Bedrohungsakteuren häufig eingesetzt wurden. Sie wurden zwar in einer der „Top 10“-Listen der drei Abfragen identifiziert, kamen jedoch in nicht mehr als einer der Abfragen vor und werden daher im Abschnitt „Analyse der Top-Techniken“ oben nicht ausführlich aufgeführt.

Auf einige davon wird in den Unterabschnitten „Zugehörige Techniken“ verwiesen. Drei Techniken werden darunter mehr als einmal erwähnt: T1497 – Virtualisierung/Sandbox-Umgehung, T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading. Die Referenzen dieser Techniken, die unter den Taktiken „Defense Evasion“ und „Discovery“ kategorisiert sind, stammen aus der Malware Sandbox-Abfrage.

Das Erkennen dieser Techniken kann schwierig sein, da alle drei Techniken den Versuch beinhalten, ihre wahren Absichten zu verbergen oder sich in normale Aktivitäten einzufügen. Wie im MITRE ATT&CK-Glossar erwähnt, sollten Daten nicht isoliert betrachtet werden. Vielmehr sollten sie ein Aktivitätsmuster aufweisen, das Taktiken wie Defense Evasion oder Persistence hervorhebt. Durch die Korrelation dieser Techniken mit zusätzlichen hochpräzisen Ereignissen können Verteidiger bessere Hinweise auf verdächtige Aktivitäten finden.

T1497 – Virtualisierung/Sandbox-Umgehung ist keine neue Technik, aber ihre Verwendung hat im letzten Jahr zugenommen und manifestiert sich in Malware-Varianten wie Pysa Ransomware oder BABAX Stealer. Die Erkennung von T1497 – Virtualisierungs-/Sandbox-Evasion -Techniken kann mit der YARA-Regel Antidebug_antivm aus dem Yara Rules Project durchgeführt werden. Diese Yara-Regel erkennt nur eine Teilmenge der Umgehungstaktiken für Virtualisierung/Sandbox und sollte als Ausgangspunkt betrachtet oder in Verbindung mit anderen Erkennungstechniken oder -tools verwendet werden.

Die Erkennung beider Techniken T1083 – Datei- und Verzeichniserkennung und T1036 – Masquerading kann durch die Überwachung Ihrer Überwachungstools auf verdächtige Aktivitäten erfolgen. Für T1083 – Datei- und Verzeichniserkennung gibt es bestimmte Befehle, die normalerweise ausgeführt werden, wenn ein Bedrohungsakteur aktiv ein Netzwerk auflistet. JPCERT hat einige der am häufigsten von Angreifern missbrauchten Befehle beschrieben . Die für die Dateierkennung und -aufzählung wichtigsten Befehle sind „dir“, „type“, „net view“ und „net use“.

Die Erkennung von Befehlen wie „dir“, „type“, „net view“ und „net use“ allein reicht nicht aus, um Sie vor böswilligen Aktivitäten zu warnen, da diese auch von Systemadministratoren verwendet werden. Allerdings wäre die Ausführung dieser Befehle in Kombination mit dem Herunterladen einer Datei von einem Remote-Laufwerk beispielsweise innerhalb von 30 Minuten ein besserer Hinweis auf böswillige Aktivitäten. Darüber hinaus wird ein Bedrohungsakteur wahrscheinlich mehrere Erkennungstaktiken verwenden, darunter T1082 – System Information Discovery und T1018 – Remote System Discovery, wie wir in der Kategorie „Zugehörige Techniken“ beobachtet haben.

Ähnlich wie T1083 (Datei- und Verzeichniserkennung) basiert die Erkennung von T1036 (Masquerading) auf der Identifizierung des Missbrauchs legitimer Anwendungen und Tools. Die Sunburst-Malware ist ein gutes Beispiel für getarnte Malware, da der Code unter SolarWinds-Prozessen ausgeführt wird und für die C2-Kommunikation auch das SolarWinds Orion Improvement Program (OIP) verwendet. Um diese Aktivität zu erkennen, muss man das normale Verhalten solcher Tools verstehen und dann Anomalien identifizieren. Obwohl die Sunburst-Malware ausgefeilte Techniken zur Tarnung verwendet, ist eine Erkennung möglicherweise dennoch möglich, indem ausgehende Verbindungen überwacht werden oder Aktivitäten von SolarWinds-Prozessen, -Benutzern oder -Hosts überwacht werden, die auf den Erwerb von Anmeldeinformationen oder eine Ausweitung von Berechtigungen hindeuten.

Ausblick

Das ATT&CK-Framework ist darauf ausgelegt, den Lebenszyklus eines Cyberangriffs anhand einer Reihe von TTPs abzubilden, die von der Cybersicherheits-Community anerkannt werden. Verteidiger können Cyberangriffe diesem Framework zuordnen, um zu priorisieren, gegen welche Techniken sie sich verteidigen müssen. Während sich die Netzwerk- und Endpunkt-Verteidigungstechnologien an die neusten Bedrohungen anpassen, werden sich Angreifer weiterhin auf die Entwicklung innovativer Methoden konzentrieren, um der Erkennung durch die Verteidiger zu entgehen. Der ständige Kampf zwischen Angreifern und Verteidigern ist der Grund, warum die Verteidigungsflucht jedes Jahr die am weitesten verbreitete Taktik bleibt.

Zwar sollten Verteidiger den Einsatz von Tools und Erkennungsfunktionen zur Identifizierung von Angreifern während der Phase des Erstzugriffs priorisieren, um den Angriff zu stoppen, bevor er das Opfer infiziert, doch ist dies nicht immer möglich oder einfach. Verteidiger sollten außerdem den 37 Techniken der Defense Evasion- Taktik Priorität einräumen, insbesondere denjenigen, die in diesem Bericht beschrieben werden und im Jahr 2020 am häufigsten zum Einsatz kamen. Eine Herausforderung für Verteidiger beim Erstellen von Erkennungen für eine bestimmte Technik zur Umgehung der Verteidigung , wie etwa T1140 – Deobfuscate/Decode Files or Information (Dateien oder Informationen entschlüsseln/dekodieren), ist die große Vielfalt an Implementierungen, die Angreifer verwenden. In diesen Fällen ist es wichtiger, sich auf die zugrunde liegenden erkennbaren Artefakte und Verhaltensweisen zu konzentrieren, die hinter der jeweiligen Technik verborgen sind, als auf die Technik selbst.

Im Einklang mit den Erkenntnissen des letzten Jahres war Discovery im Jahr 2020 nach Defense Evasion die zweithäufigste Taktik. Der umfassende Einsatz der Discovery- Taktik unterstreicht das gemeinsame Ziel fast aller Angreifer, vertrauliche Informationen zu entdecken und zu stehlen. Dazu gehören Ransomware-Betreiber wie diejenigen hinter Netwalker, die Daten zu Erpressungszwecken entdecken und exfiltrieren, Info-Diebe wie FickerStealer, die nach Bitcoin-Wallets suchen, und RATs wie SDBbot, die Netzwerk-Scans für zukünftige Lateralbewegungen durchführen. Viele der von Bedrohungsakteuren zur Erkennung verwendeten Techniken haben, wie oben beschrieben, legitime Verwendungszwecke. Verteidiger sollten sich daher auf die Erstellung von Erkennungsmechanismen konzentrieren, um den Missbrauch dieser legitimen Anwendungen und Tools zu identifizieren.

Mithilfe von Identifizierungstechniken, die in den Taktiken „Defense Evasion“ und „Discovery“ zusammengefasst sind, hat der Verteidiger häufig die Möglichkeit, einen Angriff während einer aktiven Operation zu erkennen, was für die Schadensminderung von entscheidender Bedeutung ist. Obwohl diese beiden Taktiken von den Verteidigern priorisiert werden sollten, ist es dennoch wichtig, Erkennungssysteme für die anderen zwölf Taktiken zu entwickeln. Jedes Mal, wenn ein Angreifer eine andere Technik in der ATT&CK-Matrix verwendet, bietet sich dem Verteidiger eine neue Gelegenheit, die bösartige Aktivität zu erkennen. Mithilfe der in den einzelnen Abschnitten beschriebenen Abhilfemaßnahmen, öffentlich verfügbaren, auf ATT&CK basierenden Erkennungsmechanismen und Insikt Group Hunting Packages können Verteidiger hinsichtlich ihrer Abwehrmaßnahmen gegen die neuesten TTPs auf dem neuesten Stand bleiben.

Verwandt