APT und gezielte Angriffe
MITRE ATT&CK liefert die ganze Angriffs-Story
MITRE ATT&CK ist ein äußerst wertvolles Instrument für die gesamte Cybersicherheitsbranche. In diesem Jahr wurden bei der Evaluierung zwei finanziell motivierte Bedrohungsgruppen mit ähnlichem Verhalten herangezogen, Carbanak und FIN7.
Originalbeitrag von Trend Micro
Die MITRE ATT&CK®-Wissensdatenbank ist ein äußerst wertvolles Instrument für den Fortschritt und die Abstimmung in der gesamten Cybersicherheitsbranche. Sie standardisiert die Interpretation der Vorgehensweise eines Angreifers und bietet eine gemeinsame Sprache zur Beschreibung des Verhaltens von Bedrohungsgruppen. Bei den von MITRE Engenuity durchgeführten Evaluierungen werden keine Punkte, Ranglisten oder Bewertungen erstellt. Unternehmen wird transparent aufgezeigt, wie ein Anbieter dabei unterstützen kann, Angriffe von bestimmten Bedrohungsgruppen zu erkennen. Durch die Ausrichtung auf das ATT&CK-Framework liefern diese Bewertungen eine vollständige Story des Ablaufs der Angriffe. Bei der aktuellen Evaluierung wurden Angriffe von zwei finanziell motivierte Bedrohungsgruppen mit ähnlichem Verhalten separat simuliert.
Die MITRE Engenuity ATT&CK-Evaluierungen bauen ihre Simulationen auf realen Advanced Persistent Threat (APT)-Angriffen auf und simulieren die Vorgehensweise und die operativen Abläufe bestimmter Bedrohungsgruppen. In diesem Jahr wurden bei der Evaluierung zwei finanziell motivierte Bedrohungsgruppen mit ähnlichem Verhalten separat herangezogen, Carbanak an Tag 1 und FIN7 an Tag 2, was insgesamt über 174 Schritte umfasste.
Bei Angriffen durch die Carbanak- beziehungsweise FIN7-Gruppen verschaffen sich die Kriminellen Zugang zu einem System über Spear-Phishing-Taktiken. Nachdem sie im System Fuß gefasst haben, wird die DDE-Funktion (Dynamic Data Exchange) in Windows und legitimen Cloud-basierten Diensten missbraucht, um die Malware auszuliefern oder eine Command-and-Control-Kommunikation (C&C) aufzubauen. Danach kann die Carbanak-Backdoor verwendet werden, um Tastatureingaben zu protokollieren und Screenshots zu erfassen, Cookies zu stehlen und zu löschen, bösartigen Code auf Websites zu injizieren und verschiedenen Datenverkehr zu überwachen. Für laterale Bewegungen missbraucht die Malware Remote- und Systemadministrations-Tools. Weitere Einzelheiten zu diesen Angriffen finden Interessierte in einem separaten Eintrag.
Bei den MITRE-Evaluierungen wird die Fähigkeit einer Lösung getestet, einen gezielten Angreifer zu erkennen. Das bedeutet, dass sich MITRE Engenuity im Gegensatz zu herkömmlichen Tests ausschließlich auf die Erkennungsfähigkeiten des Produkts konzentriert, nachdem ein Angriff stattgefunden hat. In diesem Jahr wurde jedoch eine optionale Evaluierung zur Fähigkeit eines Produkts, einen Angriff zu blockieren bzw. zu verhindern, eingeführt. Es wurde überprüft, wie effektiv ein Produkt eine laufende Bedrohung erkennt und sie stoppt, bevor weiterer Schaden entsteht.
Die Kompromittierung: Das Opfer ködern
Die Evaluierungs-Story beginnt damit, dass ein Manager, sei es aus der Bank oder dem Hotel, angegriffen wird. Die simulierten Angreifer schickten eine Spear-Phishing-Mail mit einem bösartigen Anhang an den Manager, um ihn zum Öffnen der E-Mail zu verleiten. Öffnete er den Anhang, erhielt die Bedrohungsgruppe einen ersten Zugriff.
Zugang aufrechterhalten: Die Beinarbeit
Nach dem Zugang zum Unternehmensnetzwerk des Opfers, müssen die Hintermänner die notwendigen Informationen sammeln, um ihr Ziel zu erreichen. Es gibt verschiedene Taktiken für den Weg der Angreifer. Sie halten den Zugang aufrecht und vermeiden eine Entdeckung durch Persistenz und Verteidigungsumgehungstechniken.
Der Angreifer nutzt die Eskalation von Privilegien, und das umfasst in der Regel das Ausnutzen bereits vorhandener Systemschwächen, Fehlkonfigurationen und Schwachstellen. Von hier aus greift der Bedrohungsakteur auf Anmeldeinformationen zu, sammelt diese und versucht, die richtigen Systeme zu finden, um sein Ziel zu erreichen.
Da die erwähnten Gruppen beide finanzielle Ziele haben, suchen sie nach Informationen, die ihnen beim Verkauf den größten monetären Erfolg bescheren können. Traditionell zielten Carbanak und Fin7 auf Personally Identifiable Information (PII) sowie Kreditkarteninformationen.
Laterale Bewegung: Such nach dem besten System
Die Bedrohungsgruppe nutzt laterale Bewegung, um das Zielsystem zu lokalisieren, über das sie die Kontrolle für Betrugszwecke oder zum Diebstahl von Daten übernehmen will. Dies ist ein kritischer Punkt bei der Angriffserkennung. Wenn die Bedrohungsakteure noch im Netzwerk präsent sind und sich lateral bewegen, ist die Datenkorrelation in der gesamten Umgebung entscheidend, um die Punkte zu verbinden und den Angreifer vor seinen letzten Schritten auszuschalten.
Trend Micro Vision One ist etwa für diesen Schritt bestens gerüstet. Die automatische Korrelation von Bedrohungsdaten aus verschiedenen Bereichen des Netzwerks und der Endpunkte liefert bessere Warnungen für Sicherheitsteams. Die Lösung sagt nicht nur, dass diese einzelnen Ereignisse alle aufgetreten sind - sie verbindet die Punkte für den Anwender und zeigt, dass sie möglicherweise zusammenhängen und ähnliche Indicators of Compromise wie eine bestimmte Angriffsgruppe oder -art aufweisen.
Zusammenfassung der Evaluierungs-Story
Der erste fortgeschrittene Angriff kam von der Carbanak Gruppe, die eine Bank ins Visier nahmen, eines der häufigsten Ziele dieser Gruppe. Der Angriff begann mit der Infiltrierung des HR-Managers, und dann suchten die Kriminellen über laterale Bewegungen das System des CFOs, von dem aus sie sensible Daten sammelten und gefälschte Geldüberweisungen ausführten.
Bild 1. Carbanak-Evaluierungsumgebung mit der Platzierung der Trend Micro-Lösung sowohl für Erkennung als auch im Verhinderungsszenario
Bei der zweiten Simulation handelte es sich um einen gestaffelten Angriff der Fin7-Gruppe auf eine Hotelkette. Erst infiltrierten die Kriminellen den Hotelmanager und hielten den Zugriff im Stillen solange aufrecht, bis die Zugangsdaten gesammelt und ein neues Opfersystem entdeckt wurde. Von dort aus kamen sie über laterale Bewegung zu einem IT-Administrationssystem, und gingen über zu einem Buchhaltungssystem, wo sie sich persistent einrichteten, um die Zahlungsdaten der Kunden abzugreifen.
Bild 2. FIN7-Evaluierungsumgebung mit der Platzierung der Trend Micro-Lösung sowohl für Erkennung als auch in Verhinderungsszenarios
Die dritte Simulation bestand aus zehn Angriffsszenarien mit 96 Tests, um die fortschrittlichen Präventionsmechanismen zu testen, mit denen die Gefährdung schnell reduziert werden kann und die es ermöglichen, auf seltenere Bedrohungen zu reagieren. Es ist wichtig, dass neben der Erkennung auch Präventionsmechanismen vorhanden sind. Es ist wichtig, dass neben der Erkennung auch Präventionskontrollen vorhanden sind, um hochentwickelte Bedrohungen wie diese zu verhindern und zu erkennen.
Bild 3. Frühes Blockieren verhindert die Ausbreitung des weiteren Angriffs
Erkennungstypen Für die Bewertung der Leistung von Anbietern ist es wichtig, die Hierarchie der Erkennungstypen zu berücksichtigen. Es gibt fünf Typen, die von MITRE ATT&CK identifiziert wurden:
- Keine: Obwohl keine Erkennungsinformationen angegeben sind, bedeutet "Keine" nicht, dass keine Erkennung stattgefunden hat. Vielmehr bedeutet es, dass die von MITRE Engenuity geforderten Erkennungskriterien nicht erfüllt wurden.
- Telemetrie: Es wurden Daten verarbeitet, die zeigen, dass ein Ereignis im Zusammenhang mit dem erkannten Prozess aufgetreten ist.
- Allgemein: Eine allgemeine Erkennung zeigt an, dass etwas als verdächtig eingestuft wurde, aber nicht einer bestimmten Taktik oder Technik zugeordnet wurde.
- Taktik: Eine Erkennung auf Taktik bedeutet, dass die Erkennung einem taktischen Ziel zugeordnet werden kann (z. B. Zugriff auf Zugangsdaten).
- Technik: Eine Erkennung auf Technik bedeutet, dass die Erkennung auf eine bestimmte gegnerische Aktion (z. B. Credential Dumping) zurückgeführt werden kann.
Ergebnisse, die als Erkennungstyp allgemein, Taktik und Technik kategorisiert sind, spiegeln angereicherte Daten wider, was eine gute Sache ist. Diese Erkennungen wie die individuelle MITRE ATT&CK-Technik und die zugehörige Taktik können dazu verwendet werden, die detaillierte Geschichte des Angriffs zu erzählen. Dies hat zu der generellen Erkenntnis geführt, dass allgemeine, taktische und technische Erkennungen herstellerübergreifend eine der Prioritäten sind. Taktiken sind vergleichbar mit einem Kapitel in einem Buch. Ein CISO kann eine Geschichte skizzieren, die er mit den bei einem Angriff verwendeten High-Level-Taktiken erzählen möchte, und sich dann auf die Techniken beziehen, um die Geschichte zu erzählen, wie der Angriff durchgeführt wurde, was zusätzliche Details liefert.
Bild 4. Carbanak- und FIN7-Evaluierung, 65 ATT&CK-Techniken über 11 ATT&CK-Taktiken hinweg sind der Umfang der Evaluierung
Bei der Evaluierung von Anbietern ist eine bedeutende Metrik die Anzahl der erkannten allgemeinen, taktischen und technischen Angriffe.
Telemetrie ermöglicht Sicherheitsanalysten auch den Zugriff auf die rohen Footprints, die tiefere Einblicke bieten. Diese Visibilität ist nötig, wenn die Experten detaillierte Angreiferaktivitäten über Assets hinweg untersuchen. Auch hier gilt: Es ist nicht nur wichtig, Zugang zu den Daten zu haben, sondern auch die Daten sinnvoll zu interpretieren.
Die Evaluierung der Trend Micro-Lösung
Während der Simulation erkannte die Trend Micro Vision One Plattform beide Angriffe erfolgreich und ermöglichte einen vollständigen Überblick über die gesamte Umgebung, sodass eine zentrale Erkennung und Nachforschung möglich war. Die Erfassung von über 167 Telemetriedaten und deren Korrelation mit über 139 angereicherten Datensätzen ermöglichte es dem Team, ein klares Bild davon zu zeichnen, was die Angreifer genau erreichen wollten. Die Trend Micro Vision One Plattform kann alle Telemetriedaten zusammenbringen, um die ganze Story eines Angriffs zu erzählen, und so Anwender beeindruckende Ergebnissen liefern:
- 96 % der Angriffsabdeckung, um 167 von 174 simulierten Schritten in den Evaluierungen sichtbar zu machen. Diese umfassende Sichtbarkeit ermöglicht es, ein klares Bild von dem Angriff zu erstellen und schneller zu reagieren.
- 100 % der Angriffe auf den Linux-Host wurden erkannt, wobei 14/14 Angreiferschritte erfasst wurden. Dieses Ergebnis ist auch vor dem Hintergrund der steigenden Beliebtheit von Linux, insbesondere bei der Verlagerung in die Cloud, sehr wichtig.
- 139 Telemetriedaten wurden von der Trend Micro Vision One Plattform angereichert, um eine sehr effektive Bedrohungsübersicht zu erhalten und Angriffe besser zu verstehen und zu untersuchen.
- 90 % der Angriffssimulationen wurden durch automatische Erkennung und Reaktion zu einem sehr frühen Zeitpunkt in jedem Test verhindert. Die frühzeitige Abwendung von Risiken setzt Untersuchungsressourcen frei, so dass sich die Teams auf die schwierigeren Sicherheitsprobleme konzentrieren können.
Fazit
Sicherheitsteams können das MITRE ATT&CK-Framework nutzen, um ein Narrativ zu erstellen, das die Sicherheitskommunikation im gesamten Unternehmen vereinfacht. Das Framework verschafft Sicherheitsteams auch einen besseren Überblick, und ein Sicherheitsexperte kann MITRE ATT&CK nutzen, um nach Abdeckungslücken zu suchen, um herauszufinden, wo ein Unternehmen möglicherweise für Bedrohungen anfällig ist. Danach kann er die Auswertungen nutzen, um Anbieter zu vergleichen und festzustellen, welche Lösungen am besten geeignet sind, diese Lücke zu schließen. Die erhöhte Transparenz kann auch helfen, Abdeckungsüberschneidungen zu identifizieren, die im Sinne der Kostenoptimierung angepasst werden könnten. Bei all den Vorteilen, die MITRE ATT&CK bietet, ist es eine ziemlich dichte Ansammlung von Informationen, die es zu sortieren und zu interpretieren gilt, daher wollen wir helfen, die Bewertung aufzuschlüsseln.
Trend Micro bietet hier Unterstützung, und startet den Prozess der Datenkorrelation für den Anwender, um eine größere Angriffskampagne besser erkennbar zu machen. Diese haben auch die Möglichkeit, die Beziehungen zum MITRE ATT&CK-Framework weiter zu erforschen oder mehr Informationen über bestimmte Angriffstypen und -gruppen von der Plattform zu erhalten.
In einer separaten dritten Runde wurden Präventionsmechanismen getestet, die zur Vermeidung von Risiken in der Umgebung eingesetzt werden. Dies war ein optionales Schutzszenario, an dem 17 der 29 Anbieter teilnahmen, darunter auch Trend Micro. Bei diesem speziellen Test schnitt Trend Micro mit der Fähigkeit, 90 % der Simulationen automatisch zu blockieren, hervorragend ab.
Ein weiteres zusätzliches Element in diesem Jahr, das eine besondere Erwähnung verdient, war die Einführung eines Linux-Servers, auf dem Trend Micro alle 14 Techniken erkannte, die in dem simulierten Angriffsszenario ausgeführt wurden. Die vollständigen Ergebnisse und weitere Informationen zu Trend Micro Vision One können Sie hier finden.