Offensive Services

ATT&CK von MITRE – was steckt dahinter?

Aktualisiert am

Mit einer kostenlos zugänglichen Liste hat die Firma MITRE mit ATT&CK ein detailliertes Modell über die Verhaltensweisen von Angreifern veröffentlicht. Neben der ATT&CK Enterprise Liste, gibt es noch die PRE-ATT&CK Liste. In Kombination decken diese beiden Listen die Cyber Kill Chain ab und beschreiben ausführlich verschiedene Techniken, die von Angreifern verwendet werden.

PRE-ATT&CK – Vor dem Angriff

Die PRE-ATT&CK Liste spiegelt die ersten drei Phasen der Cyber Kill Chain ab. Die Cyber Kill Chain ist ein Modell, welches die Stufen eines Angriffs darstellt, indem der Angreifer immer tiefer vordringt. Dieses Modell wurde von Lockheed Martin entwickelt und findet auch heute noch viele Referenzierungen, da sich die Stufen der Angriffe in den letzten Jahren nicht wesentlich verändert hat, sondern lediglich die Techniken innerhalb der Stufen veränderten sich in den vergangenen Jahren.

Die PRE-ATT&CK Liste umfasst 15 Themengebiete die wiederum durchschnittlich 10 Techniken beinhalten. Die gesamte Matrix befasst somit rund 150 verschiedene Techniken, die allesamt ausführlich beschrieben werden. Ein Beispiel für die Kategorie “People Information Gathering” ist das sammeln von OSINT Daten.

ATT&CK Enterprise

In der Enterprise Kategorie befinden sich die letzten vier Stufen der Cyber Kill Chain. Inhaltlich geht es vom Erstzugriff, über die Laterale Bewegung und bspw. die Umgehung von Abwehrsystemen, bis hin zu der Ausschleusung. Das besondere an den Enterprise Matrizen ist, dass es für die bekanntesten Betriebssysteme (Windows, macOS, Linux) als auch für bekannte Cloud Anbieter (AWS, Azure, GCP, …) jeweils eine eigene Matrix gibt.

Der Grund dafür ist, dass diese Systeme ganz unterschiedlich aufgebaut sind, das heißt es werden abhängig vom Betriebssystem unterschiedliche Techniken verwendet um bspw. einen Befehl zur Ausführung zu bringen. Die Techniken, die vor einem Angriff stattfinden (PRE-ATT&CK) unterscheiden sich nicht zwischen den unterschiedlichen Systemen, da die Techniken um bspw. Informationen über ein Unternehmen zu sammeln, nicht von dem Betriebssystem der Computer innerhalb des Unternehmens abhängen.

ATT&CK - Matrizen
Neben der PRE-ATT&CK Matrix und den verschiedenen Enterprise Matrizen, gibt es auch für die Mobile Betriebssysteme iOS und Android eine Matrix (attack.mitre.org).

Verwendung dieser Matrizen

Grundsätzlich helfen diese Matrizen in jeder Form dazu, einen Angriff besser zu verstehen und Verhaltensweisen der Angreifer zu erkennen. Daraus können sich verschiedene Nutzen entwickeln beispielsweise das Nennen von Akteuren. Denn verschiedene Hackergruppen benutzen unterschiedliche Funktionen und Angriffsmethoden. Erkennt man ein Muster der verwendeten Techniken kann so auf einen Akteur geschlossen werden.

Ein weiterer großer Nutzen ist, dass bei Penetrationstests beide Seiten, sowohl der Auftraggeber, als auch der Penetrationstester selber, in der gleichen Sprache kommunizieren können und beide jeweils die ATT&CK Matrix referenzieren können.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.