TTPs: Angriffsstrategien verstehen und durchkreuzen

Inhaltsverzeichnis

Nicht nur im heise Security-Newsticker ist sie Dauergast: die Ransomware Blackcat, auch bekannt als AlphV. Die Gang hinter dem Schadcode spielt Katz und Maus mit den Strafverfolgungsbehörden, leakte in der Vergangenheit unter anderem sensible Informationen des internationalen Rüstungszulieferers Ultra und knöpfte dem US-Konzern UnitedHealth rund 22 Millionen US-Dollar Lösegeld ab. Auch in Deutschland gehört die berüchtigte Ransomware-as-a-Service laut BKA zur Top 10 der erpresserischen Bedrohungen.

Die gute Nachricht: Es gibt durchaus Möglichkeiten, sich gezielt gegen solche Ransomware-Raubzüge zu wappnen. Aus Analysen kompromittierter Systeme, polizeilichen Ermittlungen und Erfahrungsberichten Betroffener fügt sich ein Gesamtbild zusammen, das Ziele, Strategien und detaillierte Vorgehensweisen der kriminellen Akteure offenbart.

Am Beispiel Blackcat erklären wir, was dieses als Tactics, Techniques and Procedures (TTPs) bezeichnete Gesamtbild so wertvoll für die Bedrohungsabwehr macht und wie man es zum Schutz des eigenen Unternehmens einsetzen kann. Ebenfalls Thema: die Wissensdatenbank MITRE ATT&CK als nützliche TTP-Recherchequelle.

Vorgehensweise der Angreifer aufgeschlüsselt

Als TTPs bezeichnet man das Wissen um die detaillierte Vorgehensweise eines bestimmten Akteurs während sämtlicher Phasen seines Cyberangriffs. Die drei Begriffe Tactics, Techniques und Procedures sind einander untergeordnet:

• Die Taktik bezeichnet die abstrakte Beschreibung dessen, was ein Angreifer mit einer bestimmten Vorgehensweise erreichen möchte.
• Um dieses Ziel zu erreichen, kann er verschiedene Techniken anwenden.
• Das Umsetzen einer Technik umfasst wiederum eine Sequenz bestimmter Aktionen – eine detailliert beschreibbare Prozedur.

Anschaulich lässt sich dies an einem Security-Advisory der CISA zu Blackcat von Februar 2024 erklären. Zum Beschreiben der Bedrohung greift die US-Behörde darin auf das sogenannte MITRE ATT&CK-Framework zurück. Anhand von Einträgen, die mit IDs versehen sind, beschreibt die Wissensdatenbank Tactics, Techniques und Procedures in vereinheitlichter, übersichtlicher Form.

In konkreten Fall erfährt man aus dem CISA-Advisory, dass Blackcat-Affiliates in der Vergangenheit initialen Zugriff auf die Infrastruktur von Unternehmen erlangten, indem sie sich als IT- beziehungsweise Helpdesk-Mitarbeiter ausgaben. Per Telefon oder SMS erfragten sie Zugangsdaten.

Diesem Vorgang ordnet die CISA die ATT&CK-ID T1958 zu. Schlägt man diese ID nun online nach, landet man im ATT&CK-Eintrag zur Technik "Phishing for Information". Dieser Technik ist die Taktik "Reconnaisance" (TA0043), also das Sammeln von Informationen für spätere Angriffsschritte, übergeordnet.

Blackcat nutzt also

• die Taktik "Reconnaisance"
• unter Anwendung der speziellen Technik "Phishing for Information",
• bei der als konkrete Prozedur Social Engineering in der im Advisory beschriebenen Ausgestaltung zur Anwendung kommt.

Langlebige Strategien …

Das Wissen um TTPs eines bestimmten Angreifers eignet sich besonders gut, um langfristig wirksame Präventionsmaßnahmen zu erarbeiten. Natürlich nehmen Cybergangs bisweilen Strategiewechsel vor, und gerade bei Ransomware-as-a-Service-Modellen wie Blackcat ist nicht auszuschließen, dass verschiedene Affiliates auch unterschiedliche Vorgehensweisen etwa zum Erlangen des initialen Zugriffs wählen. Und dennoch: Während einzelne Hacker-Tools oder Schadcode-Versionen häufig im Zuge verschiedener Kampagnen ausgetauscht werden, haben die übergeordneten TTPs vergleichsweise lange Bestand. Sie komplett umzuwerfen, ist deutlich aufwendiger.

Den Social-Engineering-Ansatz per Telefon wählten Blackcat-Erpresser etwa auch schon im September vergangenen Jahres: Damals führten sie in einem 10-Minuten-Gespräch erfolgreich Angestellte der milliardenschweren Casino- und Hotelkette MGM hinters Licht.

Der Gedanke, dass eine Mitarbeiterschulung zum Umgang mit sensiblen Daten am Telefon als Präventivmaßnahme womöglich Schlimmeres verhindert hätte, liegt in diesem Fall sehr nahe. In anderen Fällen, in denen geeignete Abwehrmaßnahmen schwieriger herzuleiten sind, kann MITRE ATT&CK mit möglichen Strategien aushelfen. Diese heißen in der Datenbank Mitigations (etwa: "Risikominderung") und umfassen etwa auch das soeben erwähnte "User Training" (M1017) gegen Social Engineering, Phishing und Co.

Bestimmten Techniken sind in ATT&CK jeweils konkrete Möglichkeiten zur Erkennung (Detection) und Mitigation zugeordnet. Ein gutes Beispiel hierfür liefert die ATT&CK-Übersicht zur Sub-Technik "Password Guessing" der übergeordneten Technik "Bruteforce". Zur Erkennung wird dort ein umfassendes Monitoring fehlgeschlagener Login-Versuche vorgeschlagen, um automatisiertem Ausprobieren auf die Spur zu kommen. Vorgeschlagene Mitigations sind unter anderem das Einführen einer Password-Policy sowie die Verwendung von Multi-Faktor-Authentifizierung.