Seite 2: ... versus kurzlebigere IoCs

Inhaltsverzeichnis

Achtung: Nicht immer sind TTPs die beste Weapon of Choice. Um schnell auf bereits erfolgte Kompromittierungen zu reagieren und die akute Gefahr zu bannen, kann die Verwendung sehr konkreter Bedrohungsinformationen wie etwa dem Datei-Hash einer Malware-Variante zielführender sein als abstrakte TTP-Informationen. Verpackt in eine einfache YARA-Regel, spürt ein solcher Hash den spezifischen Schadcode zielsicher und unkompliziert auf.

Um sogenannte Indicators of Compromise (IoCs) – Spuren einer Systemkompromittierung wie IP-Adressen, Domainnamen oder Hacker-Tools – zur Bedrohungserkennung und -abwehr zu nutzen, muss man nicht erst das "große Ganze" eines Angriffs verstehen. Je nach Beschaffenheit kann man IoCs relativ einfach auf kompromittierten Systemen einsammeln und etwa der Blacklist, einer Firewall oder einem Mailfilter füttern. Auch öffentliche Quellen wie der CISA-Alert zu Blackcat enthalten kurzfristig verwertbare IoCs.

Beim Verstehen der jeweiligen Vor- und Nachteile von IoCs versus TTPs hilft ein wegweisender Informationsbeitrag zu IoCs von vergangenem Jahr. Darin setzen das britische National Cyber Security Centre (NCSC) und die Internet Engineering Task Force (IETF) die beiden Begriffe zueinander in Beziehung. Aus ihrem Blickwinkel stellen TTPs die abstrakteste Art von IoCs dar – im Gegensatz zu Hashes als präzisesten IoCs.

Die im Beitrag enthaltene Darstellung der sogenannten "Pyramid of Pain" verdeutlicht die Kehrseite eines Hashwertes oder etwa auch eines konkreten Domainnamens zur Bedrohungserkennung: das schnelle Verfallsdatum. Sobald die Malware neu kompiliert und gepackt wurde, ist die Wirkung etwa einer YARA-Regel allein auf dieser Basis gleich null. Genauso kann Schadcode neue Domainnamen generieren, was die alten nutzlos werden lässt.

TTPs sinnvoll einsetzen

Die Darstellung der Pyramid of Pain macht deutlich: Es lohnt, sich mit sowohl mit dem Konzept präziser IoCs als auch mit jenem abstrakter TTPs zu befassen und sie je nach Bedarf und konkretem Szenario einzusetzen.

Oder sie zu kombinieren: Indem man Angreifergruppen, ihre Tactics, Techniques and Procedures sowie einzelne, aktuelle IoCs zueinander in Beziehung setzt, entsteht ein umfassendes Gesamtbild der jeweiligen Bedrohung. Und falls Sie sich fragen, welche Angreifergruppen für Sie überhaupt relevant sind, empfehlen wir einen Blick auf zwei Listen der in Deutschland aktiven Tätergruppen. In denen führt das BSI respektive CERT-Bund von Blackcat/Alphv und Lockbit bis Fancy Bear aka Sofacy alle Gruppierungen auf, die in den letzten zwei Jahren Ziele in Deutschland angegriffen haben.

Sicherheitssoftware, die mit Threat-Intelligence-Daten arbeitet, kann dieses Wissen zur mehrstufigen Gefahrenabwehr ("Defense in Depth") verwenden. Oftmals lässt sich solche Software auch mit eigenen oder frei verfügbaren Bedrohungsdaten füttern, wie sie beispielsweise auf der Plattform Open Threat Exchange (OTX) verfügbar sind. Dafür verwendet man spezielle Standardformate wie STIX (Structured Threat Information eXpression). Wie die von der CISA angelegte STIX-Datei unseres Blackcat-Beispiels zeigt, kann man damit Bedrohungen anhand von TTPs, IoCs und anderen relevanten Informationen umfassend beschreiben.

Abschließend seien noch einmal die vielfältigen Recherchemöglichkeiten nach TTPs bei MITRE ATT&CK hervorgehoben. Vor allem die Ausgangskategorien "Groups", Software" und "Campaigns" eignen sich zum gezielten Nachschlagen bestimmter Akteure und ihrer Strategien. Weiterhin sind die verfügbaren Tipps zur Gefahrenerkennung und -abwehr auch dann hilfreich, wenn Sie ganz allgemein nach Möglichkeiten suchen, Ihre Infrastruktur besser gegen bestimmte Angriffsmuster abzusichern.

Wer Bedrohungsszenarien realitätsnah durchspielen will, wirft einen Blick auf MITREs Adversary Emulation Library bei GitHub. Auf Basis von Adversary Emulation Plans, die sich jeweils auf konkrete Akteure beziehen, kann man praktisch erproben, ob und welche Schwachstellen gegen deren TTPs noch offen sind. Praktisch: Die Szenarien nehmen unter Angabe von IDs Bezug auf die ATT&CK Tactics & Techniques.

(ju)