Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

ATT&CK von MITRE – was steckt dahinter?

M.Sc. Chris Wojzechowski

Mit einer kostenlos zugänglichen Liste hat die Firma MITRE mit ATT&CK ein detailliertes Modell über die Verhaltensweisen von Angreifern veröffentlicht. Neben der ATT&CK Enterprise Liste, gibt es noch die PRE-ATT&CK Liste. In Kombination decken diese beiden Listen die Cyber Kill Chain ab und beschreiben ausführlich verschiedene Techniken, die von Angreifern verwendet werden.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


PRE-ATT&CK – Vor dem Angriff

Die PRE-ATT&CK Liste spiegelt die ersten drei Phasen der Cyber Kill Chain ab. Die Cyber Kill Chain ist ein Modell, welches die Stufen eines Angriffs darstellt, indem der Angreifer immer tiefer vordringt. Dieses Modell wurde von Lockheed Martin entwickelt und findet auch heute noch viele Referenzierungen, da sich die Stufen der Angriffe in den letzten Jahren nicht wesentlich verändert hat, sondern lediglich die Techniken innerhalb der Stufen veränderten sich in den vergangenen Jahren.

Die PRE-ATT&CK Liste umfasst 15 Themengebiete die wiederum durchschnittlich 10 Techniken beinhalten. Die gesamte Matrix befasst somit rund 150 verschiedene Techniken, die allesamt ausführlich beschrieben werden. Ein Beispiel für die Kategorie „People Information Gathering“ ist das sammeln von OSINT Daten.

ATT&CK Enterprise

In der Enterprise Kategorie befinden sich die letzten vier Stufen der Cyber Kill Chain. Inhaltlich geht es vom Erstzugriff, über die Laterale Bewegung und bspw. die Umgehung von Abwehrsystemen, bis hin zu der Ausschleusung. Das besondere an den Enterprise Matrizen ist, dass es für die bekanntesten Betriebssysteme (Windows, macOS, Linux) als auch für bekannte Cloud Anbieter (AWS, Azure, GCP, …) jeweils eine eigene Matrix gibt.

Der Grund dafür ist, dass diese Systeme ganz unterschiedlich aufgebaut sind, das heißt es werden abhängig vom Betriebssystem unterschiedliche Techniken verwendet um bspw. einen Befehl zur Ausführung zu bringen. Die Techniken, die vor einem Angriff stattfinden (PRE-ATT&CK) unterscheiden sich nicht zwischen den unterschiedlichen Systemen, da die Techniken um bspw. Informationen über ein Unternehmen zu sammeln, nicht von dem Betriebssystem der Computer innerhalb des Unternehmens abhängen.

ATT&CK - Matrizen
Neben der PRE-ATT&CK Matrix und den verschiedenen Enterprise Matrizen, gibt es auch für die Mobile Betriebssysteme iOS und Android eine Matrix (attack.mitre.org).

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Verwendung dieser Matrizen

Grundsätzlich helfen diese Matrizen in jeder Form dazu, einen Angriff besser zu verstehen und Verhaltensweisen der Angreifer zu erkennen. Daraus können sich verschiedene Nutzen entwickeln beispielsweise das Nennen von Akteuren. Denn verschiedene Hackergruppen benutzen unterschiedliche Funktionen und Angriffsmethoden. Erkennt man ein Muster der verwendeten Techniken kann so auf einen Akteur geschlossen werden.

Ein weiterer großer Nutzen ist, dass bei Penetrationstests beide Seiten, sowohl der Auftraggeber, als auch der Penetrationstester selber, in der gleichen Sprache kommunizieren können und beide jeweils die ATT&CK Matrix referenzieren können.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.