Einführung in MITRE ATT&CK: die Karte der Cyberangriffe

Was ist MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist eine globale Wissensdatenbank, die die Taktiken und Techniken von Cyberangreifern in der realen Welt katalogisiert. 2013 als internes Projekt der MITRE Corporation gestartet, ist es heute der De-facto-Standard für Sicherheitsteams weltweit.

Im Gegensatz zu anderen Frameworks beschreibt ATT&CK keine Schwachstellen oder Fehlkonfigurationen, sondern das Verhalten der Angreifer. Dies macht es zu einem mächtigen Werkzeug sowohl für Angreifer (Red Team) als auch für Verteidiger (Blue Team).

Die 14 Enterprise-Taktiken

Das Enterprise-Framework — das am häufigsten für Windows-, Linux- und Cloud-Umgebungen verwendete — ist in 14 Taktiken gegliedert, die die übergeordneten Ziele eines Angreifers darstellen:

1. Reconnaissance — Informationssammlung über das Ziel vor dem Angriff
2. Resource Development — Beschaffung von Infrastruktur, Konten und Werkzeugen
3. Initial Access — Wie der Angreifer ins Netzwerk gelangt (Phishing, öffentliche Exploits)
4. Execution — Ausführen von Schadcode auf dem Zielsystem
5. Persistence — Mechanismen zur Aufrechterhaltung des Zugangs auch nach einem Neustart
6. Privilege Escalation — Erlangung höherer Berechtigungen
7. Defense Evasion — Techniken zur Umgehung der Erkennung
8. Credential Access — Diebstahl von Zugangsdaten und Hashes
9. Discovery — Erkundung der kompromittierten Umgebung
10. Lateral Movement — Wechsel von einem System zum anderen im Netzwerk
11. Collection — Sammlung relevanter Daten
12. Command and Control (C2) — Kommunikation mit kompromittierten Systemen
13. Exfiltration — Extraktion gestohlener Daten nach außen
14. Impact — Abschlussaktionen: Verschlüsselung, Löschung, Sabotage

Ein praktisches Beispiel: T1059 — Command and Scripting Interpreter

Eine der am häufigsten verwendeten Techniken ist T1059, die zur Taktik Execution gehört. Angreifer verwenden legitime Befehlsinterpreter — PowerShell, bash, Python, cmd.exe — um Schadcode auszuführen, der oft direkt in den Speicher geladen wird, ohne die Festplatte zu berühren.

powershell -enc [Base64EncodedPayload]

Wie man sich schützt:

• PowerShell-Logging aktivieren (Script Block Logging, Transkription)
• AppLocker oder Windows Defender Application Control verwenden
• Anomale Kindprozesse von Office, Browsern oder E-Mail-Clients überwachen
• SIEM mit spezifischen Regeln für T1059 integrieren

Warum ATT&CK in der Praxis nutzen

ATT&CK ist auf allen Ebenen eines Sicherheitsteams nützlich:

• Blue Team: Erkennungsfähigkeiten jeder Technik zuordnen, Lücken identifizieren
• Red Team: realistische Angriffssimulationen auf Basis echter Bedrohungsakteure planen
• SOC-Analyst: Warnmeldungen und Vorfälle mit spezifischen Techniken korrelieren
• CISO / Management: Risiken in verständlichen Begriffen kommunizieren

Tools wie der ATT&CK Navigator ermöglichen es, auf einer farbcodierten Matrix zu visualisieren, welche Techniken erkannt werden können und welche nicht.

Fragen zu MITRE ATT&CK? Schreiben Sie mir.