Von den Hunderten dokumentierten MITRE ATT&CK-Techniken dominieren zwei das Feld: Befehls- und Skriptinterpreter (T1059) und Phishing (T1566).

In einer Bericht veröffentlicht am 10. AprilD3 Security hat mehr als 75,000 aktuelle Cybersicherheitsvorfälle analysiert. Ziel war es herauszufinden, welche Angriffsmethoden am häufigsten vorkommen.

Die Ergebnisse zeichnen ein klares Bild: Diese beiden Techniken übertrafen alle anderen um Größenordnungen, wobei die beste Technik die Zweitplatzierte um den Faktor drei übertraf.

Für Verteidiger, die nur begrenzte Aufmerksamkeit und Ressourcen zuweisen möchten, finden Sie hier nur einige der gängigsten Angriffs- und Angriffstechniken und wie man sich dagegen verteidigt.

Ausführung: Befehls- und Skriptinterpreter (wird bei 52.22 % der Angriffe verwendet)

Was es ist: Angreifer schreiben Skripte hinein beliebte Sprachen wie PowerShell und Python für zwei Hauptzwecke. Am häufigsten werden sie verwendet, um böswillige Aufgaben wie das Sammeln von Daten oder das Herunterladen und Extrahieren einer Nutzlast zu automatisieren. Sie sind auch nützlich, um der Erkennung zu entgehen – indem sie Antivirenlösungen, erweiterte Erkennung und Reaktion (XDR) und dergleichen umgehen.

Dass diese Drehbücher mit Abstand die Nummer 1 auf dieser Liste sind, überrascht Adrianna Chen, Vizepräsidentin für Produkt und Service bei D3, besonders. „Da Command and Scripting Interpreter (T1059) unter die Ausführungstaktik fällt, befindet es sich in der mittleren Phase der MITRE ATT&CK-Kill-Kette“, sagt sie. „Man kann also davon ausgehen, dass andere Techniken früherer Taktiken bereits unentdeckt geblieben sind, als das EDR-Tool sie erkennt. Angesichts der Tatsache, dass diese eine Technik in unserem Datensatz so prominent war, unterstreicht dies, wie wichtig es ist, über Prozesse zu verfügen, mit denen man den Ursprung eines Vorfalls zurückverfolgen kann.“

So wehren Sie sich dagegen: Da bösartige Skripte vielfältig und vielschichtig sind, erfordert der Umgang mit ihnen einen gründlichen Plan zur Reaktion auf Vorfälle, der die Erkennung potenziell böswilligen Verhaltens mit einer strengen Überwachung von Berechtigungen und Richtlinien zur Skriptausführung kombiniert.

Erster Zugriff: Phishing (15.44 %)

Was es ist: Phishing und seine Unterkategorie Spear-Phishing (T1566.001-004) sind die erste und dritthäufigste Methode für Angreifer, sich Zugang zu Zielsystemen und Netzwerken zu verschaffen. Das Ziel besteht darin, Opfer bei allgemeinen Kampagnen und bei gezielten Angriffen auf bestimmte Einzelpersonen oder Organisationen dazu zu zwingen, wichtige Informationen preiszugeben, die ihnen Zugang zu sensiblen Konten und Geräten verschaffen.

So wehren Sie sich dagegen: Sogar die klügsten und gebildetsten Viele von uns fallen auf raffiniertes Social Engineering herein. Regelmäßige Aufklärungs- und Sensibilisierungskampagnen können dazu beitragen, die Mitarbeiter vor sich selbst und den Unternehmen, in die sie Einblick bieten, zu schützen.

Erstzugriff: Gültige Konten (3.47 %)

Was es ist: Durch erfolgreiches Phishing erhalten Angreifer häufig Zugriff auf legitime Konten. Diese Konten bieten Schlüssel für ansonsten verschlossene Türen und dienen als Deckung für ihre verschiedenen Missetaten.

So wehren Sie sich dagegen: Wenn Mitarbeiter unweigerlich auf diese bösartige PDF-Datei oder URL klicken, Robuste Multifaktor-Authentifizierung (MFA) kann, wenn nichts anderes, als weitere Reifen dienen, durch die Angreifer springen können. Tools zur Anomalieerkennung können auch hilfreich sein, wenn beispielsweise ein fremder Benutzer eine Verbindung von einer weit entfernten IP-Adresse aus herstellt oder einfach etwas tut, was von ihm nicht erwartet wird.

Zugang zu Anmeldeinformationen: Brute Force (2.05 %)

Was es ist: Früher waren Brute-Force-Angriffe eine beliebtere Option, da schwache, wiederverwendete und unveränderte Passwörter allgegenwärtig waren. Dabei nutzen Angreifer Skripte, die automatisch Kombinationen aus Benutzername und Passwort durchlaufen – etwa in ein Wörterbuchangriff — um Zugriff auf gewünschte Konten zu erhalten.

So wehren Sie sich dagegen: Kein Punkt auf dieser Liste lässt sich so leicht und vollständig verhindern wie Brute-Force-Angriffe. Die Verwendung ausreichend starker Passwörter behebt das Problem von selbst, Punkt. Andere kleine Mechanismen, wie das Sperren eines Benutzers nach wiederholten Anmeldeversuchen, helfen ebenfalls.

Persistenz: Kontomanipulation (1.34 %)

Was es ist: Sobald ein Angreifer Phishing, Brute Force oder andere Mittel verwendet hat, um auf ein privilegiertes Konto zuzugreifen, kann er dieses Konto nutzen, um seine Position in einem Zielsystem zu festigen. Sie können beispielsweise die Anmeldeinformationen des Kontos ändern, um seinen ursprünglichen Besitzer auszusperren, oder möglicherweise Berechtigungen anpassen, um auf noch privilegiertere Ressourcen zuzugreifen, als sie bereits haben.

So wehren Sie sich dagegen: Um den Schaden durch eine Kontokompromittierung zu mindern, empfiehlt D3 Unternehmen, strenge Beschränkungen für den Zugriff auf vertrauliche Ressourcen einzuführen und diese zu befolgen Prinzip des geringsten privilegierten Zugriffs: Gewährung von nicht mehr als dem Mindestzugriffsniveau, das für einen Benutzer zur Ausführung seiner Arbeit erforderlich ist.

Darüber hinaus bietet es eine Reihe von Empfehlungen, die auf diese und andere MITRE-Techniken angewendet werden können, darunter:

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against