MITRE ATT&CK
Umfassendes, öffentlich zugängliches Wissenssystem, das reale Angreifertaktiken, -techniken und -verfahren (TTPs) dokumentiert. ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) wird von Sicherheitsteams weltweit als gemeinsame Sprache für Bedrohungsanalyse, Detection-Engineering und Purple Teaming genutzt.
MITRE ATT&CK ist die Lingua franca der modernen Bedrohungsanalyse. Was begann als interne Wissenssammlung der MITRE Corporation ist heute die umfassendste öffentliche Datenbank für Angreifer-Verhalten - mit 14 Taktiken, 200+ Techniken und tausenden dokumentierten Beispielen realer APT-Gruppen.
Aufbau: Taktiken → Techniken → Sub-Techniken
Die Hierarchie lautet: Taktik (Warum?) → Technik (Wie?) → Sub-Technik (Wie genau?)
Beispiel:
- TA0006: Credential Access (Taktik)
- T1003: OS Credential Dumping (Technik)
- .001 - LSASS Memory (Sub-Technik)
- .002 - Security Account Manager (SAM)
- .003 - NTDS
- .006 - DCSync
- T1558: Steal or Forge Kerberos Tickets
- .001 - Golden Ticket
- .002 - Silver Ticket
- .003 - Kerberoasting
- .004 - AS-REP Roasting
- T1003: OS Credential Dumping (Technik)
Die 14 ATT&CK-Taktiken (Enterprise Matrix)
| ID | Taktik | Beschreibung | Beispiel-Techniken |
|---|---|---|---|
| TA0001 | Initial Access | Wie kommt der Angreifer ins Netzwerk? | T1566 Phishing, T1190 Exploit Public-Facing App |
| TA0002 | Execution | Wie führt er Code aus? | T1059 Command and Scripting Interpreter (PowerShell, Bash) |
| TA0003 | Persistence | Wie stellt er sicher, dass er bleibt? | T1547 Boot/Logon Autostart, T1053 Scheduled Task |
| TA0004 | Privilege Escalation | Wie erhöht er seine Rechte? | T1055 Process Injection, T1068 Exploit Vulnerability |
| TA0005 | Defense Evasion | Wie umgeht er Security-Tools? | T1562 Impair Defenses, T1027 Obfuscated Files |
| TA0006 | Credential Access | Wie stiehlt er Zugangsdaten? | T1003 OS Credential Dumping, T1558 Kerberos Tickets |
| TA0007 | Discovery | Was findet er im Netzwerk? | T1018 Remote System Discovery, T1082 System Information |
| TA0008 | Lateral Movement | Wie breitet er sich aus? | T1021 Remote Services, T1075 Pass the Hash |
| TA0009 | Collection | Was sammelt er? | T1560 Archive Data, T1074 Data Staged |
| TA0010 | Exfiltration | Wie schleust er Daten aus? | T1048 Exfiltration Over Alternative Protocol |
| TA0011 | Command and Control | Wie steuert er Malware? | T1071 Application Layer Protocol, T1572 Protocol Tunneling |
| TA0040 | Impact | Was ist der finale Schaden? | T1486 Data Encrypted for Impact (Ransomware!), T1485 Data Destruction |
| TA0042 | Resource Development | Ressourcen aufbauen | - |
| TA0043 | Reconnaissance | Aufklärung | T1595 Active Scanning |
ATT&CK in der Praxis
SIEM-Regeln basierend auf ATT&CK
Eine IoC-basierte SIEM-Regel (ALERT wenn source_ip == "185.234.xx.xx") ist wertlos, sobald der Angreifer eine neue IP nutzt. TTP-basierte Regeln hingegen erkennen das Verhalten - unabhängig von der IP.
T1059.001 - PowerShell Encoded Commands:
ALERT wenn:
Process == "powershell.exe"
AND CommandLine matches "-enc|-EncodedCommand|-e [A-Za-z0-9+/=]{50,}"T1003.001 - LSASS Memory Dump:
ALERT wenn:
Process NOT IN whitelist
AND TargetProcess == "lsass.exe"
AND AccessRights includes "PROCESS_VM_READ"T1486 - Ransomware Activity:
ALERT wenn:
10+ verschiedene Dateierweiterungen geändert in 60 Sekunden
AND neue Dateierweiterung unbekanntATT&CK für Threat Intelligence
Schritt 1 - Threat Report lesen (z. B. Mandiant APT41 Report)
„APT41 nutzt Spear-Phishing mit .lnk-Anhängen (T1566.001) und führt DLL-Injection über certutil.exe durch (T1218.003)”
Schritt 2 - Techniken in ATT&CK Matrix markieren
Im ATT&CK Navigator T1566.001 und T1218.003 markieren und visualisieren, welche Controls dagegen schützen.
Schritt 3 - Detection-Lücken identifizieren
Haben wir eine SIEM-Regel für T1218.003 (certutil Misuse)? Falls nicht, Regel erstellen:
ALERT wenn certutil.exe mit -urlcache oder -decode aufgerufenSchritt 4 - Abdeckung messen
Der Navigator zeigt die Coverage farblich:
- Grün: Detection vorhanden und getestet
- Rot: keine Detection
ATT&CK Navigator
Der Navigator (https://mitre-attack.github.io/attack-navigator/) ist ein interaktives Visualisierungstool für ATT&CK, das auch lokal gehostet werden kann.
Layers erstellen:
- Blue Layer: was erkennen wir? (SIEM-Regeln)
- Red Layer: was wurde getestet? (Pentest)
- Threat Layer: was nutzt APT28?
Use Cases:
- Coverage-Gap-Analyse: „Rot = keine Detection - Priorisierung: welche Rot-Felder zuerst schließen?”
- Threat-Profile erstellen: „APT28 Layer” - welche Techniken nutzt diese Gruppe? Fokus der Detection auf diese Techniken.
- Pentest-Scope definieren: „Teste diese 20 Techniken - wir wollen Coverage messen”
- Reporting: „Wir haben ATT&CK-Coverage von X%” - verständlich für das Management
ATT&CK-basierte Threat Hunting
Hypothese: „APT28 könnte unser Unternehmen angreifen (wir sind in der Rüstungsbranche). Prüfe ob T1558.003 (Kerberoasting) in unserem AD stattgefunden hat.”
Hunting-Abfrage (Splunk/Sentinel):
# Event ID 4769: Kerberos-Ticket-Anfrage
# RC4 Encryption (0x17) ist verdächtig (schwächer, für Cracking)
index=wineventlog EventCode=4769
Ticket_Encryption_Type=0x17
Service_Name!=krbtgt
Service_Name!="*$"
| stats count by Account_Name, Service_Name, Client_Address
| where count > 10Bei Treffern prüfen:
- Account: normaler User oder Service Account?
- Service: bekannter SPN oder unbekannt?
- IP: intern, bekannt?
- Timeline: wann war das? Was davor/danach?
ATT&CK für verschiedene Plattformen
MITRE ATT&CK umfasst mehrere Matrizen für unterschiedliche Umgebungen:
| Matrix | Plattformen | Besonderheiten |
|---|---|---|
| Enterprise | Windows, macOS, Linux | Hauptmatrix, am umfangreichsten |
| Mobile | iOS, Android | T1516 Input Injection, T1412 Capture SMS Messages |
| ICS | OT/SCADA | T0886 Remote Services, T0817 Drive-by Compromise |
| Cloud | AWS, Azure, GCP, SaaS | T1552.005 Cloud Instance Metadata API |
| PRE-ATT&CK | Reconnaissance & Resource Development | T1595 Active Scanning, T1589 Gather Victim Identity Information |
