Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Threat Intelligence Glossar

TTPs (Tactics, Techniques and Procedures)

Beschreibungsrahmen für das Verhalten von Angreifern: Taktiken (Was ist das Ziel?), Techniken (Wie wird es erreicht?) und Prozeduren (Konkrete Schritte). TTPs sind stabiler als IoCs - Angreifer wechseln IPs, aber selten ihre Vorgehensweise.

TTPs (Tactics, Techniques and Procedures) sind das Verhalten von Angreifern auf drei Abstraktionsebenen. Das Konzept stammt aus dem militärischen Geheimdienstwesen und wurde in die Cybersicherheit übertragen.

Die drei Ebenen

Taktiken - Das “Warum”

Taktiken sind die unmittelbaren Ziele eines Angreifers in einer Phase:

IDTaktikBeschreibung
TA0001Initial AccessWie kommt der Angreifer in das System?
TA0002ExecutionWie führt er Code aus?
TA0003PersistenceWie bleibt er?
TA0004Privilege EscalationWie erhöht er Rechte?
TA0005Defense EvasionWie umgeht er Security?
TA0006Credential AccessWie stiehlt er Credentials?
TA0007DiscoveryWas findet er im Netz?
TA0008Lateral MovementWie breitet er sich aus?
TA0009CollectionWas sammelt er?
TA0010ExfiltrationWie schleust er Daten aus?
TA0011Command and ControlWie steuert er?
TA0040ImpactWas ist der finale Schaden?

Techniken - Das “Wie”

Techniken beschreiben die Methode zur Erreichung einer Taktik.

Beispiel: Taktik Credential Access (TA0006)

  • T1003: OS Credential Dumping
    • .001: LSASS Memory → Mimikatz
    • .002: Security Account Manager (SAM)
    • .006: DCSync → Golden Ticket
  • T1110: Brute Force
    • .001: Password Guessing
    • .002: Password Cracking
    • .003: Password Spraying
    • .004: Credential Stuffing
  • T1558: Steal or Forge Kerberos Tickets
    • .003: Kerberoasting
    • .004: AS-REP Roasting

Prozeduren - Das “Wie genau”

Prozeduren sind konkrete Implementierungen einer Technik durch einen spezifischen Akteur.

APT29 (Cozy Bear, russisch) - Prozedur für Credential Dumping:

  1. Mimikatz als DLL in lsass.exe reflektiv laden
  2. sekurlsa::wdigest ausführen (wenn WDigest aktiviert)
  3. Credentials via verschlüsselten DNS-Tunnel exfiltrieren
  4. Mimikatz-Artefakte in TEMP-Ordner mit Zufallsnamen speichern
  5. Nach Exfiltration: Artefakte sicher löschen (secure delete)

Unterschied zu anderen APTs:

  • APT28 (Fancy Bear): nutzt CobaltStrike + Mimikatz
  • Lazarus Group: eigene Custom-Malware statt Commodity-Tools

Warum TTPs wertvoller sind als IoCs

Das Pyramid of Pain (David Bianco):

         /  Hash Values   \   ← Trivial zu ändern für Angreifer
        / IP Addresses      \
       / Domain Names        \
      / Network/Host Artifacts \
     / Tools                    \  ← Schwieriger
    /  TTPs                       \  ← Sehr schmerzhaft für Angreifer

IoC (Hash, IP, Domain):

  • Angreifer ändert Hash → neuer Build → IoC nutzlos
  • Angreifer wechselt C2-Server → neue IP → IoC nutzlos
  • Zeitraum: Stunden bis Tage

TTPs:

  • Angreifer muss fundamentale Vorgehensweise ändern
  • Das kostet Zeit, Geld und beeinträchtigt die Effizienz
  • Zeitraum: Monate bis Jahre, oft nie

MITRE ATT&CK als TTP-Datenbank

MITRE ATT&CK ist die umfangreichste öffentliche TTP-Datenbank:

Struktur: attack.mitre.org → 14 Taktiken → 200+ Techniken → 1000+ Prozeduren

Verwendung:

  1. SIEM-Regeln gegen ATT&CK-Techniken statt IoCs
  2. Red Team: “Teste ob wir T1558.003 (Kerberoasting) erkennen”
  3. Threat Hunting: Suche nach T1003.001 (LSASS Dump) in Logs
  4. Coverage-Gap-Analyse: Welche Techniken haben keine Detection?

MITRE ATT&CK Navigator:

  • Visualisierung der Coverage
  • Welche ATT&CK-Techniken hat mein SIEM-Regelwerk abgedeckt?
  • Rot (keine Detection) → Blau (vollständige Detection)

TTP-basierte Detection

Schlechte SIEM-Regel (IoC-basiert):

source_ip: 185.234.xx.xx → Alert
→ Nächster Tag: neue IP → Miss

Gute SIEM-Regel (TTP-basiert):

Process powershell.exe
Parent: winword.exe
→ Alert: "Macro Malware - T1204.002"
→ Funktioniert gegen jede neue Malware mit diesem Muster

Noch besser (TTP + Kontext):

LSASS (lsass.exe) wird accessed
von Prozess der NICHT in Whitelist (AV, EDR) ist
→ Alert: "Credential Dumping attempt - T1003.001"

Threat Intelligence Reports und TTPs

Gute TI-Reports beinhalten TTPs:

Beispiel: Mandiant APT28 Report (vereinfacht)

  • Akteur: APT28 (Fancy Bear, GRU, Russland)
  • Ziele: Militär, Regierung, Energie (NATO-Länder)

TTPs:

Initial Access:

  • T1566.001: Spear-Phishing mit .lnk-Dateien
  • T1190: Exploit Public-Facing Application (Exchange CVEs)

Privilege Escalation:

  • T1078: Valid Accounts (gestohlene Credentials)
  • T1558.003: Kerberoasting

C2:

  • T1071.004: DNS-Tunneling
  • T1090.003: Domain Fronting über Cloudflare

Direkte Ableitung von Detection-Regeln möglich.

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Malware: Arten, Analyse und Schutzmaßnahmen

13 min Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

APT (Advanced Persistent Threat) IOC (Indicator of Compromise) Cyber Kill Chain MITRE ATT&CK Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung