In Teil 8 unserer Blogreihe zum MITRE ATT&CK Framework beleuchten wir die Phase Credential Access (Zugriff auf Zugangsdaten). In dieser Phase versuchen Angreifer, Anmeldedaten wie Passwörter oder Authentifizierungstoken zu erlangen, um auf noch privilegiertere Systeme zugreifen zu können.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Credential Access?

Credential Access beschreibt die Phase, in der Angreifer gezielt nach Zugangsdaten suchen, um ihre Zugriffsrechte im Zielsystem zu erweitern. Diese Anmeldedaten ermöglichen es Angreifern, sich als legitime Benutzer auszugeben, was eine Schlüsselrolle für den weiteren Fortschritt des Angriffs spielt.

Beispiele für Credential Access

1. Credential Dumping: Angreifer extrahieren Anmeldeinformationen aus dem Speicher oder der Festplatte, um höhere Rechte zu erlangen.
2. Brute-Force-Angriffe: Schwache Passwörter werden durch automatisierte Tools geknackt.
3. Keylogging: Software wird installiert, um Tastenanschläge mitzuschneiden und Anmeldedaten zu stehlen.
   

Zeitlicher Verlauf und Bedeutung der Credential Access-Phase

Das Erlangen von Zugangsdaten kann je nach Angriffsmethode Minuten oder Stunden dauern. Oft wird in etwa 20-30% der Gesamtzeit eines Angriffs in diese Phase investiert, da sie entscheidend ist, um tiefergehende Zugriffe zu ermöglichen. Besonders gefährlich ist, dass Angreifer sich durch erlangte Anmeldedaten unauffällig im System bewegen können, da sie als berechtigte Benutzer auftreten. Dadurch wird die Erkennung des Angriffs ab dieser Phase erheblich erschwert, da Angreifer nun mit legitimen Zugangsdaten agieren und ihr Verhalten schwerer als bösartig zu erkennen ist.

Bedeutung der Credential Access-Phase

Diese Phase ist von entscheidender Bedeutung, da erfolgreiche Angriffe auf Zugangsdaten den Weg für Angreifer ebnen, tiefer in Netzwerke einzudringen und möglicherweise auf privilegierte Systeme zuzugreifen. Dies führt oft zu einer vollständigen Kompromittierung des Systems, wenn nicht rechtzeitig erkannt wird, dass die Anmeldedaten missbraucht werden.

Verteidigungsmaßnahmen

• Multi-Faktor-Authentifizierung (MFA): Reduziert das Risiko durch gestohlene Anmeldedaten erheblich.
• Monitoring und Passwortmanagement: Überwachung von verdächtigen Anmeldeversuchen sowie sicheres Management von Passwörtern, z. B. durch Password-Management-Systeme.
• XDR-Lösungen: Erkennen verdächtige Zugriffe oder ungewöhnliche Aktivitäten in Verbindung mit Benutzerkonten.
  

Fazit

Die Credential Access-Phase ist eine entscheidende Phase für den Angreifer, um durch den Zugriff auf Anmeldedaten weiter in das System einzudringen. Unternehmen sollten ihre Zugangsdaten bestmöglich schützen, um solche Angriffe frühzeitig zu erkennen und abzuwehren.

Im nächsten Beitrag unserer Blogreihe beschäftigen wir uns mit der Phase Discovery, in der Angreifer Informationen über das Zielsystem sammeln.

Sind Ihre Zugangsdaten ausreichend geschützt? Lassen Sie uns gemeinsam Maßnahmen prüfen und umsetzen, um Ihre Systeme vor solchen Angriffen zu schützen.

Kontaktieren Sie uns unter 06103 9707-500 oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.. Gemeinsam finden wir die passende Lösung für Ihr Unternehmen!