In Teil 7 unserer Blogreihe zum MITRE ATT&CK Framework befassen wir uns mit der Phase Defense Evasion (Umgehung von Sicherheitsmaßnahmen). In dieser Phase versuchen Angreifer, ihre Aktivitäten zu verschleiern und sich den Sicherheitskontrollen des Zielsystems zu entziehen.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Defense Evasion?

In der Defense Evasion-Phase zielen Angreifer darauf ab, ihre Aktionen so zu verstecken, dass sie von den Sicherheitsmechanismen des Zielsystems nicht entdeckt werden. Dies umfasst das Manipulieren von Logs, das Ausblenden von Malware oder das Umgehen von Firewalls und Antivirus-Programmen.

Beispiele für Defense Evasion

1. Tarnen von Malware: Angreifer verschlüsseln oder packen ihre Malware, um sie vor Antiviren-Programmen zu verstecken.
2. Deaktivierung von Sicherheitssoftware: Sicherheitsprogramme oder -protokolle werden deaktiviert, um weitere Angriffe zu ermöglichen.
3. Manipulation von Logs: Angreifer ändern oder löschen Protokolldateien, um ihre Aktivitäten zu verschleiern.
   

Zeitlicher Verlauf und Bedeutung von Supply-Chain-Angriffen

Angreifer können durch Supply-Chain-Angriffe (wie beim bekannten Sunburst-Angriff) die ersten sechs Phasen des MITRE ATT&CK Frameworks umgehen und direkt in die Phase Defense Evasion übergehen. Dies raubt dem Opfer wertvolle Zeit zur Erkennung und Reaktion auf den Angriff. Besonders gefährlich ist, dass solche Angriffe oft über scheinbar legitime Software oder Updates erfolgen, die unbemerkt in das Netzwerk eingebracht werden. Angreifer haben somit von Beginn an Zugriff auf kritische Systeme, während Sicherheitsmaßnahmen bewusst umgangen werden.

In der Regel dauert es zwischen 24 Stunden und mehreren Tagen, bis Angreifer diesen Punkt erreichen. Etwa 20-30% der gesamten Zeit eines Angriffs wird bis zur Defense Evasion-Phase verwendet. Bei Supply-Chain-Angriffen, die bereits tiefe Integration ins Zielsystem ermöglichen, wird der Fortschritt der Angreifer erheblich beschleunigt.

Bedeutung der Defense Evasion-Phase

Die Defense Evasion-Phase ist entscheidend für Angreifer, um möglichst lange unentdeckt im System zu bleiben. Durch das Umgehen von Sicherheitsmaßnahmen haben Angreifer die Möglichkeit, tiefer in das Netzwerk einzudringen oder ihre Aktionen vorzubereiten, ohne sofort entdeckt zu werden.

Verteidigungsmaßnahmen

• Monitoring und Analyse von Logs: Durch kontinuierliche Überwachung und Analyse der Logs können Manipulationen entdeckt werden.
• XDR-Lösungen: XDR erkennt verdächtige Aktivitäten, wie das Deaktivieren von Sicherheitssoftware, durch Korrelation von Ereignissen aus verschiedenen Quellen.
• Verwendung mehrschichtiger Sicherheitskontrollen: Durch den Einsatz mehrerer Sicherheitsebenen wird es Angreifern erschwert, alle Mechanismen zu umgehen.
  

Fazit

Die Defense Evasion-Phase ist eine kritische Phase, in der Angreifer versuchen, ihre Spuren zu verwischen und die Erkennung zu verhindern. Besonders bei Supply-Chain-Angriffen wird das Risiko maximiert, da mehrere Phasen des Angriffs übersprungen werden. Ein umfassendes Monitoring und mehrstufige Sicherheitsmaßnahmen sind erforderlich, um Angriffe in dieser Phase zu erkennen.

Im nächsten Beitrag unserer Blogreihe beschäftigen wir uns mit der Phase Credential Access, in der Angreifer versuchen, Zugangsdaten zu erlangen

Möchten Sie Ihre IT auf den Prüfstand stellen? Wir stehen bereit, um Ihnen zu zeigen, wie Sie sich optimal schützen können. Egal ob Monitoring, Security-Lösungen oder individuelle Beratung – wir sind für Sie da.

Einfach anrufen: 06103 9707-500 oder eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. schicken. Gemeinsam packen wir das an!