In diesem vierten Teil unserer Blogreihe zum MITRE ATT&CK Framework geht es um die Phase Execution (Ausführung), in der Angreifer ihren bösartigen Code im Zielsystem ausführen. Während der Initial Access die Tür öffnet, führt die Execution-Phase zu den ersten sichtbaren schädlichen Aktivitäten.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Execution?

In der Phase Execution führen Angreifer ihren Code oder Befehle auf dem Zielsystem aus, um eine Wirkung zu erzielen. Dies kann die Installation von Malware, das Durchführen von Systembefehlen oder das Starten von schädlichen Skripten umfassen. Die Execution-Phase markiert den Beginn der eigentlichen Aktionen, die den Angriff unterstützen.

Beispiele für Execution

1. Skriptausführung: Angreifer nutzen PowerShell, Bash oder andere Skriptsprachen, um Kommandos auszuführen.
2. Malware-Installation: Schadprogramme werden ins System eingeschleust und aktiv.
3. Ausführung bösartiger Makros: Infizierte Dokumente nutzen Makros, um Schadsoftware auszuführen.

Bedeutung der Execution-Phase

Die Execution-Phase ist der Moment, in dem der schädliche Code aktiv wird und die Angreifer ihre Angriffsposition im Netzwerk festigen, oft als Vorbereitung auf spätere, schwerwiegendere Aktionen wie Datenexfiltration oder Zerstörung. Es geht in dieser Phase darum, die Grundlage für spätere Phasen des Angriffs zu schaffen.

Verteidigungsmaßnahmen

• Skript- und Makroüberwachung: Durch die Überwachung von Skriptsprachen wie PowerShell und die Blockierung von bösartigen Makros kann die Execution-Phase gestoppt werden.
• Extended Detection and Response (XDR): XDR bietet eine umfassende Überwachung von Prozessen und Logfiles über verschiedene Endpunkte hinweg. Durch die Analyse größerer Zusammenhänge können frühe Spuren von Angriffen erkannt werden, die isoliert betrachtet unauffällig wirken könnten.
• Application Whitelisting: Nur genehmigte Anwendungen dürfen auf den Systemen ausgeführt werden.

Fazit

Die Execution-Phase ist der Punkt, an dem Angriffe beginnen, sich im Netzwerk zu manifestieren, jedoch meist noch als Vorbereitung für größere schädliche Aktionen dienen. Frühzeitige Erkennung und Blockierung sind hier entscheidend, um weitreichende Konsequenzen zu verhindern.

Im nächsten Beitrag unserer Blogreihe befassen wir uns mit der Phase Persistence, in der Angreifer versuchen, ihren Zugang dauerhaft zu sichern.

Möchten Sie sicherstellen, dass Ihre IT-Sicherheitsstrategie auf dem neuesten Stand ist? Wir helfen Ihnen gerne, Ihr Unternehmen optimal abzusichern. Sprechen Sie uns noch heute an!

Kontaktieren Sie uns telefonisch unter 06103 9707-500 oder per E-Mail unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein..