In Teil 5 unserer Blogreihe zum MITRE ATT&CK Framework befassen wir uns mit der Phase Persistence (Beständigkeit), in der Angreifer versuchen, ihren Zugang im Zielsystem dauerhaft zu sichern.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Persistence?

Nach dem Initial Access und der Execution-Phase möchten Angreifer ihren Zugang langfristig erhalten. In der Persistence-Phase nutzen sie verschiedene Techniken, um ihre Präsenz im System aufrechtzuerhalten, selbst wenn das System neu gestartet oder bestimmte Prozesse beendet werden.

Beispiele für Persistence

1. Autostart-Programme: Malware wird so konfiguriert, dass sie bei jedem Systemstart erneut ausgeführt wird.
2. Hintertüren: Angreifer erstellen alternative Zugänge, um im System zu bleiben, selbst wenn der ursprüngliche Zugang geschlossen wird.
3. Manipulation von legitimen Systemdiensten: Angreifer nutzen legitime Dienste wie geplante Aufgaben oder Sicherheitssoftware, um ihre bösartigen Aktionen zu tarnen.

Bedeutung der Persistence-Phase

Die Persistence-Phase ist von großer Bedeutung, da sie sicherstellt, dass die Angreifer auch nach Systemneustarts oder Sicherheitsmaßnahmen im Netzwerk verbleiben können. Diese Phase ermöglicht es den Angreifern, ihren Zugriff zu verstecken und unentdeckt zu bleiben, wodurch sie die Zeit haben, tiefer in das System vorzudringen oder weitere schädliche Aktivitäten durchzuführen.

Verteidigungsmaßnahmen

• Überwachung von Autostart-Einträgen und Diensten: Regelmäßige Überprüfungen können helfen, ungewöhnliche Programme oder Dienste zu identifizieren, die auf einen unbefugten Zugriff hinweisen.
• Endpoint Detection and Response (XDR): XDR hilft dabei, verdächtige Änderungen an Systemkonfigurationen oder das Setzen von Hintertüren frühzeitig zu erkennen.
• Härtung des Systems: Durch das Entfernen unnötiger Dienste und Programme sowie die Einschränkung von Administratorrechten wird es Angreifern erschwert, persistente Zugänge zu erstellen.

Fazit

Die Persistence-Phase ist entscheidend für die Langzeitkontrolle eines Systems durch Angreifer. Werden Angriffe in dieser Phase entdeckt, können sie frühzeitig unterbrochen werden, bevor der Schaden größer wird.

Im nächsten Beitrag unserer Blogreihe werden wir die Phase Privilege Escalation untersuchen, in der Angreifer versuchen, ihre Berechtigungen im System zu erweitern.

Brauchen Sie Unterstützung bei der Absicherung Ihrer IT-Infrastruktur? Wir helfen Ihnen dabei, Angriffe bereits in den frühen Phasen zu erkennen und zu blockieren.

Kontaktieren Sie uns telefonisch unter 06103 9707-500 oder per E-Mail unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein..