TTPs in der IT-Security: Taktiken, Techniken & Prozeduren

Der Begriff Taktiken, Techniken und Prozeduren (TTP) beschreibt das Verhalten eines Bedrohungsakteurs und ein Grundgerüst zur Durchführung von Cyberangriffen. Die Akteure reichen von Hacktivisten und Hobbyhackern bis hin zu einzelnen Cyberkriminellen, kriminellen Untergrundgruppierungen und staatlich geförderten Angreifern.

Das Verständnis der Taktiken, Techniken und Prozeduren einer Cyberangriffskette ermöglicht Unternehmen die proaktive Erkennung, Bewertung und Abwehr von Sicherheitsbedrohungen.

Am besten sehen wir uns das genauer an.

TTPs in der IT-Sicherheit: Definition von Taktiken, Techniken & Prozeduren

TTPs sind in ihrer Gesamtheit Indikatoren für Systemartefakte oder Verhaltensmerkmale, die Menschen (meist Sicherheitsexperten) beobachten. TTPs zeigen an, wenn eine nicht autorisierte Entität etwas Verbotenes versucht. Zum Beispiel:

• Veränderungen am Netzwerk.
• Zugriff auf sensible Computerressourcen.
• Datenübertragung an einen externen Command-and-Control-Server.

Diese Indikatoren folgen normalerweise einem einheitlichen Schema. Diese Verhaltensindikatoren weisen auf ein unmittelbar bevorstehendes Cybersicherheitsrisiko hin. Wenn sie effektiv eingesetzt werden, können TTPs die Cyber-Bedrohungsaufklärung und andere Sicherheitsanwendungsfälle wie proaktives Threat Hunting unterstützen.

Beim Sicherheits-Framework MIRE ATT&CK handelt es sich um eine umfassende Sammlung von TTPs, die Angreifer in der realen Welt einsetzen.

Definieren wir nun jeden Teil des TTP-Dreiecks:

• Taktiken: Die übergeordnete Beschreibung des Verhaltens und der Strategie eines Bedrohungsakteurs. Die Taktik beinhaltet eine Reihe von Verhaltensweisen und Aktionen, die der Gegner zur Erreichung eines bestimmten Ziels einsetzt.
• Techniken: Dabei handelt es sich um die allgemeinen Richtlinien und Methoden, die beschreiben, wie eine taktische Aktion umgesetzt werden kann.
• Prozeduren: Die Abfolge von Aktionen, die unter Verwendung einer Technik ausgeführt werden, um eine Angriffstaktik zu realisieren. Die Prozedur beinhaltet detaillierte Beschreibungen der maßgeschneiderten Aktivitäten, die einem Bedrohungsakteur die erfolgreiche Erreichung seiner Ziele ermöglichen.

Jetzt betrachten wir die Taktiken, Techniken und Prozeduren im Detail.

(TTPs in der Praxis: Bedrohungsanalysten untersuchen die von APT29 in der WINELOADER-Kampagne und Backdoor eingesetzten TTPs.)

Taktiken

Die Taktiken eines Bedrohungsakteurs beschreiben sein Verhalten in den verschiedenen Phasen der Cyberangriffskette. Diese Phasen umfassen:

• Ausspähung (Reconnaissance)
• Einschleusung und Ausnutzung
• Umsetzung der Ziele

Die Schwierigkeit, eine potenzielle Bedrohung einer Kampagne zuzuordnen, hängt von der Neuartigkeit und Komplexität des Angriffs ab. Wenn die Bedrohungsindikatoren häufige Angriffsmuster zeigen – wie zum Beispiel DDoS-Angriffe –, können die nächsten Phasen der Kampagnentaktik vorhergesagt werden, indem Daten über folgende Dinge gesammelt werden:

• Der oder die ursprüngliche(n) Eintrittspunkt(e)
• Kompromittierte Knoten oder Zugangsdaten

Eine ausgeklügelte Angriffstaktik zielt darauf ab, unentdeckt zu bleiben. Sie nimmt nur minimale Änderungen am kompromittierten Netzwerk vor, bis eine Schadsoftware eingeschleust oder Datenwerte an einen externen Command-and-Control-Server übertragen werden.

Methoden zur Enttarnung von Taktiken

Eine Möglichkeit der Angriffserkennung besteht in der gründlichen Analyse der Artefakte, Tools und Infrastrukturänderungen bei einem außerplanmäßigen Netzwerkvorfall:

• Ein ausgeklügelter Cyberangriff, der Zero-Day-Schwachstellen ausnutzt, kann auf maßgeschneiderten Werkzeugen basieren, die stark verschleiert oder mehrschichtig verborgen sind.
• Im Gegensatz dazu verwendet ein Gelegenheitshacker möglicherweise nur quelloffene oder öffentlich zugängliche Werkzeuge.

Anhand eines Fingerabdrucks des taktischen Verhaltens des Akteurs (Eintrittspunkte, Angriffswerkzeuge, Infrastrukturänderungen und Verhalten des Netzwerkverkehrs) lässt sich ein Profil des Gegners erstellen. Das ermöglicht Gegenmaßnahmen zur Verteidigung.

Techniken

Die Bedrohungsakteure wenden Techniken an, um alle Arten von Problemen zu verursachen:

• Infiltration eines Netzwerks.
• Einrichtung von Command-and-Control-Zentren.
• Spurlose laterale Bewegung im Netzwerk.
• Verbreitung von Malware über verteilte Netzwerkstandorte hinweg.
• Kontrolle über nicht nachverfolgbare Infrastrukturänderungen und Datenübertragungen.

Diese Techniken sind in der Regel allgemeiner Natur und auf alle Cyberangriffe anwendbar. Deshalb ist es entscheidend, die Methoden und Werkzeuge zu verstehen, die Bedrohungsakteure zum Kompromittieren von Systemen einsetzen.

Eine wichtige Unterscheidung. Techniken definieren nicht unbedingt die Technologie, sondern konzentrieren sich auf die Methodik der Kampagne und die Abfolge der beteiligten Aktionen.

Beispielsweise kann eine Social-Engineering-Spearphishing-Taktik zum Einsatz kommen, um ahnungslose User dazu zu bringen, auf einen Link zu klicken, der eine Schadsoftware auf den lokalen Rechner herunterlädt und Anmeldedaten stiehlt. Diese Technik kann gezielt auf eine begrenzte Benutzergruppe ausgerichtet sein, um den Social-Engineering-Angriff überzeugender zu gestalten.

Erkennungstechniken

In den späteren Phasen des Angriffs – speziell beim Einschleusen von Schadsoftware, Bewegungen im Netzwerk, Konfigurationsänderungen und beim Aufspüren von Schwachstellen – spielt die Wahl der Tools eine wichtige Rolle.

In dieser Phase kann der Angreifer bereits eigenen Code in eine anfällige Systemkomponente eingeschleust haben. Falls die Installation unentdeckt bleibt, müssen InfoSec-Teams das System untersuchen auf:

• Konfigurationsmissbrauch
• Infrastrukturänderungen
• Rechteausweitung (Privilege Escalation)
• Weitere unerlaubte Systemänderungen

Bei der letzten Phase der Cyberangriffs kann eine Kombination aus Methodik und Tools zum Einsatz kommen. Zum Beispiel das Exfiltrieren kompromittierter Datenbestände, indem diese zuerst mithilfe der vom Angreifer gewählten Netzwerkprotokolle und Verschlüsselungsmethoden verschleiert werden.

Vorgehensweisen

Prozeduren beziehungsweise Vorgehensweisen bezeichnen die detaillierte Beschreibung von Taktiken unter Verwendung ausgewählter Techniken und einer Reihe sorgfältig ausgearbeiteter und präziser Aktionen.

Diese Aktionen laufen stark individualisiert ab, die Bedrohungsakteure halten sich dabei jeweils an exakte Vorgaben. Die Aktionen bestehen aus vielen Schritten, die häufig wiederholt werden.

Schadcode kann in anfällige Software eingeschleust und dort ausgeführt werden, um automatisch Daten zu sammeln. Dieser Code entschlüsselt sich selbstständig und interagiert mit verwandten Diensten und Tools.

Vorgehensweisen erlernen

Die Sicherheitsanalyse kann diese Vorgänge durch die Analyse von Netzwerk- und Ereignisprotokollen rekonstruieren. Ein Cyber-Forensik-Team, das diese Informationen analysiert, konzentriert sich auch auf den erweiterten Kill-Chain-Prozess sowie die vom Angreifer eingesetzten Techniken und Taktiken.

TTP bildet die Grundlage für Cyber Threat Intelligence

TTP-Informationen dienen als wichtiger Leitfaden, um Kontextwissen über Bedrohungsindikatoren und Spuren zu gewinnen, die während der Sicherheitsüberwachung entdeckt werden. TTP ist auch Teil der offenen und gemeinschaftsbasierten Cybersicherheitsprogramme, die vom National Institute of Standards and Technology (NIST) empfohlen werden, das Richtlinien zur gemeinsamen Nutzung der TTP-Wissensbasis bereitstellt. Das soll Unternehmen bei der Verbesserung ihrer Sicherheitslage unterstützen.