Suche
Mitigant Blog

MITRE ATT&CK Cloud Matrix: Neue Techniken und warum Sie sich darum kümmern sollten. Teil I

Das MITRE ATT&CK Framework ist zu einem wesentlichen Aspekt der modernen Cybersicherheitsarchitektur geworden...
23.2.2024
Kennedy Torkura
Lesedauer: 7 Minuten
MITRE ATT&CK Cloud Matrix: Neue Techniken und warum Sie sich darum kümmern sollten. Teil I
Table of Contents
Example H2
Example H3
Example H4
Example H5
Example H6
Contributors
Kennedy Torkura
Kennedy Torkura
Co-Founder & CTO
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Das MITRE ATT&CK Framework ist zu einem wesentlichen Aspekt der modernen Cybersicherheitsarchitektur geworden. Das Framework bietet wichtige Informationen über die Taktiken und Techniken von Angreifern, die für die Einführung wirksamer Abwehrmaßnahmen unerlässlich sind. Das MITRE ATT&CK Framework v.14 wurde im Oktober 2023 mit über 18 neuen Techniken veröffentlicht. Wir betrachten zwei der vier Techniken, die für den IaaS-Abschnitt der MITRE ATTACK Matrix for Enterprises relevant sind. In einem weiteren Blogartikel werden die verbleibenden beiden Techniken behandelt.

Was ist MITRE ATT&CK?

Das MITRE ATT&CK-Rahmenwerk ist eine Sammlung von Taktiken, Techniken und Verfahren (TTPs), die von Gegnern zur Durchführung von Cyberangriffen eingesetzt werden. ATT&CK steht für Gegnerische Taktiken, Techniken, und Allgemeines Wissen. Die MITRE Corporation entwickelt und pflegt das Framework und bietet eine gemeinsame Sprache und ein systematisches Verständnis des Verhaltens von Angreifern auf der Grundlage realer Beobachtungen, einschließlich öffentlich zugänglicher Informationen über Cyberbedrohungen, Vorfallberichte und Cybersicherheitsforschung. MITRE ATT&CK deckt verschiedene Aspekte des Lebenszyklus von Cyberangriffen ab, darunter Erstzugriff, Ausführung, Persistenz, Rechteerweiterung, Abwehrumgehung, Zugriff auf Zugangsdaten, Entdeckung, laterale Bewegung, Erfassung, Exfiltration sowie Befehl und Kontrolle. Das ATT&CK-Framework umfasst spezifische Angriffstechniken, Strategien zur Abwehr und Tipps zur Erkennung.

MITRE ATT&CK-Matrizen visualisieren die Beziehung zwischen Taktiken und Techniken und bieten Verteidigern ein vorteilhaftes Verständnis des Verhaltens und der Handwerkskunst von Angreifern. Derzeit gibt es drei Matrizen, die nach Technologie kategorisiert sind:

  • MITRE ATT&CK für Unternehmen: Behandelt Taktiken und Techniken, die für Windows, macOS, Linux, PRE, Cloud (Azure AD, Office 365, Google Workspace, SaaS, IaaS), Netzwerke und Container relevant sind. Weitere Details finden Sie hier: https://attack.mitre.org/matrices/enterprise/.
  • MITRE ATT&CK for Mobile: Enthält Informationen über Taktiken und Techniken, die gegen mobile Geräte auf Android- und iOS-Basis eingesetzt werden. Weitere Informationen finden Sie hier: https://attack.mitre.org/matrices/mobile/.
  • MITRE ATT&CK for ICS: Die Informationen über Taktiken und Techniken, die für industrielle Steuerungssysteme relevant sind, sind in dieser Matrix verfügbar. Weitere Informationen finden Sie hier: https://attack.mitre.org/matrices/ics/.
Abbildung 01. MITRE ATT&CK Matrix für Unternehmen

Das neueste Version von MITRE ATT&CK (v.14) wurde im Oktober 2023 mit über 18 neuen Techniken für alle Matrizen veröffentlicht. Da es wichtig ist, die aktuellsten Techniken einzusetzen, müssen Verteidiger sicherstellen, dass ihre Sicherheitsarchitektur aktualisiert wird. Deshalb untersuchen wir in den folgenden Abschnitten zwei der vier neuen Techniken im IaaS-Abschnitt der MITRE ATTACK Matrix for Enterprise: Abuse Elevation Control Mechanism: Temporärer erhöhter Cloud-Zugang, und Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management.

Abuse Elevation Control Mechanism: Temporärer erhöhter Cloud-Zugang

Schauen wir uns die erste neue Technik an (eigentlich eine Untertechnik):“Abuse Elevation Control Mechanism — Temporärer erhöhter Cloud-Zugang“. Diese Untertechnik beschreibt, wie Angreifer Cloud-Mechanismen missbrauchen, um unbefugten Zugriff zu verhindern, einschließlich der Eskalation von Rechten. Bei diesen Mechanismen geht es hauptsächlich um „Just-in-Time“ -Zugriffe oder um „kurzlebige Berechtigungen“.

Zum Beispiel das AWS Übernahme der Rolle Dieser Mechanismus ermöglicht es einem Kontoinhaber, zeitlich begrenzten Zugriff auf Konten von Drittanbietern zu gewähren, ohne langlebige Zugangsdaten, z. B. Zugangsschlüssel, herausgeben zu müssen. Ein Angreifer könnte diesen Zugriff jedoch über die im Inhaberkonto erstellte IAM-Rolle annehmen, sich als legitime Identität ausgeben und sich ungehinderten Zugriff verschaffen. Ein solcher böswilliger Zugriff würde aufgrund der etablierten „vertrauenswürdigen Beziehung“ wahrscheinlich unter dem Radar verschwinden. Eine unmittelbare Gefahr ist eine längere Verweildauer des Angreifers, wenn dieser Angriff erfolgreich ist. Daher erfordert die Früherkennung Sorgfalt.

Schadensbegrenzung

In der Dokumentation der Subtechnik sind zwei Empfehlungen enthalten:

  • Beschränken Sie die Rechte von Cloud-Konten, um zusätzliche Rollen, Richtlinien und Berechtigungen anzunehmen, zu erstellen oder die Identität anzunehmen, auf die erforderlichen Rollen, Richtlinien und Berechtigungen.
  • Erwägen Sie, eine manuelle Genehmigung zu verlangen, um die Rechte zu erhöhen, wenn der Just-in-Time-Zugriff vorübergehend aktiviert ist.

Insbesondere werden die meisten dieser kurzlebigen Berechtigungen für den automatisierten Zugriff bereitgestellt, z. B. durch SaaS-Produkte, sodass eine manuelle Genehmigung nicht möglich ist. Nichtsdestotrotz sind die spezifischen Leitlinien der Cloud-Dienstanbieter unerlässlich. Zum Beispiel die Durchsetzung der Externe ID-Variable würde Bemühungen abstreiten, böswillig eine AWS-IAM-Rolle zu übernehmen. Ein Beispiel für eine abgelehnte Anfrage über die AWS-CLI finden Sie in Abbildung 02.

Abbildung 02. Ein Versuch, in böswilliger Absicht anzunehmen, dass eine AWS-Rolle verweigert wurde

Erkennung

Um diesen Angriff zu erkennen, müssen Protokolle erfasst und analysiert werden, die API-Aufrufe enthalten von annehmen, erstellen, oder imitieren Privilegien. Im vorherigen Beispiel, das auf der AWS IAM-Rollenannahme basiert, müssen beispielsweise die Cloudtrail-Protokolle, die diese Aufrufe aufzeichnen, gesammelt und analysiert werden, um solche Angriffe umgehend zu erkennen. Abbildung 03 ist ein Beispiel für einen CloudTrail-Datensatz, bei dem erfolgreich eine IAM-Rolle übernommen wurde. Den CloudTrail im Auge behalten Rolle übernehmen events ermöglicht die schnelle Erkennung illegaler Zugriffe, insbesondere wenn das Ereignis den Fehlercode Zugriff verweigert hat (Fehlercode: Zugriff verweigert). Wie bei Brute-Force-Angriffen mit Passwörtern könnten Angreifer versuchen, mithilfe der Assume-Role-Funktion Brute-Force-Zugriff auf Konten zu erzwingen.

Abbildung 03: AWS CloudTrail-Datensatz eines Ereignisses mit angenommener Rolle

Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management Stores

Sie haben wahrscheinlich einen Überfallfilm gesehen, in dem Kriminelle auf Tresore in hochgesicherten Banken abzielen, die riesige Geldsummen und andere wertvolle Gegenstände enthalten. Trotz der damit verbundenen Risiken planen und führen diese Draufgänger diese Operationen erfolgreich durch. Das Spielbuch - hohes Risiko, hohe Gewinne! Derselbe Spielplan wurde in der digitalen Welt angewendet und ist bei Cloud-Angriffen immer häufiger anzutreffen. Cyberkriminelle nehmen zunehmend geheime Managementsysteme ins Visier. Abbildung 04 veranschaulicht ein hypothetisches Szenario. Die Risiken für diese Cyberkriminellen sind jedoch bei weitem nicht mit denen von Raubüberfällen in der realen Welt vergleichbar. Sie können sich den Grad der Motivation vorstellen!

Zum Glück liefert eine der kürzlich hinzugefügten MITRE ATT&CK-Techniken wichtige Informationen über Cloud-Angriffe, die diese Technik nutzen — Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management Stores.

Abbildung 04: Ein Angreifer, der AWS SecretManager kompromittiert, um Zugriff auf mehrere Ressourcen zu erhalten

Diese Technik beschreibt, wie Gegner Geheimnisse aus Cloud-Geheimhaltungssystemen wie AWS Secrets Manager, Azure Key Vault und Google Clouds Secret Manager sammeln. Die Technik kann jedoch nur erfolgreich sein, wenn ein Angreifer ausreichende Rechte erlangt. Zwei Secret Manager-API-Aufrufe können auf AWS missbraucht werden, um diesen Angriff zu ermöglichen — GetSecretValue & BatchGetSecretValue. Cloud-Verteidiger müssen beides zur Kenntnis nehmen, insbesondere letzteres, das kürzlich als neue AWS-Funktion hinzugefügt. Ich habe über einige Gegenmaßnahmen geschrieben in ein aktueller Blogbeitrag.

Beachten Sie, dass sich diese Technik von der gängigeren Technik unterscheidet, bei der Geheimnisse aus dem Instanz-Metadatendienst extrahiert werden: Cloud-Instanz-Metadaten-API :T155/005/. Diese spezielle Technik wurde im hochkarätigen Bereich eingesetzt CapitalOne-Datenschutzverletzung von 2019.

Schadensbegrenzung

Die Einführung von Zero-Trust- und Least-Privilege-Ansätzen würde die Möglichkeit eines unbefugten Zugriffs auf geheime Verwaltungssysteme drastisch reduzieren. Der Zugang zu Geheimnissen sollte auf dem Prinzip der geringsten Rechte basieren und nicht auf mehr. Die Erteilung umfassender Zugriffsrechte würde es Angreifern ermöglichen, auf viele Geheimnisse zuzugreifen, wohingegen der Mindestzugriff einen Explosionsradius erzwingen würde, wenn der Zugriff gefährdet ist. Geheim Drehung könnte sich weiter mit Szenarien befassen, in denen Geheimnisse kompromittiert werden; solche Geheimnisse werden nach einer Rotation nutzlos.

Erkennung

Es ist wichtig, kompromittierte Geheimnisse oder Versuche, in geheime Tresore einzudringen, wie z. B. AWS Secret Manager, schnell zu erkennen. Effektive Überwachungs- und Protokollierungsstrategien sind hilfreich, wenn sie gut umgesetzt werden. Protokolle sollten verwandte API-Aufrufe erfassen, die in die Erkennungslogik integriert werden können, z. B. mit Sigma-Regeln.

Erkennen Sie Lücken bei der Erkennung von Bedrohungen mit der Emulation von abwehrenden Cloud-Angriffen

Sicherheitsteams sollten sicherstellen, dass die oben genannten Techniken in ihren Bedrohungserkennungssystemen enthalten sind. Systeme zur Erkennung von Cloud-Bedrohungen, bei denen diese Techniken nicht ordnungsgemäß implementiert oder falsch konfiguriert sind, führen zu blinden Flecken bei der Erkennung. Angreifer könnten solche blinden Flecken ausnutzen, um die Cloud-Infrastruktur zu gefährden, weshalb eine Erkennungsvalidierung erforderlich ist.

Darüber hinaus ergaben Sicherheitsuntersuchungen der US-amerikanischen CISA (und anderer seriöser Quellen), dass Bedrohungsgruppen wie Verstreute Spinne setzen Sie diese TTPs ein, um die Cloud-Infrastruktur anzugreifen. Dies unterstreicht erneut die Notwendigkeit, Lücken in den Systemen zur Bedrohungserkennung zu identifizieren und zu schließen. Ein Ansatz, dies effektiv zu tun, besteht darin, die Emulation von Cloud-Angriffen zu nutzen.

Abbildung 05: Emulation von Angriffen zum Sammeln von Anmeldeinformationen mit Mitigant Attack Emulation

Emulieren eines Cloud-Angriffs zum Sammeln von Anmeldeinformationen

Ein Ansatz zur Erkennung der oben genannten blinden Flecken bei der Inhaftierung ist die Emulation von Gegnern, da er praktische Strategien für den Einsatz realistischer, aber sicherer Angriffe bietet, um die Erkennung effizient zu validieren. Beispielsweise haben wir die Mitigant Cloud Attack Emulation-Plattform verwendet, um Angriffe gegen AWS Secrets Manager zu emulieren, die Anmeldedaten sammeln. Wie in Abbildung 05 dargestellt, kommen zwei bereits erwähnte Varianten zum Einsatz (GetSecretValue & BatchGetSecretValue). Es ist jedoch wichtig, diese Angriffe genau zu erkennen. Wir haben festgestellt, dass einige Bedrohungserkennungssysteme die gegnerischen TTPs in der IaaS-Matrix nicht erkennen. Beispielsweise kann das Datadog Cloud SIEM den Angriff, bei dem Batch-Secret Manager-Geheimnisse abgerufen werden, nicht erkennen, indem es BatchGetSecretValue API. In Abbildung 06 sehen Sie einen Screenshot des Investigators von Datadog SIEM. Erkennungstechniker können diese Lücke effizient schließen. Weitere Informationen finden Sie hier Blogartikel.

Abbildung 06: Das Batch-Harvesting von Secrets wird in Datadog SIEM nicht erkannt

Verabschieden Sie eine bedrohungsinformierte Verteidigungsstrategie

Die Mitigant Cloud-Angriffsemulationsplattform ermöglicht es Unternehmen, eine Bedrohungsinformierte Verteidigung Strategie. Aufgrund des raschen Fortschritts im Bereich des Handelns von Angreifern und der herausfordernden Einzigartigkeit der Cloud-Infrastruktur haben Sicherheitsteams Schwierigkeiten, Warnmeldungen zu priorisieren. Dies verschärft das überwältigende Problem der Alarmmüdigkeit noch weiter.

Die Emulation von Cloud-Angriffen bietet die Möglichkeit, die Effizienz von Sicherheitsmechanismen zu überprüfen und die kritischsten Sicherheitsprobleme mithilfe von Threat-Informed Defense zu priorisieren. Die Plattform zur Emulation von Cloud-Angriffen bietet einen benutzerfreundlichen, agentenlosen Ansatz, der es Teams jeder Größe ermöglicht, ihre Erkennungsfähigkeiten zu verbessern und Cloud-Angriffen immer einen Schritt voraus zu sein. Melden Sie sich noch heute für eine kostenlose Testversion an unter https://www.mitigant.io/sign-up.

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.
Demo buchenKostenlose Testversion starten

Andere interessante Blogbeiträge lesen

Blog ansehen
Cloud Sicherheit
Emulating and Detecting Scattered Spider-like Attacks
July 23, 2024
This article shows how to leverage Threat-Informed Defense to effectively tackle cloud threat actors, e.g., Scattered Spider. Practical attacks & appropriate defense are demonstrated using Mitigant Cloud Attack Emulation & the Sekoia SOC Platform.
Mehr lesen
Cloud Sicherheit
Bedrock or Bedsand: Attacking Amazon Bedrock’s Achilles Heel
July 10, 2024
Amazon Bedrock's Achilles heel is the adoption of S3 as a RAG data source, leading to several GenAI attack vectors, including data poisoning, denial of service & S3 ransomware. This article delves into these attack vectors, detection, and mitigation.
Mehr lesen
Cloud Sicherheit
Cloud Attack Emulation: Democratizing Security Operations in the Cloud
July 2, 2024
Security operations are the nerve of organizational cybersecurity efforts. An organization’s security policy typically aims to keep it safe by implementing preventive, detective, and recovery measures. Security operations ensure this ambition by s...
Mehr lesen

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen