MITRE ATT&CK für OT und ICS

MITRE ATT&CK® ICS ist ein umfangreiches Framework zur Identifikation, Definition und Bekämpfung professioneller (z. B. staatlich gestützter) Cyberangriffe in industriellen Netzwerken.

 

Cyberangriffe sind selten so einfach strukturiert, wie sie oft medial dargestellt werden. Gerade professionelle, gezielte Angriffe – beispielsweise CRASHOVERRIDE, die Windows-Exchange-Exploits der staatlichen Hackergruppe Hafnium und der SolarWinds-Vorfall – folgen einem komplexen Ablauf. Das Rüstungsunternehmen Lockheed Martin hat dazu das Konzept der Cyber Kill Chain® entwickelt, um Cyberangriffe auf Unternehmen besser zu klassifizieren und zu beschreiben. Sie bietet nur eine grobe Skizze und legt den Fokus auf IT und klassische Malware. Aus diesem Grund hat sich für industrielle Netze und komplexere Angriffskampagnen das Rahmenkonzept von MITRE ATT&CK® etabliert. MITRE ATT&CK® ergänzt nicht nur zusätzliche Schritte, die in gezielten Angriffen beobachtet wurden. Das Framework beschreibt auch deren typische Techniken. Daraus ergeben sich 14 Angriffsphasen mit rund 107 Techniken (Stand Mai 2021).

In 14 Schritten zur Störung

Bevor das Netzwerk angegriffen wird, erfolgt in der Regel eine ausgiebige Phase der Erkundung (1). Informationen zum Ziel wie Firmenstruktur, Mitarbeiter, Lieferanten, Kontakte, Infrastruktur, Hintergrundinfos aus der Öffentlichkeitsarbeit werden gesammelt. Darauf aufbauend werden passende Angriffsmethoden (2) ausgewählt, um Zugang zum Firmennetzwerk zu erhalten, u.a. Waterholing, Spear-Phishing, Bruteforce, Standardpasswörter aus Darknet- Listen, Schwachstellen in Geräten und Software. Beide Phasen bzw. Taktiken erfolgen außerhalb des Zielnetzwerkes und somit außerhalb des Wirkungsbereichs der verschiedenen Sicherheitsmechanismen (Firewall, VPN, IDS, SIEM, OT-Monitoring) im Unternehmen.

Anschließend erfolgt die Angriffskampagne, bei der es ausschließlich um den Zugang (3) zum Netzwerk und die Platzierung der initialen Malware geht. Diese Phase erfolgt mitunter nicht beim Ziel direkt, sondern beispielsweise über Lieferanten und Dienstleister, um von dort zum eigentlichen Ziel zu gelangen. Nach Einschleusen der initialen Malware wird das infizierte Gerät übernommen (4). Weiterhin wird ein Brückenkopf (Beachhead) bzw. eine Backdoor (5) installiert. Sie stellt sicher, dass der Zugriff selbst bei Änderung der Zugangsdaten, Neustart oder Detektion nicht verloren geht.

 

Mitre Att&ck und Cyberkillchain frameworks

Die Grafik zeigt die verschiedenen Phasen der Cyber Kill Chain® und des MITRE ATT&CK® Frameworks. Der untere Bereich kombiniert MITRE ATT&CK® Enterprise (Phasen 1-2) und MITRE ATT&CK® ICS (3-14), um ein ganzheitliches Bild der Angriffsphasen zu erzeugen und das Mapping mit der Cyber Kill Chain® zu verdeutlichen.

 

Ab diesem Zeitpunkt laufen mehrere Phasen parallel und in Abhängigkeit. Die Datensammlung (8, 10) zielt auf Informationen zu Zugangsdaten, Geräte, Netz- und Kontenstruktur (8) sowie zum Zielsystem (10), auf dem die eigentliche Störung (bzw. der Impact) herbeigeführt werden soll. Das Ziel der Datensammlung ist auch der Ausbau der Privilegien (6), um weitere Rechte für einen einfacheren und umfassenderen Zugriff zu erhalten. Oftmals werden diese Daten zum Zweck der Analyse, Erpressung oder des Weiterverkaufs exportiert.

Die erfassten Informationen werden genutzt, um sich im Netzwerk lateral fortzubewegen (9) und die notwendigen Payloads zu platzieren. Weiterhin bilden sie die Grundlage, die Verbindung zum Command & Control Server (11) sicher und stabil aufzubauen. Zu jedem Schritt laufen parallel Maßnahmen, um die Detektion zu vereiteln (7). Beispielsweise wird das gesammelte Wissen zu Netzwerkstruktur, Protokollen und Kommunikationsstrukturen genutzt, um die eigene Kommunikation optimal in die normale Kommunikation einzubetten. Auf höherem Level der Überwachung (typischerweise Firewalls) lässt sich die Kommunikation dann nicht von der normalen Unternehmenskommunikation unterscheiden. Besonders in industriellen Umgebungen ist, dass Anlagen anhand von Leistungsparameternüberwacht werden und in der Regel Notstoppsysteme (Safety Instrumented Systems, SIS) existieren, um Menschenleben, Prozessstabilität und Anlagen zu schützen. Aus diesem Grund könnten Angreifer zusätzlich Monitoringsysteme oder die Übertragung von Sensordaten blockieren oder (über Man-In-The-Middle) fälschen. Damit wird das Alarmsystem ausgeschaltet (12). Weiterhin wird versucht, eine schnelle Reaktion der Leitwarte zu vereiteln (13). Sind alle Payloads an Ort und Stelle, erfolgt der eigentliche Angriff auf das Ziel, und Herbeiführung des Schadens (14), z. B. Störung von Prozessen, Herunterfahren von Geräten, Änderung der Zustände.

Sowohl die Cyber Kill Chain® als auch MITRE ATT&CK® verdeutlichen, wie vielschichtig Cyberangriffe ablaufen können. Während einfache Angriffe in der Regel durch Firewalls abgefangen werden, nutzen professionelle Angriffe eine Vielzahl von Methoden, um die etablierte Perimetersicherung zu umgehen. Da Zeit häufig keine Rolle spielt, erfolgt der Angriff schrittweise, vorsichtig und unter Verschleierung der Aktivitäten gegenüber Firewalls und klassischen Intrusion Detection Systemen. Wie so ein Angriff ablaufen kann, erläutern wir auf den nächsten Seiten.