Mehrdeutige Techniken: Warum der Kontext über Böswilligkeit entscheidet

14. Mai 2025

Im Kampf gegen Cyberangriffe liefert das MITRE ATT&CK-Framework eine strukturierte Übersicht der Taktiken und Techniken, die Angreifer typischerweise einsetzen. Doch nicht jede dieser Techniken ist per se bösartig. Einige – wie etwa die „System Network Configuration Discovery“ (T1016) – werden zwar während Angriffskampagnen genutzt, könnten aber ebenso gut im Rahmen legitimer Aktivitäten auftreten. Genau hier beginnt das Problem: Mehrdeutige Techniken lassen sich allein anhand ihrer Merkmale nicht eindeutig interpretieren.

Solche Techniken bieten keine ausreichende Grundlage, um Absicht und Motivation klar zu erkennen. Das macht sie für Verteidiger schwer nutzbar – eine zuverlässige Erkennung von Angreiferverhalten ist mit ihnen kaum möglich. Hinzu kommt: Viele dieser Verfahren können auf unterschiedliche Weise umgesetzt werden, wodurch sie bis zum Abschluss einer forensischen Analyse kaum von harmlosen Nutzeraktionen zu unterscheiden sind.

Cyberkriminelle machen sich diese Grauzone gezielt zunutze – etwa durch sogenannte Living-off-the-Land-Techniken (LOTL), bei denen vorhandene Systemtools für bösartige Zwecke zweckentfremdet werden. Um solche Angriffe zu erkennen, braucht es hochpräzise und kontextsensitive Erkennungsstrategien. Denn nur wer aus den verfügbaren Sicherheitsprotokollen das tatsächliche Motiv ableiten kann, hat eine Chance, Angriffe frühzeitig zu identifizieren und Fehlalarme zu vermeiden.

Um genau diesen Herausforderungen zu begegnen, hat das Center for Threat-Informed Defense gemeinsam mit Branchengrößen wie Citigroup, Crowdstrike, Fujitsu, Fortinet, HCA Healthcare, der Lloyds Banking Group und Microsoft die Initiative „Summiting the Pyramid“ weiterentwickelt. Das Ergebnis: ein methodischer Ansatz namens „Ambiguous Techniques“. Ziel ist es, den Kontext besser zu erfassen und so zwischen harmlosen und böswilligen Aktivitäten unterscheiden zu können – ohne dabei an Genauigkeit oder Widerstandsfähigkeit gegenüber Täuschungsversuchen zu verlieren.

Der Kontext ist entscheidend!

Wir unterscheiden drei Arten von Kontexten, anhand derer ein Verteidiger die Absicht eines Akteurs erkennen kann: Peripheriekontext, Kettenkontext und Technikkontext. Jeder dieser Kontexte liefert zusätzliche Informationen zur Verwendung einer Technik, die für die Ermittlung der Absicht erforderlich sind.

Peripheriekontext

Kontexteingaben auf peripherer Ebene

Der Peripheriekontext umfasst externe Informationen, die für die Abwehr potenzieller Angriffe auf Ihr Netzwerk von größter Bedeutung sind. Dies ist eine Perspektive von „außen nach innen“.

Wir wenden den Kontext auf Peripherieebene auf Techniken an, die mit Aktivitäten vor der Kompromittierung verbunden sind, wie beispielsweise bei der Taktik „Aufklärung“. Daher sind die in dieser Kategorie generierten Erkennungen proaktiver Natur. Der Kontext auf Peripherieebene leitet sich aus Cyber-Bedrohungsinformationen zu Bedrohungen für Ihr Netzwerk, Ihre Branche oder Ihren Sektor ab.

Kontext auf Verkettungsebene

Der Kontext auf Verkettungsebene ergibt sich aus beobachteten gleichzeitig auftretenden Techniken – also solchen, die vor, nach oder gleichzeitig mit der spezifischen Technik von Interesse auftreten –, um die Absicht zu ermitteln. Wir haben Techniken auf Verkettungsebene untersucht, indem wir Daten aus unserem Repository für Angriffsabläufe und unserer Adversary Emulation Library genutzt haben.

Kontext auf Technikebene

Beispiele für den Kontext auf technischer Ebene

Technikbasiertes Erkennungsmodell: Vier Fragen zur Bedrohungsanalyse

In der Cybersicherheit ist der Kontext entscheidend – besonders auf Technikebene. Um verdächtige Aktivitäten zuverlässig zu identifizieren, setzen Sicherheitsanalysten auf ein bewährtes Prinzip: Sie stellen sich vier zentrale Fragen – Wer, Was, Wann und Wo. Dieses strukturierte Vorgehen hilft dabei, Auffälligkeiten im Netzwerkverhalten systematisch zu erkennen.

Wer?
Im ersten Schritt geht es um die Analyse von Authentifizierungen und Berechtigungen. Wer ist im Netzwerk aktiv? Welche Zugriffsrechte werden verwendet – und wie? Durch die Untersuchung dieser Zugriffsmuster lassen sich verdächtige Aktivitäten einzelner Nutzer aufdecken und potenzieller Missbrauch frühzeitig erkennen.

Was?
Hier stehen die klassischen digitalen Spuren im Mittelpunkt: Flags, Befehle, Registrierungsschlüssel, API-Aufrufe und andere technische Artefakte, die aus Ereigniscodes oder Systemmeldungen gewonnen werden. Diese liefern konkrete Hinweise auf mögliche Angriffe oder Manipulationen.

Wann?
Zeitliche Analysen zeigen, ob bestimmte Aktivitäten zu ungewöhnlichen Zeiten stattfinden – etwa außerhalb der Geschäftszeiten oder mit auffälliger Häufigkeit. Solche Abweichungen vom Normalverhalten können ein Hinweis auf Angriffe oder unautorisierte Zugriffe sein.

Wo?
Auch der Ort spielt eine Rolle. Die Überwachung sensibler Bereiche im Netzwerk – wie kritische Dateien, Systeme oder Schnittstellen – hilft dabei, verdächtige Verbindungen und Datenflüsse zu erkennen. Besonders hilfreich ist hier das Festlegen einer Baseline: Nur wer weiß, was „normal“ ist, erkennt auch das Ungewöhnliche.

Durch diese vierdimensionale Analyse können Sicherheitsverantwortliche technische Hinweise besser einordnen, Anomalien gezielt untersuchen und so zwischen harmlosen Unregelmäßigkeiten und echten Bedrohungen unterscheiden. Dieses Modell schafft eine fundierte Grundlage für die Entwicklung wirksamer Erkennungsmethoden und stärkt die Verteidigung gegen komplexe Angriffe.

Wie man den Kontext nutzt, um die Absicht zu bestimmen

Das obige Flussdiagramm zeigt den Ablauf der Aktivitäten während eines Vorfalls und welche Art von Kontext als Verteidiger zu verwenden ist. Der Ablauf beginnt mit dem Beginn des Angriffsverhaltens und geht dann zu spezifischen Verhaltensweisen über. Die Legende unten links hebt die verschiedenen Kontexte hervor, wobei Grau bedeutet, dass nicht genügend Informationen für eine Entscheidung vorliegen. Eine ausführlichere Beschreibung der Verwendung der Kontextflussdiagramme finden Sie auf hier.

Nachdem wir den zu verwendenden Kontext festgelegt haben, kombinieren wir verschiedene Analysen, um die Genauigkeit unserer Erkennungen zu verbessern. Wir haben zwei unterschiedliche Ansätze für die Verkettung von Analysen identifiziert: direkte Korrelation und lose Korrelation. Diese Methoden sind für unterschiedliche Szenarien konzipiert und in der Regel nicht austauschbar. Jede dient einem bestimmten Zweck, der vom Grad der Sicherheit und der Art der Aktionen des Angreifers abhängt.

• Direkte Korrelation: Verwenden Sie direkte Korrelation, um eine bestimmte Kampagne, einen bestimmten Angreifer oder ein bestimmtes Tool zu erkennen. Die effektivsten direkten Korrelationsanalysen umfassen Aktionen, die voneinander abhängig sind. Beispielsweise führt ein Angreifer eine erste Aktion durch, und eine nachfolgende Aktion hängt vom Erfolg der ersten Aktion ab. Diese voneinander abhängigen Aktionen können aus unterschiedlichen Datenquellen stammen oder in verschiedenen Teilen des Netzwerks auftreten, aber ihre gegenseitige Abhängigkeit ist entscheidend für die Herstellung einer direkten Korrelation. Diese Methode ist unkompliziert, da die Analysen in einer Sequenz miteinander verknüpft sind, in der alle Aktionen auftreten müssen, damit die Korrelation gültig ist.
• Lose Korrelation: Wenden Sie eine lose Korrelation an, wenn Sie nur eine allgemeine Vorstellung vom Verhalten des Angreifers haben und keine genauen Kenntnisse über die spezifischen Aktionen, die er ausführen wird. Ein gutes Beispiel hierfür sind Erkundungsaktivitäten, die häufig in Netzwerken auftreten und schwer als normales Verhalten oder als Aktivitäten eines Angreifers zu unterscheiden sind. Beispielsweise kann die Ermittlung von Systeminformationen auf mehreren Systemen beobachtet werden, während die Ermittlung von Remote-Dateifreigaben auf einer anderen Gruppe von Systemen erfolgen kann. Einzeln betrachtet mögen diese Aktionen harmlos erscheinen, aber wenn mehrere Techniken auf ein einzelnes System oder einen einzelnen Benutzer konvergieren, bilden sie ein Muster, das auf eine feindliche Aktivität hindeutet.

Während einige Implementierungen von analytischen Verkettungen versuchen, eine strikte Reihenfolge durchzusetzen, haben wir festgestellt, dass die Komplexität und die Kosten solcher Implementierungen oft die Vorteile überwiegen. Daher ist die Einführung streng sequenzieller analytischer Verkettungen begrenzt. Eine lose Korrelation ermöglicht es Unternehmen, Schwellenwerte und Analysen an ihre spezifischen Umgebungen anzupassen und gleichzeitig ein Gleichgewicht zwischen Erkennungsgenauigkeit und operativer Machbarkeit zu wahren.

Jetzt sind Sie an der Reihe, die böswillige Absicht hinter einer mehrdeutigen Technik aufzudecken

Das Framework für mehrdeutige Techniken ermittelt anhand des Kontexts die Absicht hinter einer Technik. Es bietet eine Möglichkeit, Analysen für diese Techniken zu entwickeln, wodurch die Effizienz gesteigert wird, indem die Ressourcenbelastung reduziert und die Transparenz erhöht wird. Wir haben mehrere Beispielanalysen beigefügt, die zeigen, wie Sie Ihre aktuellen Erkennungen verbessern können. Verteidiger können diese Erkenntnisse anwenden, indem sie unsere Leitlinien in ihre eigenen Entwicklungsprozesse integrieren und anhand der Dokumentation robuste Erkennungen erstellen.

Nehmen Sie unsere Arbeit auf, passen Sie sie an und erweitern Sie sie, und tragen Sie zur AT-Wissensdatenbank bei, indem Sie Angriffsketten identifizieren und beobachtbare Techniken verfeinern.

Die zukünftige Arbeit von Summiting im Bereich Detection Engineering wird sich darauf konzentrieren, wie kombinierte und mehrschichtige Erkennungen zum Aufbau robuster Erkennungen genutzt werden können und wie wir die Abdeckung vielschichtiger Erkennungen effektiv messen können.

Machen Sie mit

Teilen Sie uns mit, wie Sie unsere Arbeit nutzen! Wenn Sie Feedback, technische Fragen, Bedenken oder Beiträge zum Projekt haben, senden Sie uns eine E-Mail an ctid@mitre.org.

Quelle: MITRE

---

Bild/Quelle: https://depositphotos.com/de/home.html