MITRE ATT&CK Cloud Matrix: Neue Techniken und warum Sie sich darum kümmern sollten — Teil II

Das MITRE ATT&CK Framework v.14 wurde im Oktober 2023 mit über 18 neuen Techniken veröffentlicht.
31.5.2024
Kennedy Torkura
Lesedauer: 7 Minuten
MITRE ATT&CK Cloud Matrix: Neue Techniken und warum Sie sich darum kümmern sollten — Teil II
Contributors
Kennedy Torkura
Kennedy Torkura
Co-Founder & CTO
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Das MITRE ATT&CK Framework v.14 wurde im Oktober 2023 mit über 18 neuen Techniken veröffentlicht. In der erster Teil dieses Blogs, wir haben uns zwei der vier Techniken angesehen, die für die öffentliche Cloud-Infrastruktur relevant sind. In diesem abschließenden Teil werden wir die verbleibenden zwei neuen Techniken untersuchen: Log Enumeration (T1654) und Cloud Compute-Infrastruktur ändern: Cloud Compute-Konfigurationen ändern (T1578,005). Beachten Sie, dass das MITRE ATT&CK Framework v. 15 ebenfalls veröffentlicht seit dem 23. April 2024, und wir werden die Änderungen und Auswirkungen in einem demnächst erscheinenden Blog behandeln.

Verbessern Sie Ihre Fähigkeiten zur Erkennung von Cloud-Bedrohungen

Das MITRE ATT&CK-Framework hat sich zur zuverlässigsten Quelle für Angriffe in der realen Welt entwickelt. Das Framework sammelt Informationen aus mehreren kuratierten Quellen und stellt sie in strukturierten und leicht konsumierbaren Formaten bereit. Es gibt jedoch große Herausforderungen, wenn es darum geht, Cloud-Angriffe im Auge zu behalten. Cloud-Infrastrukturen entwickeln sich ständig weiter, jeder neue Cloud-Dienst bietet Angriffsmöglichkeiten, es dauert eine Weile, bis die Sicherheitsauswirkungen des Dienstes verstanden werden, und diese Lücke ist vergleichbar mit Zero-Day-Schwachstellen. In ähnlicher Weise erhöhen API-Änderungen die bestehende Komplexität, zum Beispiel AWS-API „BatchGetSecretValue“, eine kürzlich eingeführte Secret Manager-Funktion, enthüllt Angriffsmöglichkeiten, die derzeit von mehreren Cloud-Bedrohungserkennungssystemen (z. B. XDRs, CDRs) nicht erkannt werden. Mehr dazu erfahren Sie in unserem vorheriger Blog.

Von AWS Detective erkannte Angriffe, die über eine abwehrende Cloud-Angriffsemulation orchestriert wurden

Darüber hinaus ist es schwierig, die neuen Techniken, die in Version 14 des MITRE ATT&CK-Frameworks hinzugefügt wurden, als bösartig zu kennzeichnen. Nun, diese Herausforderung erstreckt sich auf alle Bemühungen zur Cloud-Erkennung. Systeme zur Bedrohungserkennung sorgen bei Sicherheitsteams für Übermüdung bei Warnmeldungen. Um dies zu überwinden, ist eine sorgfältige Abstimmung dieser Systeme erforderlich. Es ist wichtig zu beachten, dass die meisten Angreifer Angriffe verketten, um ihre Ziele zu erreichen. Daher müssen Bedrohungserkennungssysteme eine Reihe von Techniken berücksichtigen, die auf bestimmten Attributen basieren, bevor sie Warnmeldungen auslösen. Zu diesen Attributen gehören IP-Adressen, Nutzernamen, geografische Standorte, Zeiten anfragen usw. Schließlich formulieren diese Attribute den UmweltKONTEXT. Der Kontext erfordert jedoch eine Validierung, und die Emulation von Gegnern bietet den besten Ansatz zur Sicherheitsvalidierung, ohne die Probleme wie Alarmmüdigkeit usw. bestehen bleiben. Der Emulation von Cloud-Angriffen zur Abwehr bietet Sicherheitsteams eine benutzerfreundliche, erstklassige Plattform für die Emulation von Cloud-Gegnern. Außerdem die Projekt Sigma Correlations scheint in die richtige Richtung zu gehen, es zielt darauf ab, mehrere scheinbar unabhängige Erkennungen zu korrelieren.

Protokollaufzählung (T1654)

Protokolle sind das Rohmaterial für die meisten Formen der Sicherheitsanalyse und führen häufig zu mehreren Sicherheitsergebnissen, wie z. B. proaktiver Bedrohungserkennung und Reaktion auf Vorfälle. Dementsprechend schätzen Verteidiger Protokolle sehr, weshalb die Protokollverwaltung ein grundlegender Aspekt effektiver Sicherheitsstrategien ist. Umgekehrt haben Angreifer einen ähnlichen Wunsch nach Protokollen, die häufig auf Protokollquellen abzielen, um entweder Einblicke in die Zielumgebung zu gewinnen oder Angriffsnachweise zu löschen. Aus diesem Grund wurden im Laufe der Jahre mehrere bewährte Methoden für die sichere Protokollverwaltung vorgeschlagen. Vor Kurzem hat die US-amerikanische NSA veröffentlicht die Die 10 wichtigsten Strategien zur Minderung der Cloud-Sicherheit, und eine der zehn Strategien konzentriert sich auf Cloud-Logs verwalten.

Diagramm, das ein zentralisiertes Logging-Konto zeigt

Ähnlich wie bei anderen Sicherheitsaspekten unterscheidet sich die effektive Verwaltung von Cloud-Protokollen von lokalen bzw. herkömmlichen Systemen. Cloud-Dienstanbieter (CSPs) stellen Protokolle für die meisten ihrer Serviceangebote zur Verfügung. Während bei einigen Diensten die Protokollierung standardmäßig aktiviert ist, müssen Cloud-Kontoinhaber bei anderen manuell eingreifen. Die schiere Anzahl von Cloud-Diensten, von denen jeder über separate Protokolle verfügt, führt jedoch zu einer Vielzahl von Protokollen, und es ist eine Herausforderung, all diese Protokollquellen auf eine gemeinsame Quelle zu bringen.

CSPs versuchen, dieses Problem zu lösen, indem sie Dienste bereitstellen, die Cloud-Logs zentralisieren, z. B. AWS Cloudtrail. Diese Bemühungen sind jedoch alles andere als perfekt. Bei einigen Diensten werden ihre Logs nicht an diese zentralen Logging-Dienste übertragen, weshalb zusätzliche Augmentierungsmaßnahmen erforderlich sind, um diese Lücken zu schließen. Um diese Lücken zu schließen, nutzen Unternehmen häufig zusätzliche Mechanismen zur Protokollaggregation, z. B. Cloudwatch und Security Lake, oder verwenden alternativ Systeme von Drittanbietern, z. B. SIEMs.

Die neue MITRE ATT&CK Technique, Protokollaufzählung (T1654)) beschreibt Angriffe, die diese Lücken in Cloud-Logs ausnutzen. Diese Lücken führen zu Zersiedelung, was Angreifern die Möglichkeit eröffnet, illegal auf Protokolle dieser unterschiedlichen Cloud-Dienste zuzugreifen. Angreifer könnten Protokolldateien leicht zur weiteren Analyse exfiltrieren und so ein tieferes Verständnis der Cloud-Umgebung ermöglichen. Darüber hinaus zielen Angreifer häufig auf zentralisierte Protokollquellen ab, z. B. Cloud-Objektspeicher, die als Protokollspeicher verwendet werden. AWS S3-Buckets, die zum Speichern von Cloudtrail und anderen Cloud-Protokollen verwendet werden, können leicht kompromittiert werden, wenn sie falsch konfiguriert werden. Andere zentralisierte Protokollierungsmöglichkeiten, darunter Cloudwatch und Suche öffnen könnte von Angreifern ins Visier genommen werden. Diese Angriffstechniken fallen im Allgemeinen unter die Entdeckungstaktik des MITRE ATT&CK-Frameworks.

Emulieren von Log-Enumerationsangriffen mit Mitigant Cloud Attack Emulation

Schadensbegrenzung

CSPs empfehlen angemessene Ansätze zur Protokollverwaltung, um die Angriffsmöglichkeiten zu reduzieren, die sich aus dem illegalen Zugriff auf Protokolle ergeben. Sehen wir uns einige dieser Empfehlungen an:

  • Loggen Zentralisierung: Protokolle können in einem speziellen Protokollierungs-/Sicherheitskonto zentralisiert werden, das hochsicher ist und nur minimalen Zugriff ermöglicht. Dieser Ansatz eignet sich besonders für Organisationen, die das AWS Organizations-Setup zur Verwaltung von Sicherheits- und anderen betrieblichen Anforderungen nutzen.
  • Folgen Sie den Best Practices für Sicherheits-S3-Buckets, wenn Sie Cloudtrail-Logs über die Standardverfügbarkeit von 90 Tagen hinaus aufbewahren. Dazu gehören die Verschlüsselung von Protokollen, die Verwendung von MFA zur Regulierung des Zugriffs, die Implementierung des Prinzips der geringsten Rechte usw. Weitere Informationen finden Sie hier Dokumentation für einige Grundrezepte.
Cloudtrail-Datensatz eines API-Aufrufs zum Sammeln von Konfigurationsdetails eines Cloudtrail-Trails

Erkennung

Es gibt mehrere Möglichkeiten, illegale Cloud-Log-Zugriffe zu erkennen, darunter die beiden unten aufgeführten Methoden. Eine Herausforderung bei der Erkennung dieser Angriffe besteht jedoch darin, dass die meisten Erkennungsansätze von Cloudtrail-Ereignissen abhängen, ohne die Notwendigkeit zu berücksichtigen, S3-Ereignisse auf Objektebene zu erfassen. Anfragen zur Erfassung von Protokolldateien in S3-Buckets sind nur als S3-Ereignisse auf Objektebene verfügbar und diese Ereignisse sind nicht aktiviert standardmäßig.

  • Überwachen Sie Standard-API-Aufrufe und -Befehle, die auf die Erfassung von Protokollen auf Betriebssystemebene (in virtuellen Maschinen), das Exfiltrieren von Protokollen aus S3-Buckets und das Abfragen von Protokollen aus dem zentralen Protokollierungsdienst hinweisen könnten, z. B. Cloudtrail (Ereignisse nachschlagen).
  • Überwachung des Zugriffs auf Systeme und Dienste, die für die Erfassung und Verwaltung von Protokollen verwendet werden, z. B. Cloudtrail und Security Lake. Cloudtrail Namen der Ereignisse das könnte interessant zu beobachten sein, einschließlich Wanderwege auflisten und Beschreiben Sie Trails.
Nutzung von Amazon Security Lake zur Untersuchung von S3-Anfragen auf Objektebene

Cloud Compute-Infrastruktur ändern: Cloud Compute-Konfigurationen ändern (T1578.005)

Angreifer zielen aus verschiedenen Gründen auf die Cloud-Infrastruktur ab, während einige Angriffe direkt bösartig sind, andere nicht direkt bösartig sind (oder nicht darauf abzielen, Daten aus der kompromittierten Umgebung zu stehlen). Die Angriffe der letztgenannten Kategorie werden im Allgemeinen der MITRE ATT&CK-Technik — Resource Hijacking zugeordnet (T1496) und könnte darauf abzielen, dem Täter zu ermöglichen, die hohen Kosten für Cloud-Computing zu vermeiden. Dies gilt insbesondere in Fällen, in denen der Angreifer die kompromittierten Ressourcen verwendet, um Operationen durchzuführen, die enorme Rechenkapazitäten erfordern, z. B. Bitcoin-Mining und Workloads für maschinelles Lernen/künstliche Intelligenz. Angreifer kapern diese Cloud-Computerressourcen häufig und nutzen sie im Hintergrund; ohne Verdacht zu erregen, zum Beispiel, wenn Angreifer kompromittiert werden Teslas AWS-EKS-Cluster. In einigen Fällen werden die entführten Rechenressourcen jedoch als Teil eines Angriffs verwendet, z. B. zum Hosten von Command-and-Control-Servern für Angriffe auf Ziele innerhalb oder außerhalb der kompromittierten Infrastruktur. Die Angreifer, die MITRE kompromittiert haben Umgebung, die für die Technik verwendet wurde, die erzeugten Instanzen in der VMware-Infrastruktur. Diese virtuellen Maschinen wurden anschließend für die Kommunikation mit Command-and-Control-Servern verwendet.

CSPs weisen als Kontrollmaßnahme Kontingente für Cloud-Ressourcen zu, einschließlich Beschränkungen der Rechenressourcen pro Konto. Kunden können jedoch zusätzliche Ressourcen anfordern. Angreifer nutzen diese Möglichkeit aus, indem sie zusätzliche Ressourcen anfordern, um weitere böswillige Aktionen auszuführen. Angriffe, die diesen Missbrauch darstellen, werden in der neuen MITRE ATT&CK-Subtechnik kategorisiert - Cloud Compute-Infrastruktur ändern: Cloud Compute-Konfigurationen ändern. Diese Subtechnik fällt unter die Defensive Ausweichtaktik des MITRE ATT&CK-Frameworks.

Beispielsweise können Angreifer ein zusätzliches Kontingent an vCPUs anfordern, um die zulässige Anzahl von EC2-Instances oder die Größe der vCPU pro Instance zu erhöhen. Diese Anfrage wird möglicherweise nicht bemerkt, wenn sie nicht aktiv überwacht wird. Hier der Cloudtrail-Eventname Erhöhung des Serviceangebots anfordern implies ist Teil eines Cloudtrail-Datensatzes einer Anfrage zur Erhöhung einer Quote. Die Anfrage kann über AWS-APIs gestellt werden, zum Beispiel mit dem folgenden Befehl:

aws-Dienstkontingente get-service-quota --service-code ec2 --quota-code L-1216C47A

Antwort erhalten, als eine EC2-Kontingenterhöhung beantragt wurde

Schadensbegrenzung

Die Einführung von Zero-Trust- und Least-Privilege-Ansätzen könnte die Berechtigungen im Zusammenhang mit Anfragen zur Kontingenterhöhung einschränken. Diese Maßnahmen regeln im Allgemeinen die Zugangsbedingungen, die es ermöglichen, eine Erhöhung der Quote zu beantragen, wodurch es für Angreifer mit gestohlenen Zugangsdaten schwieriger wird, gültige Anfragen zu stellen.

Cloudtrail-Datensatz einer Anfrage zur EC2-Kontingenterhöhung

Erkennung

Überwachungsanfragen, einschließlich der folgenden Cloudtrail-Eventnamen: Erhöhung des Serviceangebots anfordern und Servicequote einholen, kann böswillige Anfragen nach Kontingenterhöhungen erkennen.

Orchestrierung der neuen MITRE ATT&CK-Techniken mit Mitigant

Mit bedrohungsinformierter Abwehr sind Sie Cloud-Angriffen immer einen Schritt voraus

Die Verteidigung gegen böswillige Entitäten ist eine Herausforderung, und es gibt keine silberne Kugel. Außerdem führt die alleinige Abhängigkeit vom traditionellen Schwachstellenmanagement häufig zu Alarmmüdigkeit und einem falsches Sicherheitsgefühl. Es gibt kaum Beweise dafür, dass die meisten Sicherheitslücken hohe CVSS-Werte aufweisen werden schließlich ausgenutzt Daher ist es oft kontraproduktiv, sich auf diese Sicherheitslücken zu konzentrieren.

Bedrohungsinformierte Abwehrstrategien lösen diese Bedenken, indem sie die Verteidigung von realen Angriffen abhängig machen. Diese Angriffe wurden dem MITRE ATT&CK-Framework hinzugefügt und explizit beschrieben. Darüber hinaus wird Cyber Threat Intelligence (CTI) hinzugefügt, um den Kontext zu erweitern, indem zusätzliche Informationen über das Verhalten der Bedrohungsakteure, die verwendeten Tools, die Zielbranchen usw. bereitgestellt werden.

MITRE ENGENUITY empfiehlt jedoch die Verwendung Emulation des Gegners um die Effizienz bedrohungsinformierter Strategien, einschließlich CTI- und MITRE ATT&CK-gestützter Abwehrmaßnahmen, zu validieren. Die Plattform zur Emulation von Cloud-Angriffen bietet einen benutzerfreundlichen, agentenlosen Ansatz, der es Teams jeder Größe ermöglicht, gegnerische Emulationen für die AWS-Infrastruktur durchzuführen. Die Plattform erkennt automatisch geeignete Ziele, führt die Angriffe aus, sammelt Beweise und bereinigt anschließend die Infrastruktur. Melden Sie sich noch heute für eine kostenlose Testversion an unter https://www.mitigant.io/sign-up.

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen