MITRE ATT&CK T1078: Gültige Konten durch Angreifer missbraucht
Das Cybersicherheitsunternehmen Picus Security erläutert, wie Angreifer legitime Anmeldeinformationen mithilfe der MITRE ATT&CK T1078 'Valid Accounts'-Technik nutzen, um Sicherheitskontrollen zu umgehen und unbefugten Zugriff zu erlangen.
Picus Security hat eine Analyse der MITRE ATT&CK T1078 Valid Accounts-Technik veröffentlicht, einer weit verbreiteten Methode, die von Angreifern zum Eindringen in Systeme und Netzwerke genutzt wird. Diese Technik beinhaltet den Missbrauch legitimer Benutzeranmeldeinformationen, einschließlich Standard-, lokaler-, Domänen- oder Cloud-Konten, zur Authentifizierung und Umgehung von Sicherheitsmaßnahmen.
Die Valid Accounts-Technik ermöglicht es Angreifern, mehrere Ziele gleichzeitig zu erreichen, wie z. B. initialen Zugriff, laterale Bewegung, Persistenz und Privilegienerweiterung, während sie gleichzeitig der Erkennung entgehen. Da identitätsbasierter Zugriff in modernen IT-Infrastrukturen und Cloud-Umgebungen immer wichtiger wird, hat sich T1078 zu einem äußerst effektiven und häufig genutzten Angriffsvektor entwickelt.
Laut Picus Securitys Forschung hat die Valid Accounts-Technik eine Erfolgsquote von 98 % in getesteten Umgebungen. Dies steht im Einklang mit umfassenderen Branchenerkenntnissen, die darauf hindeuten, dass ein erheblicher Teil der Cyberangriffe auf kompromittierte legitime Anmeldeinformationen und nicht auf die Ausnutzung von Software-Schwachstellen zurückzuführen ist.
Der Bericht beleuchtet spezifische Untertechniken, darunter T1078.001 (Default Accounts), bei denen Angreifer werkseitig voreingestellte oder bekannte Anmeldeinformationen wie Standard-Administrator- oder Root-Konten ausnutzen. T1078.002 (Domain Accounts) konzentriert sich auf den Missbrauch von Anmeldeinformationen innerhalb von Active Directory-Umgebungen, der es Angreifern ermöglicht, sich innerhalb eines Netzwerks zu bewegen und Privilegien zu erweitern.
Organisationen stehen erheblichen Herausforderungen bei der Abwehr solcher identitätsbasierten Angriffe gegenüber. Die Analyse von Picus Security unterstreicht die Notwendigkeit eines proaktiven Identitätsrisikomanagements und einer kontinuierlichen Bedrohungssimulation, um den weit verbreiteten Missbrauch gültiger Konten durch Bedrohungsakteure wirksam zu bekämpfen.