Defense Evasion
Was ist Defense Evasion?
Defense EvasionMITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
Defense Evasion (MITRE-ATT&CK-Taktik TA0005) fasst Techniken zusammen, die Sicherheitskontrollen umgehen, blenden oder täuschen. Sie ist eine der größten Taktiken der Matrix und umfasst obfuskierte und verschlüsselte Payloads, Process Injection, DLL Side-Loading, signed-binary proxy execution (LOLBins), Abschalten oder Deinstallieren von EDR/AV, das Leeren von Ereignisprotokollen, Masquerading als legitimer Prozess, Missbrauch vertrauter Verzeichnisse, Rootkits und BYOVD-Angriffe (Bring Your Own Vulnerable Driver). Defense Evasion zieht sich häufig durch den gesamten Angriff. Verteidiger reagieren mit Kernel-Telemetrie, EDR-Tamper-Schutz, unveränderlichen Logs, Inventaren signierter Binaries und Verhaltenserkennungen, die Aktivitätsketten statt einzelner Signaturen betrachten.
● Beispiele
- 01
Einbringen eines verwundbaren signierten Treibers, um einen EDR-Agenten im Kernel-Modus zu deaktivieren.
- 02
Umbenennen einer bösartigen Executable in svchost.exe und Ablage in C:\Windows\.
● Häufige Fragen
Was ist Defense Evasion?
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Defense Evasion?
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
Wie funktioniert Defense Evasion?
Defense Evasion (MITRE-ATT&CK-Taktik TA0005) fasst Techniken zusammen, die Sicherheitskontrollen umgehen, blenden oder täuschen. Sie ist eine der größten Taktiken der Matrix und umfasst obfuskierte und verschlüsselte Payloads, Process Injection, DLL Side-Loading, signed-binary proxy execution (LOLBins), Abschalten oder Deinstallieren von EDR/AV, das Leeren von Ereignisprotokollen, Masquerading als legitimer Prozess, Missbrauch vertrauter Verzeichnisse, Rootkits und BYOVD-Angriffe (Bring Your Own Vulnerable Driver). Defense Evasion zieht sich häufig durch den gesamten Angriff. Verteidiger reagieren mit Kernel-Telemetrie, EDR-Tamper-Schutz, unveränderlichen Logs, Inventaren signierter Binaries und Verhaltenserkennungen, die Aktivitätsketten statt einzelner Signaturen betrachten.
Wie schützt man sich gegen Defense Evasion?
Schutzmaßnahmen gegen Defense Evasion kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Defense Evasion?
Übliche alternative Bezeichnungen: Verteidigungsumgehung, TA0005.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- malware№ 949
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- forensics-ir№ 049
Anti-Forensik
Techniken, mit denen Angreifer oder datenschutzbewusste Akteure digitale forensische Untersuchungen erschweren, verzögern oder vereiteln.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
● Siehe auch
- № 397Execution (MITRE-Taktik)
- № 817Persistence
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332DLL-Injection
- № 862Process Injection
- № 045AMSI-Bypass
- № 055Application Allowlisting (Whitelisting)