Execution (MITRE-Taktik)
Was ist Execution (MITRE-Taktik)?
Execution (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0002), die Techniken zur Ausführung gegnerischen Codes auf einem lokalen oder entfernten System bündelt.
Execution (MITRE-ATT&CK-Taktik TA0002) beschreibt den Moment, in dem vom Angreifer kontrollierter Code tatsächlich auf einem Opfersystem läuft. Dazu gehören Skriptinterpreter wie PowerShell, JavaScript, Python und Shell, Nutzerausführung schädlicher Anhänge oder Verknüpfungen, Living-off-the-Land mit nativen Binaries wie rundll32 und msbuild, geplante Tasks und Dienst-Erstellung sowie IPC-Mechanismen. Nach dem Initial Access folgt häufig Execution zur Stabilisierung des Footholds, oft kombiniert mit Defense Evasion, um AV und EDR zu umgehen. Verteidiger nutzen Prozess-Telemetrie (Sysmon EID 1, EDR), Command-Line-Auditing, Application Allowlisting, AMSI-Prüfung und Constrained Language Modes, um Ausführung zu erkennen oder zu verhindern.
● Beispiele
- 01
Ein Makro startet PowerShell, das einen Cobalt-Strike-Beacon herunterlädt und ausführt.
- 02
Missbrauch von rundll32.exe, um eine bösartige DLL aus einem beschreibbaren Benutzerverzeichnis zu laden.
● Häufige Fragen
Was ist Execution (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0002), die Techniken zur Ausführung gegnerischen Codes auf einem lokalen oder entfernten System bündelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Execution (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0002), die Techniken zur Ausführung gegnerischen Codes auf einem lokalen oder entfernten System bündelt.
Wie funktioniert Execution (MITRE-Taktik)?
Execution (MITRE-ATT&CK-Taktik TA0002) beschreibt den Moment, in dem vom Angreifer kontrollierter Code tatsächlich auf einem Opfersystem läuft. Dazu gehören Skriptinterpreter wie PowerShell, JavaScript, Python und Shell, Nutzerausführung schädlicher Anhänge oder Verknüpfungen, Living-off-the-Land mit nativen Binaries wie rundll32 und msbuild, geplante Tasks und Dienst-Erstellung sowie IPC-Mechanismen. Nach dem Initial Access folgt häufig Execution zur Stabilisierung des Footholds, oft kombiniert mit Defense Evasion, um AV und EDR zu umgehen. Verteidiger nutzen Prozess-Telemetrie (Sysmon EID 1, EDR), Command-Line-Auditing, Application Allowlisting, AMSI-Prüfung und Constrained Language Modes, um Ausführung zu erkennen oder zu verhindern.
Wie schützt man sich gegen Execution (MITRE-Taktik)?
Schutzmaßnahmen gegen Execution (MITRE-Taktik) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Execution (MITRE-Taktik)?
Übliche alternative Bezeichnungen: Execution-Taktik, TA0002.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 535
Initial Access
Die MITRE-ATT&CK-Taktik (TA0001), die Techniken zusammenfasst, mit denen Angreifer erstmals Fuß in einer Zielumgebung fassen.
- defense-ops№ 817
Persistence
MITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.