Persistence
Was ist Persistence?
PersistenceMITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten.
Persistence (MITRE-ATT&CK-Taktik TA0003) umfasst Techniken, mit denen Angreifer ihren Foothold auch nach Reboots, Passwortwechseln oder Bereinigungsversuchen behalten. Typische Umsetzungen sind Autostart-Registry-Schlüssel, geplante Tasks, Windows-Dienste, WMI Event Subscriptions, BITS-Jobs, macOS-Login-Items, Linux-Cron-Jobs, schädliche Browser-Extensions, OAuth-Token und hinterhältige Active-Directory-Konten. Angreifer schichten oft mehrere Mechanismen, falls einer entdeckt wird. Verteidiger erkennen Persistence über Prozess-Erstellungs-Logs, Autoruns-Inventare (Sysinternals Autoruns, EDR), Sigma-Regeln und das Threat Hunting nach anomalen Tasks, Diensten oder LSA-Providern; vollständige Neuinstallation kompromittierter Hosts ist die zuverlässige Beseitigung.
● Beispiele
- 01
Eine Backdoor, installiert als Windows-Dienst mit zufälligem GUID-Namen.
- 02
Eine bösartige OAuth-App mit dauerhaftem Zugriff auf ein Microsoft-365-Postfach.
● Häufige Fragen
Was ist Persistence?
MITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Persistence?
MITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten.
Wie funktioniert Persistence?
Persistence (MITRE-ATT&CK-Taktik TA0003) umfasst Techniken, mit denen Angreifer ihren Foothold auch nach Reboots, Passwortwechseln oder Bereinigungsversuchen behalten. Typische Umsetzungen sind Autostart-Registry-Schlüssel, geplante Tasks, Windows-Dienste, WMI Event Subscriptions, BITS-Jobs, macOS-Login-Items, Linux-Cron-Jobs, schädliche Browser-Extensions, OAuth-Token und hinterhältige Active-Directory-Konten. Angreifer schichten oft mehrere Mechanismen, falls einer entdeckt wird. Verteidiger erkennen Persistence über Prozess-Erstellungs-Logs, Autoruns-Inventare (Sysinternals Autoruns, EDR), Sigma-Regeln und das Threat Hunting nach anomalen Tasks, Diensten oder LSA-Providern; vollständige Neuinstallation kompromittierter Hosts ist die zuverlässige Beseitigung.
Wie schützt man sich gegen Persistence?
Schutzmaßnahmen gegen Persistence kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Persistence?
Übliche alternative Bezeichnungen: Persistente Zugriffe, TA0003.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- malware№ 080
Hintertür
Verdeckter Mechanismus, der normale Authentifizierung oder Zugriffskontrollen umgeht, um einem Angreifer künftigen Zugang zu ermöglichen.
- defense-ops№ 397
Execution (MITRE-Taktik)
MITRE-ATT&CK-Taktik (TA0002), die Techniken zur Ausführung gegnerischen Codes auf einem lokalen oder entfernten System bündelt.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
● Siehe auch
- № 535Initial Access
- № 447Golden Ticket