Defense Evasion (Umgehung von Abwehrmaßnahmen)

Defense Evasion ist die Gesamtheit der Techniken, mit denen Angreifer einer Entdeckung entgehen: Code verschleiern oder kodieren, Sicherheitswerkzeuge deaktivieren oder manipulieren und Schadcode in legitimen Prozessen verstecken. Im MITRE ATT&CK-Framework ist es die Taktik TA0005, und sie ist besonders, weil sie kein einzelnes Ziel wie den Datendiebstahl beschreibt. Stattdessen umhüllt sie fast alles andere, was ein Angreifer tut, und macht aus einer lauten Aktion eine leise.

Warum Defense Evasion wichtig ist

Jede andere Taktik, vom Diebstahl von Zugangsdaten bis zur lateralen Bewegung, wird weitaus gefährlicher, wenn sie unbemerkt bleibt. Ein Angreifer, der handeln kann, ohne einen Alarm auszulösen, gewinnt die wichtigste Ressource überhaupt: Zeit. Deshalb wird Evasion weniger als optionaler Schritt behandelt, sondern als Grundvoraussetzung ernsthafter Angriffe.

Das Ausmaß ist bemerkenswert. In Anthropics Analyse realer Angriffe war Defense Evasion die meistgenutzte Taktik, vorhanden bei 84,4 % der Akteure, wie du in unserer Aufschlüsselung dazu nachlesen kannst, wie Hacker KI nutzen. Wenn mehr als vier von fünf Angreifern dem Verborgenbleiben Vorrang geben, wird die Erkennung zum zentralen Problem moderner Verteidigung.

Häufige Techniken der Defense Evasion

Defense Evasion umfasst Dutzende einzelner Methoden, aber die meisten lassen sich auf wenige erkennbare Familien zurückführen.

Diese Techniken sind gerade deshalb wirksam, weil sie die Annahmen angreifen, auf die sich Verteidiger verlassen. Signaturbasierte Scanner gehen davon aus, dass Schadcode erkennbar ist, und Obfuskation bricht diese Annahme. Die Überwachung geht davon aus, dass Protokolle vollständig sind, und das Löschen der Protokolle bricht die andere.

Schadcode

→verschleiern

Kodierter oder gepackter Code

→injizieren

Vertrauenswürdiger Prozess

→blenden

Protokolle und Alarme geblendet

Evasion erkennen und kontern

Weil Evasion genau die Werkzeuge angreift, die auf Angriffe achten, stoppt kein einzelnes Produkt sie. Die defensive Antwort ist das Arbeiten in Schichten. Moderne Endpoint-Detection-and-Response-Plattformen konzentrieren sich auf Verhalten statt auf Signaturen und melden verdächtige Injektionen, das Manipulieren von Sicherheitsdiensten und auffällige Befehlszeilen, die Obfuskation nicht leicht verbergen kann.

Über die automatische Erkennung hinaus geht das menschlich geführte Threat Hunting davon aus, dass ein evasiver Akteur bereits drin sein könnte, und sucht aktiv nach den Spuren, die er hinterlässt: gelöschte Protokolle, deaktivierte Abwehrmaßnahmen oder ein Prozess, der dort startet, wo er nicht sollte. Die Lehre aus einer Prävalenz von 84,4 % ist einfach. Verteidiger dürfen nicht annehmen, dass Stille Sicherheit bedeutet, denn die fähigsten Angreifer richten ihren ersten Aufwand darauf, dafür zu sorgen, dass du nichts hörst.