Angriffe emulieren mit MITRE Caldera
Sicherheit in die Hand nehmen
Veröffentlicht in Ausgabe 10/2025 - PRAXIS
Cybersicherheit ist kein einmaliges Investment sondern ein Dauerbrenner im Budget. Angreifer verbessern kontinuierlich ihre Tools, Techniken und Verfahren. Also müssen auch die Verteidiger ihre Erkennungs- und Reaktionsstrategien sowie Sicherheitskontrollen kontinuierlich anpassen. Wenn Sie manuelle Angriffsanalyse und -emulationen durchführen, stellen Sie fest, wie teuer, zeitaufwändig und schwer zu wiederholen diese Arbeit ist.
In unseren Security-Tipps haben wir immer wieder Werkzeuge und Wissensdatenbanken der US-Forschungseinrichtung MITRE behandelt. Mit Caldera [1] verspricht die Organisation ein Tool, mit dem Sie das Verhalten von Angreifern automatisiert nachstellen können. So lassen sich komplexe Angriffsketten simulieren, ohne dass ein Red-Team bei Ihnen vorhanden sein muss. Dabei führen Sie dasselbe Playbook eines Angriffsmusters immer wieder aus, um Ihre Abwehrmaßnahmen in Echtzeit anzupassen und deren Wirksamkeit zu validieren.
ATT&CK-Framework als Grundlage
Caldera steht als kostenlose Open-Source-Plattform bereit und ermöglicht Angreifer-Emulationsübungen basierend auf dem MITRE ATT&CK-Framework [2]. Die Basis der Plattform besteht aus einem Plug-in-basierten Framework, in dem modulare Angriffsschritte, sogenannte "Abilities" (Fähigkeiten), zu Sequenzen gruppiert sind: den "Adversaries" (Angreifer). Diese werden dann durch Agenten auf den Zielrechnern ausgeführt. Die Agenten arbeiten plattformübergreifend und können auf Windows, Linux und macOS zum Einsatz kommen.
Cybersicherheit ist kein einmaliges Investment sondern ein Dauerbrenner im Budget. Angreifer verbessern kontinuierlich ihre Tools, Techniken und Verfahren. Also müssen auch die Verteidiger ihre Erkennungs- und Reaktionsstrategien sowie Sicherheitskontrollen kontinuierlich anpassen. Wenn Sie manuelle Angriffsanalyse und -emulationen durchführen, stellen Sie fest, wie teuer, zeitaufwändig und schwer zu wiederholen diese Arbeit ist.
In unseren Security-Tipps haben wir immer wieder Werkzeuge und Wissensdatenbanken der US-Forschungseinrichtung MITRE behandelt. Mit Caldera [1] verspricht die Organisation ein Tool, mit dem Sie das Verhalten von Angreifern automatisiert nachstellen können. So lassen sich komplexe Angriffsketten simulieren, ohne dass ein Red-Team bei Ihnen vorhanden sein muss. Dabei führen Sie dasselbe Playbook eines Angriffsmusters immer wieder aus, um Ihre Abwehrmaßnahmen in Echtzeit anzupassen und deren Wirksamkeit zu validieren.
ATT&CK-Framework als Grundlage
Caldera steht als kostenlose Open-Source-Plattform bereit und ermöglicht Angreifer-Emulationsübungen basierend auf dem MITRE ATT&CK-Framework [2]. Die Basis der Plattform besteht aus einem Plug-in-basierten Framework, in dem modulare Angriffsschritte, sogenannte "Abilities" (Fähigkeiten), zu Sequenzen gruppiert sind: den "Adversaries" (Angreifer). Diese werden dann durch Agenten auf den Zielrechnern ausgeführt. Die Agenten arbeiten plattformübergreifend und können auf Windows, Linux und macOS zum Einsatz kommen.
Anstatt wie andere Tools gezielt auf Exploits oder Schwachstellen zu gehen, zielt Caldera auf das Verhalten eines Angreifers selbst ab. Sie simulieren damit Techniken, die Angreifer nach einer Kompromittierung anwenden, wie etwa die Erweiterung von Rechten, Lateral Movement oder die Ausleitung von Unternehmensdaten. Die Modularität und Automatisierung erlaubt Ihnen, eigene Abilities zu entwickeln und diese an Ihre IT-Infrastruktur anzupassen.
Caldera aufsetzen
Um ein Gefühl zu entwickeln, wie Sie Caldera produktiv einsetzen können, betrachten wir zunächst ein einfaches Szenario. Dafür benötigen wir natürlich erst einmal eine laufende Caldera-Instanz, die wir wie gewohnt mit Docker sehr einfach aufsetzen. Klonen Sie dafür zunächst das aktuelle Git-Repository mit dem folgenden Kommando:
git clone https://github.com/mitre/ caldera.git --recursive
Anschließend wechseln Sie in das Caldera-Verzeichnis und erstellen mit dem folgenden Kommando das Docker-Image für die spätere Nutzung. Das dauert etwas, da alle Abhängigkeiten und die mitgelieferten Plug-ins für Caldera direkt mit geladen beziehungsweise erzeugt werden:
docker build . -t caldera:server
Wenn der Build erfolgreich war, was Sie an der Ausgabe "Successfully tagged caldera:server" erkennen, starten Sie die Plattform mit
docker run -p 7010:7010 -p 7011:7011/udp -p 7012:7012 -p 8888:8888 caldera:server
Sobald nach dem Startlauf der Name "Caldera" in ASCII-Art in der Konsole erscheint, rufen Sie mit Ihrem Browser die URL "http://localhost:8888" auf, um zum Login zu gelangen. Die unterschiedlichen Zugangsdaten für das Red- und das Blue-Team finden Sie ohne weitere Konfiguration in der Konsole des Docker-Containers.
Ein Copy-and-Paste der Passwörter ist aufgrund der etwas eigenartigen Breite der Logausgabe nicht ohne Weiteres möglich, Sie müssen hier beide Teile des Passworts separat kopieren. Beachten Sie den Hinweis nach den Zugangsdaten: Bis Sie eine eigene Konfiguration in der Datei "conf/local.yml" anlegen und verwenden, werden diese Zugangsdaten bei jedem Start neu generiert.
Angriffe emulieren
Versetzen Sie sich nun in die Lage des Mitglieds eines Blue-Teams. Sie betreiben ein SIEM oder EDR in Ihrem Unternehmen und möchten testen, ob ein im ersten Schritt erfolgreicher Angreifer mit seinen weiteren Aktivitäten, etwa dem Lateral Movement oder dem Ausleiten von Daten, von Ihren Monitoringsystemen erkannt wird.
Um diese Situation sinnvoll nachzustellen, kommen nun die erwähnten Caldera-Agenten zum Einsatz. Für das beschriebene Szenario erstellen Sie unter "Agents" einen Sandcat-Agenten. Dieser simuliert das Remote-Access-Tool (RAT) des Angreifers, das bereits auf einem Ihrer Server installiert ist. Nach dem Klick auf "+ Deploy an agent" wählen Sie "Sandcat" aus und anschließend das Betriebssystem der bereits übernommenen Maschine.
In unserem Beispiel setzen wir dafür einfach eine Linux-VM in unserem Cluster auf, mit einem Klick auf den Pinguin öffnet sich die Dokumentation der unterschiedlichen Wege einer Installation. Die Kommunikation erfolgt vom Agenten über HTTP auf den offenen Port 8888 des Frameworks und darf natürlich in der Firewall nicht gefiltert werden. Am einfachsten lässt sich der Agent mit dem ersten Kommando aus der Dokumentation starten, dafür können Sie die folgenden Kommandos ausführen (ersetzen Sie die IP-Adresse mit der des Caldera-Servers in Ihrem Aufbau entsprechend):
server="http://127.0.0.1:8888"
curl -s -X POST -H "file:sandcat.go" -H "platform:linux" $server/file/download > splunkd
chmod +x splunkd
./splunkd -server $server -group red -v
Natürlich steckt in diesem Binary kein echter Splunk-Daemon. Der Agent versteckt sich nur entsprechend Ihrer Vorgaben. Sobald die Testumgebung bereit ist, können Sie vordefinierte Funktionen für den ersten Test auswählen. Diese repräsentieren einzelne Aktionen eines Angreifers und umfassen Befehle von realem Angriffsverhalten, wie etwa das Suchen von Dateien, das Erstellen von Verzeichnissen oder das Ausleiten von Daten. Sie werden feststellen, dass jede "Ability" Informationen zu einer relevanten MITRE-ATT&CK-Technik beinhaltet, sodass Sie direkt erkennen, welches Verhalten emuliert wird.
Wählen Sie für unser Beispiel unter "operations" den Button "+ New Operation" oben auf der Seite. Vergeben Sie einen Namen, wählen Sie bei Adversary beispielsweise "Worm" aus und klicken Sie dann auf "Start". Ihr zuvor erstellter Agent liegt nun im Zentrum der grafischen SVG-Darstellung, von dort werden jetzt unterschiedliche Wurmtechniken gegen Ihr Netzwerk ausgebracht. Nach Abschluss der Operation liefert Caldera ein detailliertes Protokoll der einzelnen Ausführungen. Sie können Protokolle und gesammelte Dateien einsehen oder auf dem Button oben rechts exportieren, etwa im JSON-Format.
SIEM testen
Nach dem Durchlauf kommt jetzt natürlich die alles entscheidende Frage: Hat Ihr Monitoring die Spuren der emulierten Angriffe entdeckt und Sie entsprechend gewarnt? Falls nicht, haben Sie nun vielleicht gute Hinweise, die auf den MITRE-Erkenntnissen basieren, um Ihre Erkennungslogik anzupassen. Sie können dieselbe Operation beliebig oft wiederholen und so überprüfen, ob Ihre neuen Regeln später wie vorgesehen funktionieren. Mit diesem iterativen Prozess optimieren Sie mit Caldera Ihr SIEM sukzessive.
Neben unserem einfachen Beispielszenario bietet Caldera natürlich viel mehr Möglichkeiten für die Durchführung von Angriffen oder Tests. Red-Teams untersuchen und entwickeln beispielsweise neue Angriffsketten, während Blue-Teams das Tool durchaus für Post-Mortem-Analysen simulierter Vorfälle verwenden.
Fazit
Mit Caldera bietet MITRE eine erprobte und gut ausgestattete, offene Plattform zur Angriffsemulation. Der Security-Tipp hat Ihnen die Benutzung anhand eines kleinen Beispiels zur Optimierung Ihres Monitoring demonstriert. Caldera bietet darüber hinaus viele weitere Möglichkeiten, Ihre Arbeit in Red- und Blue-Teams und auch einfach generell in der IT zu erleichtern.
Caldera ist zwar schon recht ausgereift, aber natürlich keine Wunderlösung. Es ersetzt nicht das gesamte Spektrum an Red-Teaming-Maßnahmen, insbesondere nicht solche, die sich etwa auf Social Engineering oder Zero-Day-Schwachstellen konzentrieren. Nebenbei erhalten Benutzer ein grundlegendes Verständnis der Angriffstaktiken und des MITRE-ATT&CK-Frameworks.
(dr)