{"id":33159,"date":"2026-02-11T17:46:36","date_gmt":"2026-02-11T15:46:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33159"},"modified":"2026-02-11T17:46:36","modified_gmt":"2026-02-11T15:46:36","slug":"practical-value-of-cyberthreat-attribution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/","title":{"rendered":"Der praktische Nutzen einer Attribution von Cyberbedrohungen"},"content":{"rendered":"

Cybersicherheitsexperten streiten sich dar\u00fcber: Lohnt es sich wirklich, bei Angriffen auf Unternehmen genau herauszufinden, wer die F\u00e4den hinter der Malware in der Hand h\u00e4lt. Die Untersuchung von Vorf\u00e4llen verl\u00e4uft gew\u00f6hnlich wie folgt ab: Der Analyst findet eine verd\u00e4chtige Datei \u2192 Wenn das Antivirenprogramm die Datei nicht blockiert hat, kommt sie zum Testen in eine Sandbox \u2192 Dort wird eine b\u00f6sartige Aktivit\u00e4t best\u00e4tigt \u2192 Der Hash wird zur Sperrliste hinzugef\u00fcgt \u2192 Der Analyst macht eine Kaffeepause. Nach diesem Schema gehen viele Cybersicherheitsexperten vor\u00a0\u2013 insbesondere, wenn sie von Warnungen \u00fcberh\u00e4uft werden oder ihre forensischen F\u00e4higkeiten nicht ausreichen, um einen komplexen Angriff bis ins letzte Detail aufzukl\u00e4ren. Bei einem gezielten Angriff kann dieses Vorgehen jedoch in einer Katastrophe enden. Und zwar aus folgendem Grund:<\/p>\n

Wenn es ein Angreifer ernst meint, bleibt es selten bei einem einzigen Angriffsvektor. Es ist nicht unwahrscheinlich, dass die b\u00f6sartige Datei, die du gefunden hast, bereits an einem mehrstufigen Angriff beteiligt war und f\u00fcr den Angreifer inzwischen so gut wie nutzlos ist. M\u00f6glicherweise ist der B\u00f6sewicht bereits tief in die Infrastruktur des Unternehmens eingedrungen und bedient sich ganz anderer Werkzeuge. Um die Bedrohung wirklich zu beseitigen, muss das Sicherheitsteam die Angriffskette sorgf\u00e4ltig analysieren und auf allen Ebenen neutralisieren.<\/p>\n

Doch wie geht dies schnell und effektiv, bevor die Angreifer echten Schaden anrichten? Eine M\u00f6glichkeit besteht darin, den Kontext ganz genau zu untersuchen. Durch die Analyse einer Datei kann ein Experte den Angreifer genau identifizieren, die eingesetzten Tools und Taktiken herausfinden und die Infrastruktur anschlie\u00dfend auf entsprechende Bedrohungen durchsuchen. Es gibt viele Tools zur Bedrohungsanalyse. Ein gutes Beispiel ist unser Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n

Ein praktisches Beispiel f\u00fcr die Bedeutung der Attribution<\/h2>\n

Angenommen, wir haben eine Malware-Datei gefunden, laden sie auf ein Threat Intelligence-Portal hoch und stellen fest, dass sie h\u00e4ufig von der Gruppe MysterySnail<\/em> eingesetzt wird. Was kann uns das sagen? Diese Informationen sind verf\u00fcgbar:<\/p>\n

\"Informationen<\/a><\/p>\n

Diese Angreifer haben es auf staatliche Einrichtungen in Russland und in der Mongolei abgesehen. Es ist eine chinesischsprachige Gruppe, die auf Spionage spezialisiert ist. Laut Beschreibung nisten sich die Angreifer in der Infrastruktur ein und verhalten sich unauff\u00e4llig, bis sie etwas Interessantes entdecken. Au\u00dferdem nutzen sie normalerweise die Schwachstelle CVE-2021-40449<\/em> aus. Was ist das f\u00fcr eine Schwachstelle?<\/p>\n

\"Details<\/a><\/p>\n

Sie dient zur Ausweitung von Berechtigungen und wird eingesetzt, nachdem Hacker bereits in die Infrastruktur eingedrungen sind. Diese Schwachstelle ist sehr riskant und wird sehr h\u00e4ufig ausgenutzt. Welche Software ist von dieser Schwachstelle betroffen?<\/p>\n

\"Anf\u00e4llige<\/a><\/p>\n

Ganz klar: Microsoft Windows. Zwischenergebnis: Es muss \u00fcberpr\u00fcft werden, ob der Patch, der diese L\u00fccke schlie\u00dft, installiert ist. Was wissen wir au\u00dfer dieser Schwachstelle noch \u00fcber die Hacker? Wie sich herausstellt, haben sie eine spezielle Methode, um die Netzwerkkonfiguration zu studieren: Sie verbinden sich mit der \u00f6ffentlichen Website 2ip.ru:<\/p>\n

\"Technische<\/a><\/p>\n

Es ist also sinnvoll, eine Korrelationsregel zum SIEM hinzuzuf\u00fcgen, damit solches Verhalten erkannt wird.<\/p>\n

Dann informieren wir uns genauer \u00fcber diese Gruppe und erstellen zus\u00e4tzliche Kompromittierungsindikatoren (IoCs) f\u00fcr die SIEM-\u00dcberwachung sowie gebrauchsfertige YARA-Regeln (strukturierte Textbeschreibungen zur Malware-Identifizierung). Dadurch k\u00f6nnen wir alle Fangarme des Unget\u00fcms aufsp\u00fcren, die bereits in die Unternehmensinfrastruktur hineinreichen. Und k\u00fcnftige Angriffe k\u00f6nnen zuverl\u00e4ssig abgewehrt werden.<\/p>\n

\"Zus\u00e4tzliche<\/a><\/p>\n

Kaspersky Threat Intelligence Portal stellt eine Vielzahl zus\u00e4tzlicher Berichte \u00fcber MysterySnail-Bedrohungen bereit, und f\u00fcr jeden Bericht gibt es eine Liste mit IoCs und YARA-Regeln. Anhand dieser YARA-Regeln k\u00f6nnen alle Endpunkte gescannt werden. Die IoCs k\u00f6nnen zum SIEM hinzugef\u00fcgt werden, um eine permanente \u00dcberwachung zu gew\u00e4hrleisten. Aus den Berichten k\u00f6nnen wir auch entnehmen, wie diese Angreifer Daten exfiltrieren und nach welchen Datenarten sie normalerweise suchen. Daraus ergeben sich praktische Schritte zur Abwehr des Angriffs.<\/p>\n

Pech gehabt, MysterySnail! Die Infrastruktur ist jetzt darauf eingerichtet, dich zu finden und sofort zu reagieren. Schluss mit Spionieren!<\/p>\n

<\/a>Methoden zur Malware-Attribution<\/h2>\n

Bevor wir \u00fcber konkrete Methoden sprechen, wollen wir klarstellen: Damit die Attribution tats\u00e4chlich funktioniert, ben\u00f6tigt die eingesetzte Threat Intelligence eine umfangreiche Wissensbasis zu den Taktiken, Techniken und Prozeduren (TTPs), die von Angreifern genutzt werden. Umfang und Qualit\u00e4t dieser Datenbanken k\u00f6nnen von Anbieter zu Anbieter stark variieren. Vor der Entwicklung unseres Tools haben wir beispielsweise jahrelang die Kampagnen bekannter Gruppen verfolgt und die entsprechenden TTPs protokolliert. Diese Datenbank wird nat\u00fcrlich laufend aktualisiert.<\/p>\n

Mit einer gut best\u00fcckten TTP-Datenbank k\u00f6nnen die folgenden Attributionsmethoden implementiert werden:<\/p>\n

    \n
  1. Dynamische Attribution: TTPs werden durch dynamische Analyse bestimmter Dateien identifiziert. Anschlie\u00dfend wird diese Auswahl mit den TTPs bekannter Hackergruppen abgeglichen.<\/li>\n
  2. Technische Attribution: In bestimmten Dateien und Codefragmenten, die von bekannten Hackergruppen in ihrer Malware genutzt werden, wird nach \u00dcbereinstimmungen gesucht.<\/li>\n<\/ol>\n

    Dynamische Attribution<\/h3>\n

    Die Identifizierung von TTPs durch eine dynamische Analyse l\u00e4sst sich relativ einfach implementieren und ist schon lange Standard in allen modernen Sandboxen. Nat\u00fcrlich nutzen auch alle unsere Sandboxen die dynamische Analyse und identifizieren dabei die TTPs eines Malware-Musters:<\/p>\n

    \"TTPs<\/a><\/p>\n

    Der Kern dieser Methode ist die Kategorisierung von Malware-Aktivit\u00e4t anhand des MITRE ATT&CK-Frameworks. Ein Sandbox-Bericht enth\u00e4lt normalerweise eine Liste der erkannten TTPs. Diese Daten sind zwar sehr n\u00fctzlich, reichen jedoch nicht aus, um den Angriff zuverl\u00e4ssig einer bestimmten Gruppe zuzuordnen. Der Versuch, auf diese Weise die Initiatoren eines Angriffs zu finden, \u00e4hnelt dem altindischen Gleichnis von den Blinden und dem Elefanten<\/a>: Menschen mit verbundenen Augen ber\u00fchren verschiedene K\u00f6rperteile eines Elefanten und versuchen herauszufinden, womit sie es zu tun haben. Wer den R\u00fcssel anfasst, h\u00e4lt den Elefanten f\u00fcr eine Python. Wer ihn an der Seite ber\u00fchrt, ist sich sicher, es handelt sich um eine Wand, und so weiter.<\/p>\n

    \"Die<\/a><\/p>\n

    Technische Attribution<\/h3>\n

    Die zweite Attributionsmethode beruht auf statischer Codeanalyse (die Attribution immer gewissen Probleme birgt). Der Grundidee besteht darin, selbst Malware-Dateien mit nur geringf\u00fcgiger \u00dcberlappung aufgrund bestimmter einzigartiger Merkmale in Gruppen zusammenzufassen. Vor Beginn der Analyse muss das Malware-Muster zerlegt werden. Problem: Der wiederhergestellte Code enth\u00e4lt neben den informativen und brauchbaren Teilen auch viel Rauschen. Wenn der Attributionsalgorithmus auch diesen nicht informativen \u201eM\u00fcll\u201c ber\u00fccksichtigt, sieht jedes Malware-Muster am Ende wie eine gro\u00dfe Anzahl legitimer Dateien aus. Dann ist eine brauchbare Zuordnung unm\u00f6glich. Andererseits f\u00fchrt der Versuch, den Code nur anhand n\u00fctzlicher Fragmente, aber auf mathematisch primitive Weise zuzuordnen, ebenfalls zu einer \u00fcberm\u00e4\u00dfig hohen Anzahl von falsch positiven Zuordnungsergebnissen. Dar\u00fcber hinaus muss jedes Attributionsergebnis auf \u00c4hnlichkeiten mit legitimen Dateien \u00fcberpr\u00fcft werden. Dabei h\u00e4ngt die Qualit\u00e4t dieser \u00dcberpr\u00fcfung stark von den technischen M\u00f6glichkeiten des Herstellers ab.<\/p>\n

    <\/a>Attribution bei Kaspersky<\/h3>\n

    Unsere Produkte nutzen eine einzigartige Datenbank f\u00fcr Malware, die bestimmten Hackergruppen zugeordnet ist. Diese Datenbank wurde \u00fcber mehr als 25 Jahre hinweg aufgebaut. Dar\u00fcber hinaus verwenden wir einen patentierten Attributionsalgorithmus<\/a>, der auf der statischen Analyse von zerlegtem Code basiert. Dadurch k\u00f6nnen wir mit hoher Genauigkeit und sogar mit einem Wahrscheinlichkeitswert (in Prozent) bestimmen, welche \u00c4hnlichkeit eine analysierte Datei mit bekannten Mustern aus einer bestimmten Gruppe hat. Auf diese Weise k\u00f6nnen wir uns ein fundiertes Urteil bilden und die Malware einem konkreten Angreifer zuordnen. Die Ergebnisse werden dann mit einer Datenbank aus Milliarden legitimer Dateien abgeglichen, um falsch positive Ergebnisse herauszufiltern. Wenn eine \u00dcbereinstimmung gefunden wird, wird das Attributionsverdikt entsprechend angepasst. Dieser Ansatz ist das R\u00fcckgrat der Kaspersky Threat Attribution Engine und darauf basiert auch der Attributionsdienst von Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Warum ist es sinnvoll, Malware bestimmten Hackergruppen zuzuordnen?<\/p>\n","protected":false},"author":2792,"featured_media":33160,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[31,4260,2951],"class_list":{"0":"post-33159","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-angriffe","11":"tag-dienste","12":"tag-threat-intelligence"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/practical-value-of-cyberthreat-attribution\/30133\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/25194\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/practical-value-of-cyberthreat-attribution\/30010\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/practical-value-of-cyberthreat-attribution\/31823\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/practical-value-of-cyberthreat-attribution\/30444\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/practical-value-of-cyberthreat-attribution\/41238\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/practical-value-of-cyberthreat-attribution\/14248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/55217\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/practical-value-of-cyberthreat-attribution\/24713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/practical-value-of-cyberthreat-attribution\/30222\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/practical-value-of-cyberthreat-attribution\/35894\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/practical-value-of-cyberthreat-attribution\/35550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/threat-intelligence\/","name":"Threat Intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33159"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33159\/revisions"}],"predecessor-version":[{"id":33179,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33159\/revisions\/33179"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33160"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}