Alles, was Sie über „Living off the land“-Angriffe wissen sollten

Die Cyberbedrohungslage entwickelt sich ständig weiter, und während viele Unternehmen sich gegen herkömmliche Malware wappnen, haben Angreifer neue Methoden entwickelt, um Sicherheitsbarrieren zu umgehen. Eine dieser Methoden ist der Living off the Land (LotL)-Angriff, der als eine Form der dateilosen Malware gilt.

Im Gegensatz zu herkömmlicher Malware, die sich durch externe Dateien in ein System einschleust, nutzt LotL bestehende, legitime Tools und Ressourcen eines Systems aus, um es zu kompromittieren. Doch was genau verbirgt sich hinter dieser Angriffsmethode, wahurum ist sie so effektiv und wie können Unternehmen sich davor schützen.

A. Was ist ein Living off the Land-Angriff?

Living off the Land (LotL) beschreibt eine Cyberangriffsmethode, bei der Angreifer legitime und bereits vorhandene Software, Prozesse oder Tools auf einem System nutzen, um bösartige Aktionen auszuführen. Es wird keine externe Malware in das Zielsystem eingeschleust, sondern auf die nativen Funktionen des Betriebssystems oder zugängliche administrative Werkzeuge zugegriffen. Dies macht es schwierig, den Angriff zu erkennen, da die Aktionen wie reguläre administrative Aufgaben erscheinen können.

Ein bekanntes Beispiel dafür ist die Verwendung von PowerShell, einer mächtigen Administrationskonsole unter Windows. Angreifer verwenden oft PowerShell-Skripte, um schädliche Befehle auszuführen, ohne dass dabei verdächtige Dateien auf der Festplatte abgelegt werden. Da PowerShell eine legitime Anwendung ist, kann ihr Missbrauch häufig unbemerkt bleiben.

B. Wie funktioniert ein LotL-Angriff?

Ein LotL-Angriff nutzt verschiedene Systemkomponenten aus, die standardmäßig auf den meisten Computern installiert sind. Zu diesen gehören unter anderem:

• PowerShell: Eine Kommandozeile und Skriptsprache unter Windows, die Angreifern ermöglicht, Befehle auszuführen und Daten zu exfiltrieren.

• Windows Management Instrumentation (WMI): Ein Tool, das es ermöglicht, Verwaltungsaufgaben auf entfernten Systemen durchzuführen. Es kann missbraucht werden, um bösartige Skripte auszuführen.

• Task Scheduler: Angreifer nutzen den Taskplaner, um schädliche Prozesse automatisch zu starten, ohne direkt auf eine externe Malware zurückgreifen zu müssen.

• Macros: Makros in Microsoft Office-Dokumenten werden oft missbraucht, um automatisierte Prozesse durchzuführen, die bösartige Befehle ausführen.

Durch den Einsatz dieser bereits vorhandenen Tools müssen die Angreifer keine neuen Dateien oder ausführbare Programme in das Zielsystem einschleusen. Stattdessen bleiben sie unauffällig und umgehen oft traditionelle Antivirenlösungen.

C. Warum wird LotL immer beliebter?

Die zunehmende Popularität von Living off the Land (LotL)-Angriffen lässt sich auf ihre Effektivität und Raffinesse zurückführen. Angreifer setzen vermehrt auf diese Methode, da sie keine auffälligen Malware-Dateien erfordert und stattdessen auf bereits vorhandene, legitime Systemtools zugreift. Dadurch können herkömmliche Sicherheitssysteme leicht umgangen werden. 

In einer Zeit, in der Cyberabwehrmaßnahmen immer ausgefeilter werden, nutzen Kriminelle LotL-Angriffe, um unbemerkt im Netzwerk zu agieren und dadurch eine höhere Erfolgsquote zu erzielen.

D. Wie können Unternehmen sich schützen?

Obwohl LotL-Angriffe schwer zu erkennen sind, gibt es dennoch Möglichkeiten, das Risiko zu minimieren:

1. Monitoring von Systemaktivitäten: Es ist wichtig, ungewöhnliche Aktivitäten zu überwachen. Unternehmen sollten z. B. die Nutzung von PowerShell und anderen Tools genau überwachen und nach Auffälligkeiten suchen. Eine abnormal hohe Nutzung dieser Tools oder unerwartete Verbindungen zu externen Servern können Warnsignale sein.

2. Application Whitelisting: Durch das Einrichten von Whitelists können Unternehmen festlegen, welche Anwendungen und Prozesse auf ihren Systemen ausgeführt werden dürfen. Dies kann verhindern, dass missbrauchte Systemwerkzeuge bösartige Aktionen ausführen.

3. Beschränkung von Administratorrechten: LotL-Angriffe nutzen oft erweiterte Berechtigungen aus. Unternehmen sollten sicherstellen, dass nur autorisierte Benutzer administrative Rechte haben und diese Rechte nur dann verwendet werden, wenn es notwendig ist.

4. Sicherheitsprotokolle und -richtlinien: Regelmäßige Sicherheitsüberprüfungen und das Implementieren von Protokollen, die ungewöhnliche Aktivitäten melden, helfen dabei, verdächtige Aktivitäten frühzeitig zu erkennen.

5. PowerShell und WMI überwachen und einschränken: Unternehmen sollten PowerShell-Einschränkungen (wie "PowerShell Script Block Logging") einsetzen, um die Aktivität zu protokollieren und verdächtige Befehle zu erkennen. Wo möglich, sollten sie PowerShell für normale Benutzer deaktivieren.

6. Sensibilisierung und Schulung: Mitarbeiter sollten regelmäßig in Bezug auf Phishing und Social Engineering geschult werden, da LotL-Angriffe oft durch manipulierte E-Mails oder Dokumente beginnen, die legitime Makros enthalten.

Living off the Land-Angriffe sind eine raffinierte und immer beliebter werdende Methode für Cyberkriminelle, um in Unternehmensnetzwerke einzudringen. Da sie bestehende, legitime Tools verwenden, sind sie schwer zu erkennen und zu bekämpfen. 

Es ist daher essenziell, dass Unternehmen ihre Sicherheitsstrategien anpassen, um auf diese Bedrohung zu reagieren. Durch den Einsatz von präventiven Maßnahmen wie der Überwachung von Systemaktivitäten, Whitelisting und dem Schutz von Admin-Rechten können Organisationen das Risiko erheblich verringern und ihre Netzwerke besser schützen.

Testen Sie Application Control und fügen Sie eine zusätzliche IT-Sicherheitsebene zu Ihren täglichen Abläufen hinzu und schützen Sie Ihre Daten vor „Living off the Land“-Angriffen. 

LotL-Angriffe sind eine Erinnerung daran, dass Cyberkriminelle immer neue Wege finden, um Sicherheitsmechanismen zu umgehen. Wachsamkeit, Anpassung und fortlaufende Schulung sind entscheidend, um diesen unsichtbaren Bedrohungen entgegenzuwirken.