Bei Living Off the Land (LOTL) nutzen Cyber-Angreifende bestehende Software und Dienste innerhalb eines Unternehmensnetzwerks für bösartige Zwecke. Der ENISA Threat Landscape Report 2024 zeigt, dass besonders Ransomware-Gruppen verstärkt auf LOTL-Methoden setzen, um ihre Aktivitäten zu tarnen und der frühzeitigen Entdeckung zu entgehen.
Was sind Living Off the Land-Angriffe?
Anstatt externe Malware zu installieren, verwenden Angreifer legitime und unverzichtbare Anwendungen wie PowerShell, Windows Management Instrumentation (WMI) oder Remote Desktop Protocol (RDP). Da diese Tools in der Regel für administrative Aufgaben genutzt werden, sind die Angriffe nur schwer zu erkennen. In der Praxis bedeutet das: Angreifer können sich unbemerkt im Netzwerk bewegen und über eigentlich vertrauenswürdige Werkzeuge Kontrolle erlangen.
LOTL-Techniken sind besonders tückisch, da sie klassische Sicherheitslösungen wie Firewalls oder Antivirensoftware umgehen. Ein*e Angreifer*in kann beispielsweise über PowerShell bösartige Skripte ausführen, Daten extrahieren oder Netzwerkanfragen stellen, ohne sofort bemerkt zu werden. Die verzögerte Erkennung solcher Angriffe erhöht das Risiko schwerwiegender Folgeschäden und hoher Wiederherstellungskosten. Es gibt jedoch Technologien und Maßnahmen, um dem entgegenzuwirken.
Häufige LOTL-Methoden und ihre Erkennungsmerkmale
Achten Sie auf die folgenden Anzeichen, um Living Off the Land-Angriffe frühzeitig zu erkennen:
PowerShell
PowerShell ist ein leistungsstarkes Windows-Tool zur Automatisierung von Aufgaben. Angreifende nutzen es zur Datenexfiltration, Installation von Malware oder zum Nachladen weiterer Tools.
- Ungewöhnlich hohe Anzahl laufender PowerShell-Prozesse.
- PowerShell-Ausführungen zu untypischen Zeiten oder durch nicht autorisierte Benutzer.
- Befehle, die von externen Servern stammen.
Windows Management Instrumentation (WMI)
Angreifende nutzen WMI zur Fernüberwachung, für Befehlsausführungen oder zur Verbreitung von Malware im Netzwerk.
- Häufige WMI-Aufrufe mit Anweisungen an mehrere Endpunkte.
- WMI-Abfragen, die auf sensible Daten oder Netzwerkeinstellungen abzielen.
- WMI-Nutzung durch nicht autorisierte Benutzer oder außerhalb der normalen Geschäftszeiten.
Remote Desktop Protocol (RDP)
RDP ermöglicht Fernzugriff auf Systeme und wird von Angreifenden häufig für die seitliche Bewegung im Netzwerk (Lateral movement) verwendet.
- Ungewöhnliche RDP-Sitzungen, insbesondere von unbekannten IP-Adressen.
- Verbindungen zu Zeiten, in denen das Unternehmen normalerweise nicht arbeitet.
- Anstieg fehlgeschlagener Anmeldeversuche bei RDP.
Task Scheduler
Der Windows Task Scheduler wird oft für geplante Aufgaben verwendet, kann jedoch von Angreifenden genutzt werden, um persistente bösartige Skripte zu starten.
- Neue oder unbekannte geplante Aufgaben, die in Task Scheduler erscheinen.
- Geplante Aufgaben, die aus unbekannten Pfaden oder mit unbekannten Befehlen ausgeführt werden.
- Regelmäßige Wiederholungen von Aufgaben, die Daten exfiltrieren oder andere unübliche Aktivitäten durchführen.
Microsoft Office Makros
Makros in Microsoft Office-Dokumenten können zur Ausführung von Schadcode genutzt werden.
- Aktivierte Makros in unbekannten Dokumenten, besonders per E-Mail.
- Dokumente mit Makros, die externe Dateien nachladen.
- Plötzlicher Anstieg der Makro-Nutzung durch untypische Benutzer.
CertUtil
CertUtil ist ein Windows-Befehl zum Verwalten von Zertifikaten, kann jedoch zur Datenkodierung und Malware-Übertragung missbraucht werden.
- CertUtil zum Dateidownload von externen URLs.
- Kodierte oder dekodierte Dateien über CertUtil.
- Verwendung von CertUtil außerhalb üblicher Prozesse.
Bitsadmin (Background Intelligent Transfer Service)
Bitsadmin ist ein Windows-Tool, das für den Dateitransfer verwendet wird und von Angreifenden genutzt werden kann, um Dateien heimlich zu übertragen.
- Bitsadmin-Prozesse, die Dateien von externen oder unbekannten Quellen herunterladen.
- Regelmäßige Hintergrund-Downloads, die sich nicht auf Software-Updates beziehen.
- Ungewöhnlich hohe Datenübertragung über Bitsadmin-Prozesse.
Netsh (Network Shell)
Netsh wird zur Netzwerkkonfiguration verwendet und kann von Angreifenden zur Manipulation von Firewalls oder zur Aktivierung von Ports missbraucht werden.
- Änderungen an Firewall-Regeln durch Netsh außerhalb der üblichen Netzwerkkonfiguration.
- Aktivierung von Ports, die normalerweise geschlossen sind.
- Netsh-Befehle, die von unbekannten Nutzern oder zu ungewöhnlichen Zeiten ausgeführt werden.
Schnelle Maßnahmen („Quick Wins“) gegen LOTL-Angriffe
Durch gezielte Anpassungen der Sicherheitseinstellungen oft missbrauchter Tools lassen sich viele LOTL-Angriffe frühzeitig erkennen oder verhindern:
- PowerShell Script Block Logging: Diese Funktion zeichnet jede PowerShell-Eingabe auf und ermöglicht das Filtern nach ungewöhnlichen Cmdlets oder Base64-kodierten Inhalten, die häufig zur Skriptverschleierung verwendet werden.
- Alarmregeln für den Task Scheduler: Setzen Sie Alarmregeln für die Erstellung oder Änderung geplanter Aufgaben und überwachen Sie diese auf unbekannte oder ungewöhnlich getimte Aufgaben.
- Geofencing für RDP und andere Fernzugriffstools: Beschränken Sie den Zugriff auf administrative Tools auf bestimmte Länder oder Regionen und verfolgen Sie abweichende Zugriffe.
Langfristige Strategien und Maßnahmen gegen LOTL-Angriffe
Der Schutz vor LOTL-Methoden erfordert eine kontinuierliche Überwachung von Netzwerken und Endpunkten, um Anomalien im User- und Geräteverhalten zu erkennen.
Netzwerkmonitoring und Verhaltensüberwachung
- EDR-Lösungen (Endpoint Detection and Response): EDR-Systeme überwachen Endgeräte kontinuierlich und identifizieren verdächtige Aktivitäten auf Basis von Anomalien und Verhaltensmustern.
- SIEM-Systeme (Security Information and Event Management): SIEM-Systeme sammeln und analysieren sicherheitsrelevante Ereignisdaten aus verschiedenen Quellen für eine umfassende Übersicht. Durch Korrelation von Anomalien und Bedrohungsindikatoren erkennen sie verdächtige Aktivitäten.
- User and Entity Behavior Analytics (UEBA): UEBA-Tools analysieren das normale Verhalten von Usern und Geräten und alarmieren bei Abweichungen. Unübliche Nutzungen administrativer Tools wie PowerShell oder Remote-Sitzungen können so frühzeitig detektiert werden.
- Erkennungsregeln und spezielle Warnmeldungen: Erweitern Sie die Überwachung mit Regeln, die bestimmte Angriffsmuster identifizieren, z. B. die gleichzeitige Verwendung von PowerShell und CertUtil. Achten Sie besonders auf User, die plötzlich auf administrative Tools zugreifen oder ungewöhnliche Anmeldemuster aufweisen.
Netzwerksegmentierung und Zugangsbegrenzung
- Segmentierung interner Ressourcen: Beschränken Sie den Zugriff auf kritische Tools wie RDP, WMI und SMB auf bestimmte Netzwerksegmente und Geräte. Aktivieren Sie Netzwerk-Logging und setzen Sie Alarme bei unbefugtem Zugriff oder Umgehungsversuchen der Segmentierung.
- Isolierte Netzwerkumgebungen für kritische Systeme: Besonders sensible oder kritische Systeme sollten in isolierten Netzwerksegmenten betrieben werden. Dies verhindert, dass Angreifer auf kritische Systeme zugreifen können, selbst wenn sie sich im Netzwerk bewegen.
- Least-Privilege-Prinzip: Gewähren Sie jedem User nur die minimal erforderlichen Zugriffsrechte. Bei einer Kontoübernahme können auch die Angreifer*innen nur auf eingeschränkte Bereiche zugreifen.
- Multi-Faktor-Authentifizierung (MFA): Fügen Sie für alle administrativen und sensiblen Zugänge eine zusätzliche Authentifizierungsebene hinzu. Selbst bei kompromittierten Zugangsdaten wird der unbefugte Zugriff erschwert.
Outbound Traffic Monitoring und Deep Packet Inspection (DPI)
- Überwachung des ausgehenden Netzwerkverkehrs: Durch DPI und Monitoring des Outbound Traffic lassen sich verdächtige Verbindungen zu externen Command-and-Control-Servern (C2) identifizieren.
- Filtern Sie DNS- und HTTP-Verbindungen zu Cloud-Speicherdiensten wie Google Drive und Dropbox sowie zu häufig genutzten APIs wie der Microsoft Graph API. Untersuchen Sie ungewöhnlich hohe Datenübertragungen.
Bedrohungsanalyse und gezielte Täuschung
- Threat Intelligence: Bedrohungsdaten-Feeds liefern Informationen zu aktuellen Angriffsmethoden und Indicators of Compromise (IOCs). Integrieren Sie diese Feeds in EDR- oder SIEM-Systeme, um Warnungen zu erhalten, wenn bekannte Bedrohungsmuster auftauchen.
- Einsatz von Honeypots: Richten Sie Honeypots ein, die sich als kritische Tools oder Anwendungen tarnen. Ein Zugriff auf diese Ködersysteme löst automatisch einen Alarm aus und ermöglicht die Identifizierung potenzieller Angreifer und ihres Ursprungs.
Zero Trust und Awareness
- Zero-Trust-Sicherheitsmodell: Setzen Sie auf eine Zero-Trust-Architektur, bei der Geräte und Benutzer im Netzwerk nicht standardmäßig als vertrauenswürdig eingestuft werden. Durch strikte Authentifizierungs- und Zugriffskontrollen wird unbefugter Zugriff auf interne Tools und Anwendungen verhindert.
- Schulungen: Da LOTL-Angriffe oft auf Social Engineering beruhen, ist es wichtig, Mitarbeiter*innen regelmäßig zu aktuellen Angriffstechniken und Sicherheitsrichtlinien zu schulen.
Das könnte Sie auch interessieren:
Living off Trusted Sites: Angreifer missbrauchen legale Services
Threat Intelligence effektiv in die Cyber-Abwehr integrieren
SQL-Injection: Angriffe durch Schadcode in Website-Anfragen