Living off Trusted Sites: Cyber-Angreifer missbrauchen legale Services

12. Februar, 2024

“Versteck dich im hellen Licht” ist eine bekannte Strategie aus der umfangreichen Spieltheorie:  Sie beschreibt den Ansatz, etwas möglichst öffentlich und zugänglich unter vielen Angeboten zu platzieren. Das Ziel wird dadurch erreicht, dass die eigentliche Absicht unauffällig in einer Vielzahl unkritischer Dinge untergeht und so die Verteidiger getäuscht werden. Diese Strategie wird nach Erkenntnissen von Sicherheitsforschern auch im Bereich der Cyberkriminalität immer beliebter. [1]

Das technische Konzept dahinter wird als “Living off Trusted Sites” beschrieben und findet in verschiedenen Formen Anwendung. Das Konzept selbst hat seinen Ursprung in den sogenannten „Living-off-the-Land“-Techniken (LotL), die grundsätzlich darauf abzielen, bereits vorhandene Ressourcen und Standard-Dienste (z.B. Powershell oder Script-Interpreter) für Cyber-Angriffe zu nutzen.

Die Angreifenden profitieren von der Möglichkeit, sich in einer großen Menge legitimen Netzwerkverkehrs zu verstecken und herkömmliche Sicherheitsmaßnahmen leichter zu umgehen.

Living off Trusted Sites-Angriffe nutzen weit verbreitete Cloud-Dienste

Weit verbreitete Dienste wie z.B. Github/GItlab, Google Drive, Microsoft Onedrive o.ä. werden in der Regel bereits lange genutzt und nur selten genauer kontrolliert oder eingeschränkt. Dadurch eigenen sie sich optimal für Living off Trusted Sites-Angriffe.

Die Missbrauchsmethoden sind vielfältig: Von der Übertragung von Nutzdaten bis hin zur Verschleierung von Befehlen und Kontrollen dienen die Plattformen als perfekte Tarnung für Cyberangriffe. [2] Neben diesen Hauptmustern werden sie auch auf andere Weise für infrastrukturbezogene Zwecke ausgenutzt, beispielsweise als Phishing-Host oder zur Umleitung von Datenverkehr.

Das Vertrauen der Unternehmen in die eigentlich legitimen Dienste ermöglicht die perfekte Tarnung für böswillige Aktivitäten – und erschwert die Entdeckung und Rückverfolgung der Angreifer erheblich.

Github und viele andere vertrauenswürdige Dienste im Fokus

Beispiele für Living off Trusted Sites-Angriffe finden sich derzeit aktuell mehrfach über die Code-Entwicklungsplattform Github. Die allgegenwärtige Rolle dieses Dienstes in IT-Umgebungen macht es für Hacker attraktiv, dort ihre gefährliche Schadsoftware zur Verfügung zu stellen und als externe Kommandoschnittstelle zu nutzen.

Gelingt es einem Angreifer, einen möglichen Zugang zu einem Unternehmen herzustellen, können weitere Anweisungen und Befehle einfach nachgeladen werden. [3] Aber nicht nur Github, auch andere Dienste sind in Unternehmen weit verbreitet und lassen sich für fragwürdige Zwecke einsetzen.

Das “Living Off Trusted Sites (LOTS) Project” hat sich zur Aufgabe gemacht, eine Übersicht über betroffene Dienste zu erstellen. Mögliche Szenarien werden mit Beispielen beschrieben und aufgelistet [4]. Sie finden hier also eine gute Zusammenfassung, welche Dienste bereits missbraucht wurden und somit sicherheitsrelevant sein können.

Noch keine konkreten Abwehrmaßnahmen gegen Living off Trusted Sites-Angriffe

Die Sicherheitsforscher von Recorded Future fassen zusammen, dass die Erkennung solcher Aktivitäten eine Mischung aus verschiedenen Strategien erfordert. Da die Angreifer sehr individuell und kreativ vorgehen, gibt es derzeit keine Universallösung gegen diese Angriffe. Die Schaffung eines Bewusstseins für diese Art der Bedrohung ist zunächst der wichtigste Punkt. Einerseits sind die Nutzerinnen und Nutzer in der Pflicht, die empfohlenen Sicherheitsmaßnahmen der Dienste anzuwenden, um nicht unwissentlich Opfer eines solchen Missbrauchs zu werden. Aber auch die Plattformen selbst werden in Zukunft weitere Maßnahmen zum Schutz vor Missbrauch entwickeln müssen.

Fazit: Auch wenn noch keine konkreten Gegenmaßnahmen für die aktuellen Living off Trusted Sites-Angriffe verfügbar sind, kann grundsätzliche Empfehlungen abgegeben werden: Wenn Sie betroffene Plattformen nicht aktiv nutzen, kann es Sinn machen, diese über URL/Webfilter einzuschränken bzw. auch erstmals Zugriffe zu protokollieren, um zukünftige Abweichungen besser zu erkennen.

Informieren Sie die Benutzerinnen und Benutzer über mögliche Risiken und weisen Sie auf die Empfehlungen der Plattformen hin, wie diese im Rahmen der Möglichkeiten abzusichern sind.

Das könnte Sie auch interessieren:

Passkeys als sichere Alternative zu Passwörtern

Infostealer erkennen, verstehen und abwehren

API-Sicherheit: Schutz vor Fremdzugriffen und Manipulation

Quellen:

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Threat Intelligence
SQL Injection

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download