
STOCKYE STUDIO - stock.adobe.com
Wie man sich vor Living-off-the-Land-Angriffen schützt
Wenn sich Angreifer mit wenig redlichen Absichten aber regulären Tools wie der PowerShell in den IT-Umgebungen der Opfer bewegen, spricht man von Living-off-the-Land-Angriffen.
Angreifer suchen ständig nach neuen Ansätzen und modifizieren ältere Techniken, um Unternehmensnetzwerke anzugreifen, obwohl diese immer besser gegen Cyberkriminalität geschützt sind. Ein typisches Beispiel hierfür sind Living-off-the-Land-Angriffe, ein beliebter Ansatz böswilliger Angreifer, um in IT-Umgebungen einzudringen.
Dabei machen sich die Angreifer Werkzeuge zunutze, die ohnehin auf den Zielsystemen und IT-Umgebungen vorhanden sind. Grund genug, Living-off-the-Land-Attacken und Schutzmaßnahmen einmal näher zu betrachten.
Was sind Living-off-the-Land-Angriffe?
Angriffsmethoden, bei denen man sich Elementen des vorhandenen Systems der Opfer bedient (Living-off-the-Land, LOTL), sind keineswegs neu, sondern existieren seitdem es Computersysteme gibt. LOTL-Angriffe verwenden legitime Tools, vorhandene Software und Betriebssysteme, um sich Zugang zu verschaffen. Anstatt auf etwas auffälligere und direkte Malware-Einsätze zurückzugreifen, verlassen sich Angreifer auf dateilose Malware und vertrauenswürdige Anwendungen, um ihre Opfer anzugreifen. Infolgedessen bleiben diese strategischen Angriffe oft unentdeckt.
LOTL-Angreifer erhalten Netzwerkzugang durch die Verwendung von Exploit-Kits, gestohlenen Anmeldedaten und Schwachstellen. Diese können auf Darknet-Marktplätzen erworben werden, wo sie von anderen Angreifern oder Erstzugriffsvermittlern (IAB, Initial Access Broker) verkauft werden. Angreifer führen auch Social-Engineering- und Phishing-Kampagnen durch, um Benutzer dazu zu bringen, Daten preiszugeben, die es ihnen ermöglichen, sich unbefugten Zugang zur Umgebung zu verschaffen.
Sobald sie sich im Netzwerk befinden, starten Eindringlinge böswillige Angriffe, indem sie native Programme wie Windows Management Instrumentation (WMI), Kommandozeilen-Tools oder PowerShell verwenden, um nicht entdeckt zu werden. Um nicht auf Laufwerken zurückverfolgt zu werden, führen Angreifer schädliche Skripte oder Befehle direkt im Speicher aus. Zu den weiteren LOTL-Techniken gehören die Bereitstellung von Memory-Only-Malware und dateiloser Ransomware, die Sicherheitsvorkehrungen umgehen.
Das Ziel dieser Angriffe besteht darin, Daten zu exfiltrieren, indem vertrauenswürdige Tools dazu gebracht werden, Systembefehle auszuführen. Die Angreifer lauern im Hintergrund, während sie sich der Erkennung und den Sicherheitsmaßnahmen entziehen. Durch die Erhöhung der Berechtigungs- und Zugriffsebenen können LOTL-Angreifer noch mehr Schaden anrichten.
LOTL-Angriffe sind effektiv, weil sie es böswilligen Akteuren ermöglichen, sich unbemerkt seitlich zu bewegen und tiefer in die Infrastruktur eines Systems einzudringen. Im Gegensatz zu herkömmlichen Malware- oder Ransomware-Angriffen werden diese Eindringlinge, da sie native Tools verwenden, von Antivirus- und Antimalware-Tools nicht unmittelbar erkannt.
Wie man LOTL-Angriffe erkennt und verhindert
Da sie auf die vorhandene Umgebung und die bewährten Tools eines Systems abzielen, können LOTL-Angriffe schwer zu erkennen und zu verhindern sein. Es gibt jedoch Maßnahmen, die Unternehmen ergreifen können, um ihre Netzwerke vor diesen Angriffen zu schützen.
- Kontinuierliche Überwachung und Verhaltensanalyse durchführen. LOTL-Angreifer sind schwer zu erkennen, da sie nur vertrauenswürdige Tools verwenden, um nicht entdeckt zu werden. Die kontinuierliche Überwachung und Verhaltensanalyse, wie zum Beispiel Endpoint Detection and Response (EDR), kann bei der Bekämpfung dieser schädlichen Angriffe helfen. EDR-Tools überwachen Endpunkte auf verdächtige Aktivitäten und verwenden Verhaltensanalysen, um Missbrauchsmuster zu identifizieren.
- Detailliertere Ereignisprotokollierung einrichten. Die Zentralisierung und Sammlung von Ereignisprotokollen sind entscheidend für die Erkennung von Angriffen, die sich von der Infrastruktur des Opfers ernähren. Ein zentrales Repository ermöglicht es Sicherheitsteams, andere Maßnahmen zu ergreifen, darunter rückwirkende Suchen und gezielte Bedrohungsjagd, um ungewöhnliche protokollierte Aktivitäten zu erkennen. Die Ereignisprotokollierung bietet auch eine digitale Markierung, die einer Organisation bei der Planung ihrer Strategie zur Reaktion auf Vorfälle helfen kann, während sie sich durch eine Kompromittierung oder einen Angriff navigiert.
- Proaktive Maßnahmen zur Bedrohungsjagd ergreifen. Die schwächsten Angriffspunkte einer Organisation erfordern eine stärkere proaktive Verteidigung, um ihnen entgegenzuwirken. Teams sollten kontinuierlich Bedrohungen jagen, um nach Anzeichen für Kompromisse mit dem System und den Netzwerken zu suchen. Dieser Ansatz bietet Sicherheitsteams nicht nur fortschrittlichere Metriken, mit denen sich subtile abnormale Muster erkennen lassen, sondern ermöglicht es den Teams auch, ihre Verteidigung auf der Grundlage neu auftretender Cyberbedrohungstrends und -Methoden zu optimieren.
- Einsatz strengerer Zugriffs- und Authentifizierungskontrollen. Beschränkung von Benutzerrechten durch strengere Zugriffskontrollen, um laterale Bewegungen und eine Eskalation von Berechtigungen zu verhindern. Implementierung von Zugriffskontrollen, die speziell die Rolle des Benutzers schützen. Dies trägt dazu bei, im Falle eines kompromittierten Kontos einen zusätzlichen Zugriff zu verhindern. Sicherheitskontrollen, die eine zusätzliche Authentifizierung erfordern, wie zum Beispiel Multifaktor-Authentifizierung (MFA), tragen zum Schutz von möglicherweise kompromittierten Konten bei. Die Einführung eines Zero-Trust-Frameworks und des Prinzips der geringsten Privilegien (POLP) trägt ebenfalls dazu bei, unbefugten Zugriff zu verhindern.
- Kontinuierliche Systemaktualisierungen und -patches durchführen. Regelmäßige Systemaktualisierungen und -patches helfen dabei, Schwachstellen zu beheben, die Systeme anfällig für Angriffe machen können, und sind ein wichtiger Baustein bei der Verhinderung von LOTL-Angriffen. Organisationen, die veraltete Technologien verwenden, die nicht regelmäßig aktualisiert werden können, müssen andere Sicherheitsmaßnahmen ergreifen, um sich vor Angriffen zu schützen.
- Netzwerksegmentierung und -überwachung für internen Datenverkehr aktivieren. Die Segmentierung, die es Organisationen unter anderem ermöglicht, Netzwerksegmente mit Bedrohungen zu isolieren, ist besonders nützlich in Organisationen mit Altsystemen, für die möglicherweise keine Updates und Patches verfügbar sind. Mit NDR-Tools (Network Detection and Response) können Teams Netzwerkaktivitäten verfolgen und ungewöhnliche Bewegungen im Netzwerk erkennen.