Was sind LOTL-Angriffe (Living Off the Land)?

September 29, 2023

Living Off The Land (LOTL) ist eine dateilose Malware oder LOLbins-Cyberattacke, bei der der Cyberkriminelle native, legitime Tools im System des Opfers nutzt, um einen Angriff aufrechtzuerhalten und voranzutreiben.

Wie funktionieren LOTL-Angriffe?

Im Gegensatz zu herkömmlichen Malware-Angriffen, bei denen Signaturdateien zur Ausführung des Angriffsplans verwendet werden, sind LOTL-Angriffe dateilos. Das bedeutet, dass Angreifer im Zielsystem keinen Code bzw. keine Skripte installieren müssen. Stattdessen machen sie sich für ihren Angriff Tools zunutze, die bereits in der Umgebung vorhanden sind, wie PowerShell, Windows Management Instrumentation (WMI) oder Mimikatz, das Tool zum Speichern von Kennwörtern.

Der Einsatz nativer Tools erschwert die Erkennung von LOTL-Angriffen erheblich, insbesondere wenn im Unternehmen herkömmliche Sicherheitstools eingesetzt werden, die nach bekannten Malware-Skripten oder Dateien suchen. Aufgrund dieser Lücke im Sicherheits-Toolset können Hacker oft wochen-, monate- oder sogar jahrelang unentdeckt in der Umgebung des Opfers verweilen.

LOTL-Tools

Wenn Angreifer für einen dateilosen Malware-Angriff keinen Code installieren müssen, wie verschaffen sie sich dann Zugang zur Umgebung, um deren native Tools für ihre Zwecke zu modifizieren? Der Zugriff kann auf verschiedene Arten erfolgen, zum Beispiel mithilfe von:

Exploit-Kits

Exploits sind Codeteile, Befehlssequenzen oder Datensammlungen, Exploit-Kits hingegen Sammlungen von Exploits. Mit diesen Tools nutzen Angreifer bekannte Schwachstellen in einem Betriebssystem oder einer installierten Anwendung aus.

Exploits sind ein effizienter Weg, um einen dateilosen Malware-Angriff wie einen LOTL-Angriff zu starten, da sie direkt in den Speicher injiziert werden können, ohne Daten auf einen Datenträger schreiben zu müssen. Angreifer können damit Erstkompromittierungen in großem Stil automatisieren.

Unabhängig davon, ob ein Angriff dateilos ist oder traditionelle Malware verwendet, beginnt ein Exploit immer gleich. In der Regel wird ein Opfer mit einer Phishing-E-Mail oder per Social Engineering geködert. Das Exploit-Kit enthält meist Exploits für verschiedene Schwachstellen sowie eine Verwaltungskonsole, über die der Angreifer das System steuern kann. In einigen Fällen umfasst das Exploit-Kit auch die Möglichkeit, das angegriffene System auf Schwachstellen zu scannen und dann einen spezifischen Exploit im Schnellverfahren zu programmieren.

Gehijackte native Tools oder Dual-Use-Tools

Bei LOTL-Angriffen kapern Angreifer häufig legitime Tools, um ihre Privilegien zu erweitern, auf andere Systeme und Netzwerke zuzugreifen, Daten zu stehlen oder zu verschlüsseln, Malware zu installieren, Backdoor-Zugangspunkte einzurichten oder den Angriffspfad anderweitig zu erweitern. Beispiele für native bzw. Dual-Use-Tools sind:

  • FTP-Clients (File Transfer Protocol) oder Systemfunktionen wie PsExec
  • Forensische Tools wie das Tool Mimikatz, das Kennwörter extrahiert
  • PowerShell, ein Framework zum Starten von Skripten, das umfassende Funktionen für die Verwaltung von Windows-Geräten bietet
  • WMI, eine Schnittstelle für den Zugriff auf verschiedene Windows-Komponenten

Registrierungsresidente Malware

Registrierungsresidente Malware installiert sich selbst in der Windows-Registrierung, um persistent zu bleiben und dabei der Erkennung zu entgehen.

In der Regel werden Windows-Systeme mithilfe eines Dropper-Programms infiziert, das eine schädliche Datei herunterlädt. Diese schädliche Datei bleibt auf dem angegriffenen System aktiv und könnte daher durch Virenschutz-Software erkannt werden. Dateilose Malware kann zwar auch ein Dropper-Programm nutzen, lädt aber keine schädliche Datei herunter. Stattdessen schreibt das Dropper-Programm selbst den schädlichen Code direkt in die Windows-Registrierung.

Der schädliche Code kann so programmiert werden, dass er immer zusammen mit dem Betriebssystem gestartet wird. Dabei gibt es jedoch keine schädliche Datei, die erkannt werden könnte. Der schädliche Code wird in nativen Dateien versteckt, die keiner Virenschutzerkennung unterliegen.

Die älteste Variante dieses Angriffstyps ist Poweliks. Inzwischen sind jedoch viele andere hinzugekommen, z. B. Kovter und GootKit. Malware, die Registrierungsschlüssel ändert, bleibt sehr wahrscheinlich längere Zeit inaktiv und daher unerkannt.

In-Memory-Malware

In-Memory-Malware befindet sich ausschließlich im Speicher. Ein Beispiel für In-Memory-Malware ist der Wurm Duqu, der mit dieser Methode unerkannt bleiben kann. Von Duqu 2.0 gibt es zwei Versionen. Bei der ersten handelt es sich um eine Backdoor, über die sich ein Angreifer Zugang zu einem Unternehmen verschaffen kann. Im weiteren Verlauf kann der Angreifer die erweiterte Version Duqu 2.0 mit zusätzlichen Funktionen wie Reconnaissance, lateralen Bewegungen und Datenexfiltration nutzen. Duqu 2.0 kam erfolgreich bei der Kompromittierung von Unternehmen im Tk-Sektor und von mindestens einem sehr bekannten Anbieter von Sicherheitssoftware zum Einsatz.

Dateilose Ransomware

Angreifer beschränken sich nicht auf eine Angriffsart. Sie nutzen jede Technologie, die sich in irgendeiner Form für ihre Payload eignet. Heute setzen Ransomware-Angreifer dateilose Techniken ein, um schädlichen Code mithilfe nativer Skriptsprachen (z. B. mit Makros) in Dokumente einzubetten oder mithilfe eines Exploits direkt in den Speicher zu schreiben. Anschließend manipuliert die Ransomware native Tools wie PowerShell, um Dateien zu verschlüsseln, ohne auch nur eine einzige Zeile auf einen Datenträger zu schreiben.

Gestohlene Anmeldedaten

Angreifer können dateilose Angriffe mithilfe gestohlener Anmeldedaten beginnen, um als legitimer Benutzer getarnt auf ihr Ziel zuzugreifen. Wenn der Angreifer erst einmal drin ist, kann er native Tools wie WMI oder PowerShell verwenden, um seinen Angriff durchzuführen. Er kann Persistenz erreichen, indem er Code in der Registrierung oder im Kernel versteckt oder Benutzerkonten erstellt, die ihm den Zugriff auf jedes System seiner Wahl erlauben.

Warum sind LOTL-Angriffe (Living Off the Land) so beliebt?

Daten aus dem jüngsten Global Threat Report, der jährlichen Analyse der Bedrohungslandschaft und des Angreiferuniversums von CrowdStrike, zeigen, dass 6 von 10 Entdeckungen (62 %), die von der CrowdStrike® Security Cloud im letzten Quartal 2021 indiziert wurden, keine Malware enthielten. Stattdessen nutzten die Angreifer legitime Anmeldeinformationen und integrierte Tools – ein Markenzeichen von LOTL-Angriffen –, um auf dem Angriffspfad vorwärts zu kommen.

LOTL-Angriffe (Living off The Land) treten immer häufiger auf, da sie in der Regel effektiver sind als herkömmliche Malware-Angriffe. Das liegt daran, dass sie mit herkömmlichen Sicherheitstools viel schwerer zu entdecken sind, was die Erfolgswahrscheinlichkeit erhöht und Angreifern mehr Zeit verschafft, ihre Privilegien zu erweitern, Daten zu stehlen und Backdoors für zukünftige Zugriffe einzurichten.

Weitere Gründe, warum LOTL-Angriffe für Cyberkriminelle so attraktiv sind:

  • Viele gängige LOTL-Angriffsvehikel wie WMI und PowerShell befinden sich in der „Zulassen“-Liste des Opfernetzwerks, was für Angreifer bei der Durchführung bösartiger Aktivitäten eine perfekte Tarnung darstellt. Diese Aktivitäten werden vom Security Operations Center (SOC) des Opfers und anderen Sicherheitsmaßnahmen häufig ignoriert.
  • LOTL-Angriffe verwenden keine Dateien oder Signaturen, was bedeutet, dass Angriffe nicht verglichen oder miteinander in Verbindung gebracht werden können, was die künftige Abwehr erschwert und es Kriminellen ermöglicht, ihre Taktiken beliebig zu wiederholen.
  • Die Nutzung legitimer Tools und das Fehlen von Signaturen machen es schwierig, LOTL-Angriffe zuzuordnen, was den Angriffszyklus weiter anheizt.
  • Lange, ungestörte Verweilzeiten bieten Angreifern die Möglichkeit, komplexe, ausgeklügelte Angriffe vorzubereiten und auszuführen. Wenn dem Opfer das Problem bewusst wird, bleibt oft nur wenig Zeit, um effektiv zu reagieren.

Vorbeugung und Erkennung von LOTL-Angriffen

Die Erkennung von dateiloser Ransomware und LOTL-Angriffen ist mit signaturbasierten Methoden, herkömmlicher Virenschutztechnik, Erlaubnislisten, Sandboxing oder sogar auf Machine Learning basierenden Analysen äußerst schwierig. Wie können sich Unternehmen also vor dieser häufigen und potenziell verheerenden Angriffsart schützen?

Im Folgenden stellen wir Ihnen eine kurze Liste von Sicherheitsmaßnahmen vor, die als integrierter Ansatz dazu beitragen können, LOTL, dateilose Malware, unbekannte Ransomware und ähnliche Angriffsmethoden zu verhindern und zu erkennen:

Angriffsindikatoren (IOAs)

Eine der effektivsten Möglichkeiten, das Risiko von LOTL-Angriffen zu verringern, besteht darin, sich nicht nur auf Kompromittierungsindikatoren (Indicators of Compromise, IOCs) zu verlassen, sondern zusätzlich auch Angriffsindikatoren (IOAs) zu beobachten.

Angriffsindikatoren sind eine proaktive Erkennungsfunktion, die nach Anzeichen für einen laufenden Angriff sucht. IOAs umfassen Anzeichen wie die Ausführung von Code, laterale Bewegungen und Aktionen, die scheinbar auf die Verschleierung der wahren Absicht zielen.

IOAs sind bei der Erkennung von dateilosen Angriffen effektiv, weil sie sich nicht darauf konzentrieren, wie die einzelnen Schritte eingeleitet oder ausgeführt werden. Dabei spielt es auch keine Rolle, ob die Aktion von einer Datei auf dem Festplattenlaufwerk oder einer dateilosen Technik ausgeht. Relevant sind nur die ausgeführte Aktion, ihre Beziehung zu anderen Aktionen, ihre Position innerhalb einer Sequenz von Aktionen und davon abhängige Aktionen. Die Indikatoren verraten die wahren Absichten und Ziele hinter dem Verhalten und den Begleiterscheinungen.

Weil dateilose Angriffe legitime Skriptsprachen wie PowerShell nutzen und nie auf Datenträger selbst geschrieben werden, bleiben sie bei signaturbasierten Methoden, Zulassungslisten und Sandbox-Analysen unerkannt. Selbst Machine Learning-Methoden scheitern bei der Analyse dateiloser Malware. IOAs suchen hingegen nach Sequenzen von Ereignissen, die selbst dateilose Malware ausführen muss, um ihr Ziel zu erreichen.

Und da IOAs Absicht, Kontext und Sequenzen untersuchen, können sie sogar bösartige Aktivitäten erkennen und blockieren, die unter Verwendung eines legitimen Kontos ausgeführt werden, was häufig der Fall ist, wenn ein Angreifer gestohlene Anmeldedaten verwendet oder legitime Programme hijackt.

Erfahren Sie mehr

Um mehr über IOAs und die Unterschiede zu IOCs zu erfahren, lesen Sie bitte unseren entsprechenden Beitrag: Lesen Sie: IOA und IOC

Verwaltete Bedrohungssuche

Die Bedrohungssuche, das sog. Threat Hunting, nach dateiloser Malware ist eine zeitaufwendige und mühsame Arbeit, weil dafür Daten in riesigen Mengen erfasst und normalisiert werden müssen. Dennoch ist sie für die Abwehr dateiloser Angriffe unerlässlich, sodass der pragmatischste Ansatz für die meisten Unternehmen darin besteht, die Bedrohungssuche Experten zu überlassen.

Services für verwaltete Bedrohungssuche sind rund um die Uhr aktiv. Sie suchen proaktiv nach Angriffen, überwachen die Umgebung und erkennen verborgene Aktivitäten, die von standardmäßigen Sicherheitstechnologien nicht erkannt werden.

Threat Hunting ist eine wichtige Disziplin, die immer mehr Unternehmen einsetzen, um schleichende Angriffe zu unterbinden, bevor sie sich zu Mega-Kompromittierungen ausweiten. Beim Managed Threat Hunting beauftragen Sie ein Team von erfahrenen „Bedrohungsjägern“ mit einer einfachen, aber wichtigen Aufgabe: die kontinuierliche Durchsicht Ihrer Unternehmensdaten auf der Suche nach den leisesten Anzeichen der raffiniertesten Angriffe. Managed Threat Hunting-Services sind maßgeschneidert, um diese kritische Lücke für Unternehmen aller Art zu schließen.

Kontoüberwachung

Die Überwachung und Verwaltung von Konten kann unbefugte Aktivitäten aufdecken und verhindern, indem sie einen vollständigen Einblick in die Arbeitsumgebung gewährt. Dadurch lassen sich der Verlust von Daten aufgrund solcher Aktivitäten und die Kompromittierung von Anmeldedaten verhindern. Gleichzeitig können die Eigentümer der Ressourcen kontrollieren, wer Zugriff auf die Daten hat, und anzeigen, ob der Zugriff unberechtigterweise gewährt wird.

Anwendungsinventarisierung

Hiermit werden proaktiv veraltete und ungepatchte Anwendungen und Betriebssysteme identifiziert, sodass Sie alle Anwendungen in Ihrer Umgebung sicher verwalten können. Die Optimierung Ihres Anwendungsinventars mit einer Lösung für IT-Hygiene löst sowohl Sicherheits- als auch Kostenprobleme. Die mithilfe von IT-Hygiene erzielte Transparenz verhindert Exploits im Zusammenhang mit Patches und System-Updates. Außerdem wird dadurch Ihre Softwarekonfiguration optimiert. Echtzeit- und Verlaufsansichten der Anwendungsnutzung identifizieren ungenutzte Software, die entfernt werden kann, wodurch Sie möglicherweise Tausende Euro an unnötigen Lizenzgebühren sparen können.

Asset-Inventarisierung

Mit der Asset-Inventarisierung sehen Sie, welche Rechner in Ihrem Netzwerk laufen, und können Ihre Sicherheitsarchitektur effektiv einsetzen, um sicherzustellen, dass hinter Ihren Netzwerkmauern keine nicht autorisierten Systeme betrieben werden. Sicherheit und IT-Abteilung können so zwischen verwalteten, nicht verwalteten und nicht verwaltbaren Assets in Ihrer Umgebung unterscheiden und geeignete Maßnahmen zur Verbesserung der allgemeinen Sicherheit ergreifen.

Wiederherstellung nach LOTL-Angriffen

Da LOTL-Angreifer (Living off the Land) sich wochen- oder monatelang der Entdeckung entziehen können, kann die Wiederherstellung nach solchen Ereignissen äußerst komplex und zeitintensiv sein. Organisationen, die den Verdacht haben, Opfer eines solchen Angriffs zu sein, sollten einen seriösen Partner für Cybersicherheit damit beauftragen, ihnen bei der Durchführung einer Kompromittierungsbewertung (CA, Compromise Assessment) zu helfen, um festzustellen, ob in die Organisation eingedrungen wurde und, wenn ja, wo sie sich im Verlauf des Angriffs befinden.

Während der Kompromittierungsbewertung wird das Sicherheitsteam aktuelle und historische Ereignisse überprüfen, um Anzeichen für frühere Angriffe zu erkennen, etwa verdächtige Registrierungsschlüssel und verdächtige Ausgabedateien, und um aktive Bedrohungen zu erkennen. Viele raffinierte Angreifer verbringen Monate und Jahre in den Netzwerken ihrer Opfer, ohne entdeckt zu werden. Eine CA-Verlaufsanalyse ist wichtig, um festzustellen, ob dies geschehen ist.

Wenn die Kompromittierungsbewertung ergibt, dass ein Angriff stattgefunden hat oder noch im Gange ist, arbeitet das Sicherheitsteam mit dem Unternehmen zusammen, um den Schaden einzudämmen, die betroffenen Systeme wiederherzustellen und zu reparieren und das Netzwerk für die Zukunft zu härten.

Um künftige Angriffe zu verhindern, muss der Sicherheitspartner eine umfassende Überprüfung der Kundenumgebung durchführen, um sicherzustellen, dass der Angreifer keine Zugangspunkte geschaffen hat, die zu einem späteren Zeitpunkt ausgenutzt werden könnten. Er wird Ihnen wahrscheinlich auch fortschrittliche Tools und Services empfehlen, die die Wahrscheinlichkeit von dateilosen Angriffen in Zukunft verhindern können.

Vermeidung von LOTL- bzw. dateilosen Attacken auf das Unternehmen mithilfe von CrowdStrike

Wie bereits erwähnt, ist es äußerst schwierig, dateilose Techniken zu erkennen, wenn Sie sich auf signaturbasierte Methoden, Sandboxing, Zulassungslisten oder gar ML-Schutzmethoden (Machine Learning) verlassen.

Um vor heimlichen, dateilosen Angriffen zu schützen, kombiniert CrowdStrike mehrere Methoden auf einzigartige Weise zu einem leistungsstarken und integrierten Ansatz, der unübertroffenen Endpunktschutz bietet. Die CrowdStrike Falcon®-Plattform stellt über einen schlanken Agent cloudnativen Endgeräteschutz der nächsten Generation bereit und bietet eine ganze Reihe von ergänzenden Präventions- und Erkennungsfunktionen.

  • Die Anwendungsinventur erkennt alle in Ihrer Umgebung ausgeführten Anwendungen und identifiziert potenzielle Schwachstellen, die gepatcht oder aktualisiert werden müssen, damit sie nicht zum Ziel von Exploit-Kits werden.
  • Das Blockieren von Exploits verhindert die Ausführung von dateilosen Angriffen über Exploits, die ungepatchte Sicherheitslücken ausnutzen.
  • Angriffsindikatoren (IOAs, Indicators of Attack) identifizieren und blockieren bösartige Aktivitäten in den frühen Phasen eines Angriffs, bevor sie vollständig ausgeführt werden und Schaden anrichten können. Diese Funktion schützt auch vor neuen Kategorien von Ransomware, die keine Dateien zur Verschlüsselung der Systeme der Opfer verwenden.
  • Script Control bietet erweiterte Sichtbarkeit und Schutz vor dateilosen, skriptbasierten Angriffen.
  • Advanced Memory Scanning schützt vor dateilosen und Malware-freien Angriffen wie APTs, Ransomware und Dual-Use-Tools wie Cobalt Strike im Speicher.
  • Managed Threat Hunting sucht rund um die Uhr proaktiv nach schädlichen Aktivitäten, die durch dateilose Techniken generiert werden.