Anatomie eines Angriffs auf das Leben an Land (LotL)

Was ist ein LOTL-Angriff?

Living off the Land (LOTL)-Angriffe sind eine heimliche Cyberangriffsstrategie, bei der Angreifer legitime Tools und Prozesse, die bereits in Ihrer Umgebung vorhanden sind, für bösartige Aktivitäten nutzen. Anstatt sich auf herkömmliche malware oder verdächtige Dateien zu verlassen, verwenden die Angreifer vertrauenswürdige native Binärdateien, Skripte oder Verwaltungstools - also solche, die Teil Ihres Betriebssystems oder Ihrer Softwareumgebung sind -, wodurch der Angriff schwerer zu erkennen ist.

Wer verwendet LOTL-Angriffe?

LOTL-Angriffe werden häufig von ransomware Gruppen wie Black Basta eingesetzt, und zwar aus einem Grund: Sie sind schwer zu erkennen. Da die Angreifer vorhandene Tools verwenden, werden die Aktionen von endpoint detection and response (EDR) und anderen Präventions-Tools nicht erkannt. Es gibt keinen bösartigen Code und keine malware, so dass es für den Angreifer einfach ist, sich zu tarnen - und für Sie schwierig, ungewöhnliche Muster zu erkennen. Die Verwendung alltäglicher Tools bedeutet, dass LotL-Angriffe oft wie normale Benutzeraktivitäten aussehen.

Wie funktionieren die LOTL-Angriffe?

LOTL-Angriffe lassen sich gut verstecken und können sich über lange Zeiträume durch Rechenzentren, cloud und Identitätsoberflächen bewegen. Ein typischer LOTL-Angriff sieht in etwa so aus:

1. Zugang erlangen: Angreifer verschaffen sich zunächst Zugang durch phishingAusnutzung von Schwachstellen oder auf andere Weise.

2. Integrierte Tools verwenden: Nach dem Eindringen verwendet der Angreifer legitime Systemtools wie PowerShell, Windows Management Instrumentation (WMI) oder Unix/Linux-Shell-Befehle. Diese Tools sind vertrauenswürdig und werden in der Regel nicht von Sicherheitsmaßnahmen erfasst.

3. Ausführen von bösartigen Befehlen: Der Angreifer nutzt dann die Zielsysteme, um bösartige Befehle auszuführen. PowerShell kann beispielsweise dazu verwendet werden, bösartige Skripte direkt aus dem Speicher herunterzuladen und auszuführen, wodurch festplattenbasierte Erkennungsmechanismen umgangen werden.

4. Seitlich bewegen: Unentdeckt nutzt der Angreifer LOTL-Techniken, um sich seitlich in Ihrem Netzwerk zu bewegen, auf sensible Daten zuzugreifen und diese entweder zu exfiltrieren oder die Umgebung für zerstörerische Angriffe wie ransomware vorzubereiten.

Beispiele für gängige LotL-Tools sind:

• PowerShell: Diese leistungsstarke Skriptsprache und das Shell-Framework in Windows können ausgenutzt werden, um Skripts für verschiedene Angriffsstufen auszuführen.
• Windows Management Instrumentation (WMI): Diese Infrastruktur wird häufig für die Remote-Verwaltung verwendet und kann für laterale Bewegungen oder die Ausführung von Befehlen aus der Ferne genutzt werden.
• PsExec: Dieses legitime Befehlszeilentool, das zum Ausführen von Prozessen auf anderen Systemen verwendet wird, wird häufig von LOTL-Angreifern für laterale Bewegungen genutzt.
• MSHTA: Ein Windows-Tool, das HTML-Anwendungsdateien (HTA) ausführt. Es kann zur Ausführung bösartiger Skripte missbraucht werden.
• CertUtil: Ein Windows-Befehlszeilentool zur Verwaltung von Zertifikaten, das zum Herunterladen von Dateien missbraucht werden kann.

Wie man LOTL-Angriffe abwehrt

LOTL-Angriffe werden von herkömmlichen Präventions-Tools nicht erkannt - Ihr Sicherheitsteam benötigt eine fortschrittliche threat hunting Strategie, um heimliche Angriffe aufzudecken, die sich in den Lärm der täglichen Aktivitäten mischen.

Vectra AI nutzt Verhaltensanalysen, um alltägliche Alarme von echten Sicherheitsereignissen zu unterscheiden und leicht zu übersehende Verhaltensweisen zu identifizieren, die für LOTL-Angriffe charakteristisch sind. Fortgeschrittene KI-gesteuerte Erkennungen konzentrieren sich auf gängige LOTL-Taktiken, darunter:

• Versteckter TTPS-Tunnel
• RPC Gezielte Aufklärungsarbeit
• Verdächtige Remote-Ausführung
• Entra ID Ungewöhnliche Verwendung der Scripting Engine
• Entra ID Erfolgreiche Brute-Force‍

Zum Beispiel bei einem simulierten Angriff, der über ein kompromittiertes Heimbüro eingeleitet wird:

• Der Angreifer versuchte, lokale Laufwerks- und Anmeldeinformationen zu sammeln, um unbemerkt zu bleiben. 
  

• Indem er sich über mehrere Oberflächen bewegte, sammelte der Angreifer zusätzliche Informationen, um voranzukommen und seine Spuren zu verwischen.
  

• Selbst mit diesen verdeckten Techniken konnte Vectra AI Angriffsaktivitäten erkennen, analysieren, bewerten, korrelieren und validieren, bevor der Angreifer sie ausführen konnte.

Sehen Sie, wie Vectra AI einen LOTL-Angriff abwehrte

Wie kann man einen hochqualifizierten Bedrohungsakteur, der heimliche LOTL-Techniken einsetzt, einholen? Wir haben einen Volt Typhoon Angriff simuliert, um das herauszufinden. Laden Sie die Angriffsanatomie herunter, um zu sehen, wie Verteidiger einen staatlich gesponserten LOTL-Angriff stoppen können, den andere Techniker übersehen haben.