Wichtige Erkenntnisse

  • Untersuchungen zeigen, dass über 50 % der Cyberangriffe in den letzten Jahren mit LotL-Techniken durchgeführt wurden, was ihre Verbreitung unterstreicht.
  • Eine Umfrage des Ponemon Institute ergab, dass 70 % der Sicherheitsexperten Schwierigkeiten haben, zwischen normalen und bösartigen Aktivitäten zu unterscheiden, da bei Angriffen auch legitime Tools verwendet werden.

Was sind die Angriffe Living Off the Land (LotL)?

"Living Off the Land" (LotL) bezeichnet eine Strategie von Angreifern, bei der sie legitime Tools und Funktionen, die bereits in der Zielumgebung vorhanden sind, zur Durchführung bösartiger Aktivitäten nutzen. Diese Technik gewinnt zunehmend an Bedeutung, da sie es Angreifern ermöglicht, sich in den normalen Betrieb einzugliedern, was die Entdeckung durch herkömmliche Sicherheitsmaßnahmen erschwert.

Beispiel für den Angriff Volt Typhoon Lotl

Living Off the Land (LotL)-Angriffe nutzen legitime Tools und Software, die in der Umgebung des Ziels vorhanden sind, um bösartige Aktivitäten durchzuführen, was die Erkennung für Sicherheitsteams besonders schwierig macht. Diese Taktik ermöglicht es Angreifern, sich in die normale Netzwerkaktivität einzuschleichen und herkömmliche Sicherheitsmaßnahmen zu umgehen.

Gemeinsame LotL-Werkzeuge und -Techniken

Name des Werkzeugs Beschreibung Warum sollte der Angreifer sie benutzen? Auswirkungen auf die Wirtschaft

PowerShell

Ein Framework für Aufgabenautomatisierung und Konfigurationsmanagement von Microsoft. Ermöglicht die heimliche Ausführung von Befehlen und Skripten, so dass sie von herkömmlichen Sicherheitstools nur schwer entdeckt werden können. Kann zu Datenverletzungen, unbefugtem Zugriff und anhaltenden Bedrohungen innerhalb des Netzwerks führen.

Windows-Verwaltungsinstrumentierung (WMI)

Dient der Systemverwaltung und kann Skripte ausführen und Systeminformationen sammeln. Ermöglicht die Remote-Ausführung und das Sammeln von Informationen, ohne dass zusätzliche Tools oder Nutzlasten erforderlich sind. Kann zu Datenexfiltration, Unterbrechung des Betriebs und Beeinträchtigung der Systemintegrität führen.

PsExec

Ein leichtes Telnet-Ersatzprogramm, das die Ausführung von Prozessen auf entfernten Systemen ermöglicht. Erleichtert die schnelle und effiziente Verbreitung von malware oder ransomware über das Netzwerk. Sie können weit verbreitete Infektionen, Betriebsunterbrechungen und erhebliche finanzielle Verluste verursachen.

Büro-Makros

In Office-Dokumente eingebettete Skripte, die schädliche Nutzdaten herunterladen und ausführen können. Nutzt gängige Geschäftstools aus und bringt Benutzer durch Social Engineering dazu, Makros zu aktivieren. Dies führt zu unberechtigtem Zugriff, Datendiebstahl und potenziellem finanziellen und rufschädigenden Schaden.

Wie Vectra AI helfen kann

Die Plattform von Vectra AI verbessert Ihre Verteidigung gegen Living Off the Land , indem sie KI-gesteuerte Verhaltensanalysen einsetzt, um ungewöhnliche Aktivitäten mit legitimen Tools zu identifizieren und darauf zu reagieren. Unsere Lösung bietet umfassende Transparenz und Kontext, sodass SOC-Teams LotL-Angriffe schnell erkennen und entschärfen können. Um unsere Plattform in Aktion zu sehen, empfehlen wir Ihnen, sich eine selbst geführte Demo unserer Plattform anzusehen.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was sind Living Off the Land (LotL)"-Angriffe?

Warum sind LotL-Angriffe schwer zu erkennen?

Welche Tools werden üblicherweise bei LotL-Angriffen ausgenutzt?

Wie können Security Teams LotL-Angriffe erkennen?

Was sind wirksame Strategien zur Eindämmung von LotL-Angriffen?

Wie wichtig ist die Erkennung von und Reaktion auf Bedrohungen bei der Abwehr von LotL-Angriffen?

Kann Threat Hunting bei der Identifizierung von LotL-Angriffen helfen?

Welche Rolle spielt die Netzwerksegmentierung für den Schutz vor LotL-Angriffen?

Wie können Unternehmen ihre Verteidigung gegen LotL-Angriffe verbessern?

Gibt es bemerkenswerte Beispiele für LotL-Angriffe?