Living Off the Land

Wichtige Erkenntnisse

Untersuchungen zeigen, dass über 50 % der Cyberangriffe in den letzten Jahren mit LotL-Techniken durchgeführt wurden, was ihre Verbreitung unterstreicht.
Eine Umfrage des Ponemon Institute ergab, dass 70 % der Sicherheitsexperten Schwierigkeiten haben, zwischen normalen und bösartigen Aktivitäten zu unterscheiden, da bei Angriffen auch legitime Tools verwendet werden.

Was sind die Angriffe Living Off the Land (LotL)?

"Living Off the Land" (LotL) bezeichnet eine Strategie von Angreifern, bei der sie legitime Tools und Funktionen, die bereits in der Zielumgebung vorhanden sind, zur Durchführung bösartiger Aktivitäten nutzen. Diese Technik gewinnt zunehmend an Bedeutung, da sie es Angreifern ermöglicht, sich in den normalen Betrieb einzugliedern, was die Entdeckung durch herkömmliche Sicherheitsmaßnahmen erschwert.

Beispiel für den Angriff Volt Typhoon Lotl

Living Off the Land (LotL)-Angriffe nutzen legitime Tools und Software, die in der Umgebung des Ziels vorhanden sind, um bösartige Aktivitäten durchzuführen, was die Erkennung für Sicherheitsteams besonders schwierig macht. Diese Taktik ermöglicht es Angreifern, sich in die normale Netzwerkaktivität einzuschleichen und herkömmliche Sicherheitsmaßnahmen zu umgehen.

Gemeinsame LotL-Werkzeuge und -Techniken

Name des Werkzeugs	Beschreibung	Warum sollte der Angreifer sie benutzen?	Auswirkungen auf die Wirtschaft
PowerShell	Ein Framework für Aufgabenautomatisierung und Konfigurationsmanagement von Microsoft.	Ermöglicht die heimliche Ausführung von Befehlen und Skripten, so dass sie von herkömmlichen Sicherheitstools nur schwer entdeckt werden können.	Kann zu Datenverletzungen, unbefugtem Zugriff und anhaltenden Bedrohungen innerhalb des Netzwerks führen.
Windows-Verwaltungsinstrumentierung (WMI)	Dient der Systemverwaltung und kann Skripte ausführen und Systeminformationen sammeln.	Ermöglicht die Remote-Ausführung und das Sammeln von Informationen, ohne dass zusätzliche Tools oder Nutzlasten erforderlich sind.	Kann zu Datenexfiltration, Unterbrechung des Betriebs und Beeinträchtigung der Systemintegrität führen.
PsExec	Ein leichtes Telnet-Ersatzprogramm, das die Ausführung von Prozessen auf entfernten Systemen ermöglicht.	Erleichtert die schnelle und effiziente Verbreitung von malware oder ransomware über das Netzwerk.	Sie können weit verbreitete Infektionen, Betriebsunterbrechungen und erhebliche finanzielle Verluste verursachen.
Büro-Makros	In Office-Dokumente eingebettete Skripte, die schädliche Nutzdaten herunterladen und ausführen können.	Nutzt gängige Geschäftstools aus und bringt Benutzer durch Social Engineering dazu, Makros zu aktivieren.	Dies führt zu unberechtigtem Zugriff, Datendiebstahl und potenziellem finanziellen und rufschädigenden Schaden.

Wie Vectra AI helfen kann

Die Plattform von Vectra AI verbessert Ihre Verteidigung gegen Living Off the Land , indem sie KI-gesteuerte Verhaltensanalysen einsetzt, um ungewöhnliche Aktivitäten mit legitimen Tools zu identifizieren und darauf zu reagieren. Unsere Lösung bietet umfassende Transparenz und Kontext, sodass SOC-Teams LotL-Angriffe schnell erkennen und entschärfen können. Um unsere Plattform in Aktion zu sehen, empfehlen wir Ihnen, sich eine selbst geführte Demo unserer Plattform anzusehen.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was sind Living Off the Land (LotL)"-Angriffe?

LotL-Angriffe beziehen sich auf eine Technik, bei der Angreifer vorhandene Software, legitime Systemtools und systemeigene Netzwerkprozesse nutzen, um bösartige Aktivitäten durchzuführen und so die Wahrscheinlichkeit einer Entdeckung zu minimieren.

Warum sind LotL-Angriffe schwer zu erkennen?

Diese Angriffe sind schwer zu erkennen, da sie sich Tools und Prozesse zunutze machen, die von Natur aus vertrauenswürdig sind und innerhalb eines Unternehmens häufig verwendet werden, wodurch die Aktivitäten des Angreifers als normale Vorgänge getarnt werden.

Welche Tools werden üblicherweise bei LotL-Angriffen ausgenutzt?

Zu den häufig genutzten Tools gehören PowerShell, Windows Management Instrumentation (WMI) und legitime Verwaltungstools wie PsExec und Netsh.

Wie können Security Teams LotL-Angriffe erkennen?

Sicherheitsteams können LotL-Angriffe erkennen, indem sie auf ungewöhnliche Verhaltensmuster achten, die mit legitimen Tools in Verbindung stehen, z. B. untypische Ausführungszeiten, unerwartete Netzwerkverbindungen oder nicht autorisierte Zugriffsversuche.

Was sind wirksame Strategien zur Eindämmung von LotL-Angriffen?

Die Eindämmung von LotL-Angriffen umfasst die Implementierung des Zugriffs mit den geringsten Privilegien, die verstärkte Überwachung der Nutzung nativer Tools, den Einsatz von Verhaltensanalysen zur Erkennung von Anomalien und die kontinuierliche Schulung der Mitarbeiter im Hinblick auf die Sicherheit.

Wie wichtig ist die Erkennung von und Reaktion auf Bedrohungen bei der Abwehr von LotL-Angriffen?

Lösungen zur Bedrohungserkennung und -reaktion spielen eine entscheidende Rolle, da sie detaillierte Einblicke in die Aktivitäten von Angreifern, einschließlich der Ausführung legitimer Tools, bieten und so die frühzeitige Erkennung verdächtiger Verhaltensweisen, die auf einen LotL-Angriff hindeuten, erleichtern.

Kann Threat Hunting bei der Identifizierung von LotL-Angriffen helfen?

Ja, die proaktive threat hunting ist eine wirksame Strategie zur Identifizierung von LotL-Angriffen, die sich auf die Suche nach Indikatoren für eine Gefährdung und anomale Aktivitäten im Zusammenhang mit dem Missbrauch legitimer Tools konzentriert.

Welche Rolle spielt die Netzwerksegmentierung für den Schutz vor LotL-Angriffen?

Die Netzwerksegmentierung kann die seitlichen Bewegungen von Angreifern einschränken, indem der Zugang zu kritischen Ressourcen und Segmenten eingeschränkt wird, was es Angreifern erschwert, LotL-Taktiken effektiv auszunutzen.

Wie können Unternehmen ihre Verteidigung gegen LotL-Angriffe verbessern?

Die Verbesserung des Schutzes vor LotL-Angriffen erfordert eine Kombination aus technischen Kontrollen, wie z. B. Anwendungs-Whitelisting und Analyse des Benutzerverhaltens, sowie eine kontinuierliche Sicherheitsschulung, um das Bewusstsein für diese Bedrohungen zu schärfen.

Gibt es bemerkenswerte Beispiele für LotL-Angriffe?

Bemerkenswerte Beispiele sind die Verwendung von PowerShell in verschiedenen ransomware und die Ausnutzung von WMI für laterale Bewegungen und Persistenz in gezielten Angriffen.