Angriffe, die auf vorhandenen Ressourcen basieren (LOTL), sind eine zunehmend beliebte Taktik unter Cyberkriminellen. Ein fortgeschrittener, beständiger Bedrohungsfaktor (APT), ein LOTL-Angriff beinhaltet die Verwendung von legitimen und vertrauenswürdigen Systemwerkzeugen, um einen Cyberangriff zu starten und die Erkennung zu vermeiden. In diesem Artikel werden wir die verschiedenen Aspekte von LOTL-Angriffen untersuchen und wie man sich auf diese ausgeklügelten Angriffe vorbereiten und das Risiko mindern kann.

Angriffe, die auf vorhandenen Ressourcen basieren (LOTL)

Was ist ein Angriff, der auf vorhandenen Ressourcen basiert (LOTL)?

Ein LOTL-Angriff ist eine Art Cyberangriff, bei dem ein Hacker legitime Werkzeuge und Funktionen nutzt, die bereits im Zielsystem vorhanden sind, um die Erkennung zu vermeiden und einen Cyberangriff durchzuführen. Bei dieser Art von Angriff verwendet der Hacker keine bösartige Software oder Code, der leicht von herkömmlichen Sicherheitslösungen erkannt werden könnte. Stattdessen nutzt er die eingebauten Funktionen des Betriebssystems, administrative Werkzeuge und Batch-Dateien, um das System zu steuern und sensible Informationen zu stehlen.

LOTL ist eine gängige Technik unter Hackern, da es für Sicherheitssysteme schwierig macht, den Angriff zu erkennen. Der Hacker nutzt bestehende Systemfunktionen, die keinen Verdacht erregen, und die bei dem Angriff verwendeten Werkzeuge sind oft schwer zu erkennen durch herkömmliche Sicherheitslösungen. Da der Angriff legitime Werkzeuge verwendet, kann es schwierig sein, den Angriff von regulärer Systemaktivität zu unterscheiden.

Einige Beispiele für LOTL-Angriffe sind die Verwendung von PowerShell oder dem Windows Management Instrumentation (WMI) um schädliche Aktivitäten durchzuführen, die Verwendung von eingebauten Skriptsprachen wie Python oder Ruby um schädliche Skripte zu erstellen, oder die Nutzung von geplanten Aufgaben und Registrierungsschlüsseln um schädlichen Code auszuführen. Diese Punkte werden wir im folgenden Abschnitt detailliert besprechen.

Arten von LOTL-Angriffen

LOTL-Angriffe werden unter Cyberkriminellen zunehmend beliebter aufgrund ihrer Wirksamkeit bei der Umgehung traditioneller Sicherheitsmaßnahmen. Diese Angriffe beinhalten den Einsatz von legitimen Werkzeugen und Techniken, um schädliche Aktivitäten durchzuführen, was ihre Erkennung schwierig macht. Es gibt verschiedene Arten von LOTL-Angriffen, darunter Binary Planting, Registry Run Keys, dateilose Schadprogramme und PowerShell-basierte Angriffe. Jeder dieser Angriffe stellt eine erhebliche Bedrohung für Organisationen und Einzelpersonen dar und erfordert proaktive Maßnahmen zur Verhinderung und Erkennung.

Binary Planting

Binary Planting, auch bekannt als DLL-Hijacking oder DLL-Seitenladung, ist eine Art von LOTL-Angriff, der darin besteht, eine legitime DLL-Datei mit einer bösartigen zu ersetzen. Wenn eine Anwendung versucht, die legitime DLL zu verwenden, lädt sie unwissentlich die bösartige DLL stattdessen, was dem Angreifer erlaubt, Code auf dem System des Opfers auszuführen. Dieser Angriff kann besonders gefährlich sein, da er genutzt werden kann, um Anwendungen auszunutzen, die mit erhöhten Berechtigungen laufen, wie Systemlevel-Services und administrative Werkzeuge. Die Erkennung dieses Angriffs kann schwierig sein, da er oft wie ein legitimer Prozess erscheint.

Registrierungsschlüssel (Registry Run Keys)

Registrierungsschlüssel sind eine Technik, die von Angreifern verwendet wird, um ihren Schadcode beim Hochstarten des Systems des Opfers auszuführen. Die Angreifer fügen ihre Malware in den Registrierungsschlüssel ein, der Anweisungen zur Ausführung eines bestimmten Programms beim Hochfahren des Systems enthält. Der Code kann zu einem der Registrierungsschlüssel hinzugefügt werden, wie beispielsweise zu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, oder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Diese Art von Angriff ist besonders gefährlich, weil sie es einem Angreifer ermöglicht, die Persistenz auf einem infizierten System aufrechtzuerhalten, auch nach einem Neustart. Sie kann dem Angreifer auch ermöglichen, Privilegien zu eskalieren.

Dateiloser Schadprogramm (Fileless Malware)

Dateilose Schadprogramme sind eine fortschrittliche Form von LOTL-Angriff, der traditionelle Antivirensoftware umgeht, indem er sich in den Speicher des Computers statt im Dateisystem einnistet. Die Angreifer verwenden Skriptsprachen wie PowerShell oder Windows Management Instrumentation (WMI), um den Code direkt im Speicher auszuführen. Daher gibt es keine Datei zum Scannen, was die Erkennung erschwert. Dateilose Schadprogramme können verwendet werden, um sensible Daten zu stehlen, Hintertüren zu installieren oder verschiedene andere schädliche Aktivitäten durchzuführen und stellen daher eine erhebliche Bedrohung für Organisationen dar, die sich auf traditionelle Antivirenlösungen verlassen.

PowerShell-basierte Angriffe

PowerShell-basierte Angriffe nutzen Windows PowerShell, eine leistungsstarke Skriptsprache, die in Windows integriert ist, zum Ausführen böswilligen Codes. Angreifer können PowerShell verwenden, um traditionelle Antivirenlösungen und andere Sicherheitsmaßnahmen zu umgehen, indem sie PowerShell-Skripte verwenden, um Befehle auszuführen und Malware zu betreiben. PowerShell-basierte Angriffe können dazu verwendet werden, Anmeldeinformationen zu stehlen, zusätzliche Malware herunterzuladen und sich in einem Netzwerk auszubreiten. Da PowerShell ein legitimes Tool ist, das von Administratoren verwendet wird, kann die Erkennung dieses Angriffs schwierig sein, insbesondere wenn der Angreifer privilegierten Zugang oder Zugriff auf ein Administratorenkonto erlangt hat.

Wie LOTL-Angriffe funktionieren

LOTL-Angriffe funktionieren, indem sie vertrauenswürdige Systemtools und Anwendungen ausnutzen, um sich der Erkennung zu entziehen. Angreifer nutzen bestehende Schwachstellen und Schwächen in diesen Tools, um böswilligen Code auszuführen und die Persistenz im System aufrechtzuerhalten.

Ausnutzen vertrauenswürdiger Systemtools

LOTL-Angriffe stützen sich stark auf die Ausnutzung vertrauenswürdiger Systemtools, wie PowerShell, Windows Management Instrumentation (WMI) und Befehlszeilenschnittstellen. Angreifer nutzen diese Tools zum Ausführen von Befehlen, zur Änderung von Systemkonfigurationen und zur Durchführung anderer Aufgaben, ohne die Benutzer oder Sicherheitssysteme zu alarmieren. Da diese Tools von den Benutzern vertraut werden, können sich die Angreifer leicht mit legitimen Benutzern vermischen und der Erkennung entziehen.

Ausnutzen vorbestehender Schwachstellen

LOTL-Angriffe können auch vorbestehende Schwachstellen innerhalb des Zielsystems ausnutzen. Angreifer können diese Sicherheitslücken ausnutzen, um Zugang zu sensiblen Informationen zu erlangen oder Befehle auf dem System auszuführen. Da diese Schwachstellen bereits im System vorhanden sind, müssen Angreifer sie nicht von Grund auf erstellen oder komplexe Hacker-Techniken verwenden. Stattdessen können sie einfach bekannte Sicherheitslücken zur Erlangung von Zugriff nutzen.

Versteck von bösartigem Code in harmlosen Dateien

Schließlich können LOTL-Angriffe das Verstecken von bösartigem Code in harmlosen Dateien beinhalten. Angreifer können beispielsweise bösartigen Code in vertrauenswürdigen Dateitypen, wie PDFs oder Word-Dokumente, einbetten und Benutzer dazu verleiten, diese herunterzuladen oder zu öffnen. Sobald der Benutzer die Datei öffnet, wird der eingebettete Code ausgeführt und gibt dem Angreifer Zugang zum System. Dieser Angriffstyp wird als dateiloser Angriff bezeichnet, da er nicht erfordert, dass der Angreifer Software auf dem Zielsystem installiert.

Von Cyberkriminellen bei LOTL-Angriffen genutzte Werkzeuge

Die folgenden Werkzeuge werden häufig von Angreifern in verschiedenen Cyberattacken, einschließlich LOTL-Angriffen, verwendet. Sie bieten eine breite Palette von Fähigkeiten, einschließlich Netzwerkscanning, Remote-Ausführung, Passwort-Cracking und Ausnutzung von Schwachstellen. Diese Werkzeuge werden oft kombiniert eingesetzt, um Informationen zu sammeln, Zugang zu Systemen zu erhalten und die Persistenz im Zielsystem zu gewährleisten. Die Verwendung dieser Werkzeuge erfordert ein hohes Maß an technischem Können und Wissen, und sie sind auch bei Sicherheitsprofis für Penetrationstests und Sicherheitsbewertungen beliebt.

Werkzeug Verwendung für LOTL-Angriffe
PowerShell PowerShell ist eine Skriptsprache und Befehlshülle, die bei LOTL-Angriffen verwendet wird, um Befehle auf dem Zielsystem auszuführen und verschiedene Aufgaben zu automatisieren. Angreifer können PowerShell verwenden, um bösartigen Code herunterzuladen und auszuführen, Sicherheitskontrollen zu umgehen und einer Erkennung zu entgehen.
Metasploit Framework Das Metasploit Framework ist ein beliebtes Werkzeug, das bei LOTL-Angriffen für Penetrationstests und die Ausnutzung von Schwachstellen verwendet wird. Es bietet eine Reihe von Modulen, die zur Identifizierung und Ausnutzung von Schwachstellen in Systemen verwendet werden können, einschließlich Remote-Code-Ausführung und Eskalation von Privilegien.
Mimikatz Mimikatz ist ein leistungsstarkes Hacking-Werkzeug, das bei LOTL-Angriffen zur Extraktion von Klartextpasswörtern, Hashwerten und anderen sensiblen Informationen aus dem Windows-Betriebssystem verwendet wird. Angreifer können Mimikatz verwenden, um Anmeldeinformationen zu erhalten und Zugang zu anderen Systemen im Netzwerk zu erlangen.
Cobalt Strike Cobalt Strike ist ein Penetrationstesting-Tool, das oft bei LOTL-Angriffen verwendet wird, um fortgeschrittene persistente Bedrohungen (APTs) zu simulieren und Red Team-Bewertungen durchzuführen. Es bietet eine Reihe von Funktionen, einschließlich Command-and-Control (C2)-Servern, Payload-Generierung und Post-Exploitation-Tools.
Nmap Nmap ist ein Netzwerk-Mapping- und Port-Scanning-Tool, das bei LOTL-Angriffen verwendet wird, um offene Ports, Dienste und Schwachstellen auf Zielsystemen zu identifizieren. Es kann verwendet werden, um Informationen über die Netzwerk-Topologie zu sammeln, mögliche Angriffsvektoren zu identifizieren und Betriebssysteme und Anwendungen zu fingerprinten.
Wireshark Wireshark ist ein Netzwerkprotokollanalysator, der bei LOTL-Angriffen verwendet wird, um Netzwerkverkehr zu erfassen und zu analysieren. Es kann verwendet werden, um Kommunikationsmuster zu identifizieren, verwundbare Dienste zu erkennen und sensible Informationen aus Netzwerkpaketen zu extrahieren.
Netcat Netcat ist ein vielseitiges Netzwerk-Tool, das bei LOTL-Angriffen für die TCP/IP-Socket-Programmierung verwendet wird. Es kann verwendet werden, um Verbindungen herzustellen, Dateien zu übertragen und Remote-Befehle auf Zielsystemen auszuführen.
Aircrack-ng Aircrack-ng ist eine Suite von Tools, die bei LOTL-Angriffen verwendet wird, um die Sicherheit von drahtlosen Netzwerken zu testen und zu knacken. Sie kann verwendet werden, um Pakete zu erfassen, Brute-Force-Angriffe durchzuführen und Verschlüsselungsschlüssel zu knacken, um unberechtigten Zugang zu drahtlosen Netzwerken zu erlangen.
John The Ripper John The Ripper ist ein Passwort-Cracking-Tool, das bei LOTL-Angriffen verwendet wird, um die Stärke von Passwörtern zu testen und Passwort-Hashes zu knacken. Es unterstützt eine Vielzahl von Hash-Typen und kann verwendet werden, um schwache oder verwundbare Passwörter zu identifizieren.
Hashcat Hashcat ist ein Passwort-Cracking-Tool, das bei LOTL-Angriffen verwendet wird, um Passwort-Hashes zu testen und zu knacken. Es unterstützt eine breite Palette von Hashing-Algorithmen und kann für Brute-Force-Angriffe, Wörterbuchangriffe und regelbasierte Angriffe verwendet werden, um Passwörter zu knacken und unberechtigten Zugang zu Systemen und Konten zu erlangen.

Erkennung von LOTL-Angriffen

LOTL-Angriffe zu erkennen kann eine Herausforderung sein, da Angreifer vertrauenswürdige System-Tools und bestehende Schwachstellen nutzen, um eine Entdeckung zu vermeiden. Es gibt jedoch einige Strategien, die Organisationen zur Erkennung und Verhinderung dieser Angriffe einsetzen können. Zum Beispiel kann die Überwachung von Systemprotokollen und Netzwerkverkehr helfen, ungewöhnliche oder verdächtige Aktivitäten zu erkennen. Zusätzlich kann die Verwendung von Endpunkterkennungs- und Reaktions (EDR) Sicherheitssoftware helfen, LOTL-Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Regelmäßiges Scannen auf Schwachstellen und Patchen kann außerdem dabei helfen, Angreifern die Ausnutzung bekannter Schwachstellen im System zu verhindern.

Die Auswirkungen von LOTL-Angriffen

Die Auswirkungen von LOTL-Angriffen können erheblich sein und reichen von Datendiebstahl bis zum vollständigen Systemkompromittierung. Diese Angriffe können den Verlust von sensiblen Informationen, Geschäftsunterbrechungen, finanziellen Verlust und Schaden für den Ruf einer Organisation zur Folge haben. Reale Beispiele für LOTL-Angriffe beinhalten die Petya und NotPetya Angriffe im Jahr 2017. Diese Angriffe verursachten erheblichen Schaden für Unternehmen und Organisationen weltweit. Sie gehörten zu einer Art von Ransomware, die die Dateien des Opfers verschlüsselte und Lösegeld für den Entschlüsselungsschlüssel verlangte. Im Gegensatz zu herkömmlichen Ransomware-Angriffen verbreitete sich die Petya und NotPetya Malware jedoch schnell in Netzwerken durch Nutzung mehrerer Infektionsvektoren, einschließlich ausnutzung verwundbarer Software. NotPetya war besonders schädlich, da es als Ransomware getarnt, aber tatsächlich dazu entworfen war, Daten auf infizierten Maschinen zu zerstören. Diese Angriffe sollen global Verluste in Milliardenhöhe verursacht haben und haben daran erinnert, wie wichtig robuste Cybersicherheitspraktiken sind. Die ökonomischen Auswirkungen von LOTL-Angriffen können schwerwiegend sein, insbesondere für kleine und mittelständische Unternehmen, die möglicherweise nicht die Ressourcen haben, um sich von solchen Angriffen zu erholen.

Verhinderung von Living-Off-the-Land (LOTL)-Angriffen

LOTL-Angriffe sind für Organisationen entscheidend, um die Integrität und Sicherheit ihrer sensiblen Informationen zu wahren. Diese Angriffe können schwer zu erkennen sein und erheblichen Schaden verursachen. Die Umsetzung bestimmter Maßnahmen kann jedoch dazu beitragen, das Risiko von LOTL-Angriffen zu reduzieren. Zu diesen Maßnahmen gehören:

Einschränkung der Verwendung von Skriptsprachen

LOTL-Angriffe setzen auf die Verwendung von Skriptsprachen zur Ausführung von schädlichem Code. Eine Begrenzung der Verwendung von Skriptsprachen oder die Implementierung strikter Kontrollen kann das Risiko dieser Angriffe reduzieren.

Systemaktivität überwachen

Implementieren Sie ein robustes System zur Überwachung der Systemaktivität und des Zugriffs auf Dateien. Dies kann dabei helfen, ungewöhnliche Zugriffsmuster zu erkennen, die auf einen LOTL-Angriff hindeuten könnten.

Software regelmäßig aktualisieren

Regelmäßige Software-Updates können Schwachstellen beheben, die von LOTL-Angriffen ausgenutzt werden könnten. Stellen Sie sicher, dass alle innerhalb der Organisation verwendeten Softwares und Anwendungen regelmäßig auf die neueste Version aktualisiert werden.

Implementierung von Zugriffskontrollen mit minimalen Berechtigungen

Die Einschränkung des Zugriffs auf sensible Daten und Ressourcen kann helfen, das Risiko von LOTL-Angriffen zu reduzieren. Implementieren Sie eine Zugriffskontrollrichtlinie mit minimalen Berechtigungen, die sicherstellen kann, dass Benutzer nur Zugang zu den Daten und Ressourcen haben, die sie zur Ausführung ihrer Aufgaben benötigen.

Starke Benutzerauthentifizierung implementieren

Starke Benutzerauthentifizierungsmaßnahmen, wie zum Beispiel mehrfaktor Authentifizierung, können dabei helfen, den unautorisierten Zugriff auf sensible Daten und Ressourcen zu verhindern.

Benutzer schulen

Benutzer können unwissentlich Schwachstellen ins System einbringen, indem sie schädliche Software herunterladen oder auf Phishing-Links klicken. Eine regelmäßige Mitarbeiterschulung kann dazu beitragen, Benutzer über gute Sicherheitspraktiken aufzuklären und die Wahrscheinlichkeit von LOTL-Angriffen zu reduzieren.

Schutz sensibler Inhalte vor LOTL-Angriffen mit Kiteworks

Das Kiteworks Private Content Network (PCN) ist eine sichere Plattform für Unternehmen und Organisationen zum Austausch, zur Zusammenarbeit und zur Verwaltung sensibler Inhalte. Mit der zunehmenden Verfeinerung von Living-off-the-Land (LOTL)-Angriffen müssen Unternehmen wachsam sein, um ihre sensiblen Inhalte vor Ausbeutung zu schützen. LOTL-Angriffe beinhalten Hacker, die legitime Tools, die bereits im System vorhanden sind, nutzen, um unautorisierten Zugriff auf sensible Informationen zu erlangen. Kiteworks hat einzigartige Funktionen und Fähigkeiten, die es zu einem wertvollen Vermögenswert machen, um gegen diese Angriffe zu schützen.

Kiteworks bietet eine Ende-zu-Ende-Verschlüsselung aller Inhalte während der Übertragung und Speicherung, wodurch sichergestellt wird, dass nur autorisierte Personen auf die Informationen zugreifen können. Zusätzlich hat die Plattform ein robustes, granulares Zugriffskontrollsystem, das es Organisationen ermöglicht, den Zugriff auf ihre Inhalte auf granularer Ebene zu verwalten. Dies hilft sicherzustellen, dass nur autorisierte Personen Zugang zu bestimmten Informationsstücken haben, wodurch das Risiko von unautorisiertem Zugriff reduziert wird, der zu Datenlecks, Diebstahl und Datenschutzverletzungen führen kann.

Kiteworks bietet ein robustes Audit- und Berichtswesen, das alle Aktivitäten innerhalb der Plattform verfolgt und protokolliert. Dies bietet eine vollständige, umfassende Sichtbarkeit darüber, wer auf sensible Daten zugegriffen, diese verändert oder geteilt hat, was es einfacher macht, die Compliance zu belegen und auf jegliche böswillige Aktivität zu reagieren.

Kiteworks hat auch integrierte Funktionen für die Verhinderung von Datenverlusten(DLP), die verhindern, dass sensible Inhalte wie Kundenakten, Finanzinformationen und geistiges Eigentum die Organisation verlassen. Kiteworks’ Backup- und Disaster-Recovery (BDR)-Fähigkeiten geben Organisationen die Sicherheit, dass ihre Inhalte sicher und bei einem Desaster oder Datenverlust wiederherstellbar sind. Die Plattform bietet tägliche Backups aller auf der Plattform gespeicherten Inhalte, wodurch sicherstellt wird, dass Organisationen ihre Daten schnell wiederherstellen können im Falle eines unerwarteten Ausfalls oder eines Cyberangriffs.

Wenn Sie mehr über Kiteworks und darüber erfahren möchten, wie das Private Content Network Ihnen helfen kann, die sensibelsten Inhalte Ihrer Organisation zu schützen, kontaktieren Sie uns noch heute, um eine Demo zu planen.

 

Zurück zum Risiko- & Compliance-Glossar

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Teilen
Twittern
Teilen
Explore Kiteworks