Was sind Living-Off-the-Land-Angriffe und wie können Sie sie stoppen?
Living-off-the-land (LOTL)-Hacking-Techniken sind nicht gerade neu, aber a aktuelle Beratung von den USA und ihren Five-Eyes-Verbündeten hat die ernsthafte Bedrohung hervorgehoben, die sie für Regierungen und Organisationen weltweit darstellen.
Das Hauptziel der LOTL-Techniken besteht darin, Hackern dabei zu helfen, IT-Systeme zu kompromittieren und böswillige Cyberaktivitäten gegen Organisationen durchzuführen, ohne von Sicherheitsüberwachungstools entdeckt zu werden. Welche Best Practices können Unternehmen vor diesem Hintergrund anwenden, um LOTL-Angriffe zu erkennen und einzudämmen?
Was das Advisory sagt
Die jüngste Five Eyes-Meldung wurde von amerikanischen Regierungsbehörden, darunter der Cybersecurity and Infrastructure Security Agency (CISA), der NSA und dem FBI, in Zusammenarbeit mit internationalen Partnern wie dem UK National Cyber Security Centre (NCSC) und dem Canadian Centre for Cyber herausgegeben Sicherheit (CCS). Darin wird gewarnt, dass LOTL-Strategien chinesischen staatlich geförderten Hackern geholfen haben, verheerende Cyberangriffe auf Anbieter kritischer Infrastruktur (CNI) in den USA zu starten.
Die chinesische Hackergruppe Volt Typhoon nutzte LOTL, um sich in kritischen IT-Netzwerken in CNI-Sektoren wie Kommunikation, Energie, Transport sowie Wasser und Abwasser zu verstecken. Seine Motivation scheint darin zu liegen, sich im Falle eines möglichen Konflikts mit den USA und ihren Verbündeten vorab zu positionieren.
„Die Gruppe verlässt sich außerdem auf gültige Konten und nutzt eine starke Betriebssicherheit, was in Kombination eine langfristige unentdeckte Persistenz ermöglicht“, heißt es darin. „Tatsächlich haben die US-Autorenagenturen kürzlich Anzeichen dafür beobachtet, dass Volt-Typhoon-Akteure mindestens fünf Jahre lang Zugang und Stützpunkte in den IT-Umgebungen einiger Opfer aufrechterhalten.“
Ein tiefer Einblick in LOTL
Bei LOTL-Angriffen nutzen Cyberkriminelle in der Regel echte Tools, die bereits auf kompromittierten Computern installiert sind. Dadurch können sie böswillige Aktivitäten gegen Organisationen durchführen, ohne dass ihre Sicherheitsteams davon erfahren und eingreifen.
Laut Michael Clark, Direktor für Bedrohungsforschung bei Sysdig, halten Cyberkriminelle diesen Ansatz oft für einfacher und heimlicher, als neue Tools oder Anwendungen auf ein gehacktes System herunterzuladen.
„Die von Angreifern genutzten Tools gelten in vielen Fällen auch als vertrauenswürdig, da sie möglicherweise Code-Signatur implementieren“, sagt er gegenüber ISMS.online. „Wenn das Tool häufig in der Umgebung des Opfers verwendet wird, kann seine Verwendung mit allen legitimen Verwendungszwecken harmonieren.“
Kennet Harpsoe, leitender Cyberanalyst bei Logpoint, erklärt gegenüber ISMS.online, dass Cyberkriminelle, die LOTL-Angriffe starten, von dem Wunsch motiviert sind, ihre schändlichen Ziele mithilfe legitimer, integrierter und signierter Binärdateien voranzutreiben, die bereits auf den Computersystemen des Ziels vorhanden sind. Er warnt davor, dass sie dies in jeder Phase der Cyber-Kill-Kette tun können, einschließlich Entdeckung, Persistenz, seitlicher Bewegung oder Befehl und Kontrolle.
Es gibt eine Reihe von Faktoren, die LOTL-Angriffe für Unternehmen äußerst gefährlich machen. Erstens, da sie legitime Anwendungen und Tools verwenden, die von Organisationen verwendet werden, warnt Harpsoe, dass herkömmliche Antiviren- und Intrusion-Detection-Systeme sie möglicherweise nicht identifizieren.
„Das macht sie zu einem wertvollen und heimlichen Werkzeug für böswillige Akteure, um der Entdeckung zu entgehen“, erklärt er.
Zweitens ermöglichen LOTL-Strategien Hackern, bösartige digitale Aktivitäten gegen ihre Opfer durchzuführen, ohne Spuren zu hinterlassen. Diese Methode sei „unglaublich vielseitig“ und gebe ihnen mehrere Möglichkeiten, Angriffe zu starten. Dazu gehören die Codeausführung und die Möglichkeit, Dateien herunterzuladen, hochzuladen oder zu kopieren.
LOTL-Angriffe aufdecken
Obwohl es für Unternehmen schwierig sein kann, LOTL-Angriffe zu erkennen, können sie verschiedene Best Practices anwenden, um die Cyber-Abwehr zu stärken.
Jake Moore, globaler Cybersicherheitsberater bei ESET, empfiehlt Unternehmen, ihre Systeme durch die Implementierung strenger Verwaltungskontrollen, die regelmäßige Durchführung von Software-Updates und -Patches und die Verfolgung der Netzwerkaktivität in Echtzeit zu sichern.
Er erklärt ISMS.online, dass verhaltensbasierte Sicherheitsüberprüfungen auch eine hilfreiche Technik zur Eindämmung von LOTL-Angriffen sein können, indem sie alle unregelmäßigen digitalen Aktivitäten hervorheben, die darauf hindeuten könnten, dass ein Cyberkrimineller ein legitimes Tool wie die Registrierung eines Computers missbraucht.
Er ermutigt Arbeitgeber außerdem, ihre Mitarbeiter darin zu schulen, Online-Sicherheitsbedrohungen zu erkennen und abzuwehren, da LOTL-Angriffe häufig durch Social-Engineering-Taktiken wie Phishing-E-Mails beginnen.
Sean Wright, Leiter der Anwendungssicherheit bei Featurespace, räumt ein, dass die Abwehr von LOTL-Angriffen nicht einfach ist, sagt jedoch, dass Patch- und Schwachstellenmanagementprogramme, Überwachungslösungen und Anomaliewarnungen eine zusätzliche Ebene des Cyberschutzes bieten können.
Harpsoe von Logpoint weist auf die Vorteile des Aufbaus eines vertretbaren, getrennten Netzwerks als Teil einer passiven Sicherheitsstrategie hin. Einfache Schritte wie das Löschen ungenutzter Konten, Dienste oder Ports, die Implementierung einer Zwei-Faktor-Authentifizierung, die Einschränkung von Administratorrechten und die Netzwerktrennung können Unternehmen auch dabei helfen, die Angriffsfläche ihrer IT-Netzwerke und -Systeme zu minimieren, fügt er hinzu.
Yossi Rachman, Direktor für Sicherheitsforschung bei Semperis, sagt, dass der erste Schritt bei der Bekämpfung von LOTL-Angriffen die Einrichtung eines Prozesses zur Identifizierung von Systemunregelmäßigkeiten ist, die auf verdächtige Aktivitäten hinweisen.
„Achten Sie besonders auf Endpunktprozesse und -treiber. Überwachen Sie außerdem kontinuierlich die Prozessausführung, insbesondere für gängige LOLBin (Living off the Land Binaries) wie PowerShell, WMIC und certutil“, sagt er gegenüber ISMS.online. „Überprüfen Sie die öffentlich zugänglichen und kontinuierlich gepflegten Informationen.“ LOLLabs-Projekt für eine Liste häufig (missbrauchter) Binärdateien.“
Er fügt hinzu, dass die Überwachung der Befehlszeilenaktivität sowie der Einsatz von Identitätserkennungs- und Reaktionssystemen, Netzwerküberwachungstools und Verhaltensanalysen Unternehmen auch dabei helfen können, verdächtiges Verhalten zu erkennen, das auf einen LOTL-Angriff schließen lässt.
Kelly Indah, Technologieexpertin und Sicherheitsanalystin bei Increditools, betont die Bedeutung des Informationsaustauschs bei der Bewältigung dieses globalen Problems.
„Die internationale Zusammenarbeit bei der Dokumentation der sich entwickelnden Vorgehensweisen staatlicher Gegner ist von unschätzbarem Wert, um die Verteidigung überall dort zu stärken, wo solche Gruppen das nächste Mal ins Visier genommen werden“, sagt sie gegenüber ISMS.online. „Gemeinsam können wir unseren Schutzschild selbst gegen die heimlichsten Bedrohungen stärken.“
LOTL-Hacking-Techniken stellen eine erhebliche Bedrohung für Organisationen auf der ganzen Welt dar, unabhängig davon, ob sie von Nationalstaaten oder finanziell motivierten Hackergruppen eingesetzt werden. Auch wenn diese Angriffe von Natur aus irreführend sind, können Unternehmen sie bekämpfen, indem sie die Cyberhygiene verbessern und die Best Practices der Branche befolgen.
