💭 Jeremys Brain

lotl-angriffe

2 min read

Living Off The Land (LoTL) Angriffe

Living Off The Land (LoTL) bezeichnet Angriffe, bei denen keine herkömmliche Malware, Backdoors oder Rootkits verwendet werden. Stattdessen nutzen Angreifer die bereits vorhandenen Tools und Funktionen des Betriebssystems oder Administrationswerkzeuge, um ihre Ziele zu erreichen. Diese Art von Angriff wird auch als fileless malware bezeichnet, da keine externen Schadprogramme zum Einsatz kommen.

Verwendete Tools bei LoTL-Angriffen

Einige der häufig genutzten Tools sind:

  • Microsoft PowerShell (PS): Eine Kommandozeile und Skriptsprache auf Basis des .NET Frameworks. Sie dient der Automatisierung von Aufgaben sowie der Systemverwaltung und -konfiguration.

  • Windows Management Instrumentation (WMI): Bietet eine Schnittstelle für die lokale oder entfernte Computerverwaltung. WMI ermöglicht Informationen über den Zustand von Hosts abzurufen, Sicherheitseinstellungen zu konfigurieren und Umgebungsvariablen zu manipulieren.

  • Visual Basic Scripts (VBScript): Eine Skriptsprache, die Administratoren die Verwaltung von Computern ermöglicht.

  • Mimikatz: Ein Open-Source-Tool mit verschiedenen Modulen. Es kann unter anderem eine Microsoft Kerberos API erstellen, aktive Prozesse auflisten und gespeicherte Anmeldeinformationen auf einem Windows-Rechner anzeigen.

Ablauf eines LoTL-Angriffs

Ein typisches Szenario für einen LoTL-Angriff könnte folgendermaßen aussehen:

  1. Phishing-E-Mail: Das Opfer erhält eine E-Mail mit einem angehängten Word-Dokument, das ein Makro enthält.

  2. Aktivierung des Makros: Nach dem Öffnen des Dokuments und der Aktivierung des Makros startet ein VBScript.

  3. Ausführung von PowerShell: Das VBScript führt PowerShell-Befehle aus, um weitere Aktionen durchzuführen, wie zum Beispiel:

    • Aktivierung von WMI: Ermöglicht die seitliche Bewegung im System.
    • Verwendung von Mimikatz: Zum Auslesen von Anmeldeinformationen.
    • Download und Installation von Metasploit: Um weitere Angriffe zu ermöglichen.

Herausforderungen bei der Erkennung

LoTL-Angriffe sind besonders gefährlich, da:

  • Missbrauch systemeigener Tools: Die Angreifer verwenden die nativen Tools des Betriebssystems, was es schwer macht, bösartige Aktivitäten von legitimen zu unterscheiden.

  • Keine eindeutigen Signaturen: Traditionelle Sicherheitslösungen basieren oft auf Signaturerkennung, die bei LoTL-Angriffen ins Leere läuft.

  • Stealth-Eigenschaften: Durch die Nutzung legitimer Tools werden keine Alarmmeldungen ausgelöst, und die Angriffe bleiben oft unentdeckt.

Gegenmaßnahmen

Eine effektive Verteidigung gegen LoTL-Angriffe erfordert:

  • Verhaltensbasierte Erkennung: Überwachung von ungewöhnlichen Aktivitäten oder Anomalien im Systemverhalten.

  • Kontinuierliches Monitoring: Einsatz von Tools zur Echtzeitüberwachung kritischer Systeme und Prozesse.

  • Einschränkung von Skripting-Funktionen: Wo möglich, sollten die Nutzung von PowerShell, WMI und anderen Skripting-Tools restriktiv konfiguriert werden.

Tags

CybersecurityLoTLFilelessMalwarePowerShellWMIMimikatzITSecuritySicherheitMalware

Gehacktes-Overview

Graph View