„Living-Off-The-Land“ (LotL) ist ein Begriff, der in der Cybersicherheit verwendet wird, um die Taktik zu beschreiben, bei der Angreifer legitime, in einem System bereits vorhandene Tools oder Funktionen nutzen, um Angriffe durchzuführen und zu verbergen. Diese Technik ist besonders tückisch, da sie auf vertrauenswürdige Software und Prozesse zurückgreift, die in den meisten IT-Umgebungen vorhanden sind. Das macht es für Sicherheitssysteme und -experten schwieriger, bösartige Aktivitäten zu erkennen.
Bei LotL-Angriffen nutzen Cyberkriminelle beispielsweise Standard-Windows-Tools wie PowerShell, WMI (Windows Management Instrumentation), VBScript oder legitime Software wie Microsoft Office für ihre Zwecke. Dadurch wird die Erkennung erschwert, da die verwendeten Tools an sich nicht schädlich sind und häufig für legitime Aufgaben im Netzwerk eingesetzt werden.
Angreifer, die LotL-Techniken verwenden, hinterlassen oft weniger Spuren und können daher länger unentdeckt bleiben. Diese Taktik kann in verschiedenen Phasen eines Cyberangriffs eingesetzt werden, von der ersten Infiltration bis hin zur Datenerfassung, Lateral Movement (seitliche Bewegung im Netzwerk) und Exfiltration.
Zur Abwehr solcher Angriffe ist es wichtig, ein tiefgreifendes Verständnis der normalen Netzwerkaktivitäten und des Benutzerverhaltens zu entwickeln. Dies ermöglicht es, Anomalien zu erkennen, die auf einen LotL-Angriff hindeuten könnten. Fortgeschrittene Überwachungssysteme, regelmäßige Überprüfungen von Netzwerkaktivitäten und eine starke Sicherheitskultur sind wesentliche Bestandteile einer effektiven Verteidigungsstrategie gegen LotL-Taktiken.
Die Pyramid of Pain
Bei der „Living-Off-The-Land“ (LotL)-Taktik in der Cybersicherheit bezieht sich die Hierarchie auf die Schwierigkeit, bestimmte Aspekte der IT-Infrastruktur oder des Betriebssystems eines Opfers für bösartige Zwecke zu nutzen. Diese Hierarchie wird auch als „Pyramid of Pain“ bezeichnet, da es sehr viel einfacher ist die unteren Ebenen unbemerkt anzugreifen, als die oberen. Die Hierarchie kann wie folgt dargestellt werden, wobei die unteren Ebenen die einfachsten und die oberen Ebenen die komplexesten und schwierigsten Ziele repräsentieren:
Einfach zu erreichen (untere Ebene)
- Standard-Tools und Anwendungen: Nutzung allgemein verfügbarer Tools wie PowerShell, CMD, Bash, WMI, die in den meisten Betriebssystemen integriert sind.
- Allgemeine Skriptsprachen: Einsatz von Skriptsprachen wie VBScript, JavaScript, die auf vielen Systemen verfügbar sind.
Mittelgradig schwierig zu erreichen
- Systeminterne Protokolle und Dienste: Nutzung interner Dienste wie Windows Event Log, Task Scheduler oder ähnliche Features in anderen Betriebssystemen.
- Versteckte oder wenig genutzte Systemfunktionen: Ausnutzung weniger bekannter Funktionen oder Dienste, die in den Betriebssystemen eingebettet sind, aber nicht häufig verwendet werden.
Schwierig zu erreichen (obere Ebene)
- Erweiterte Tool-Missbrauch: Kreativer Einsatz von Tools in einer Weise, die für die eigentlichen Tools untypisch ist, z.B. die Verwendung von Netzwerkdiagnosetools für Datenexfiltration.
- Kombination mehrerer Techniken: Gleichzeitige Nutzung mehrerer LotL-Techniken in komplexen Angriffsszenarien, was tiefes Verständnis des Zielsystems und kreatives Denken erfordert.
Sehr schwer zu erreichen
- Spezialisierte Anpassungen und Skripte: Entwicklung spezifischer Skripte oder Anpassungen, die tief in das Zielsystem eingreifen und spezifische Sicherheitslücken oder Eigenheiten ausnutzen.
- Verkettung von Ereignissen: Ausnutzung einer Kette von Ereignissen oder Bedingungen im Zielsystem, die präzise Timing- und Kontextkenntnisse erfordern.
Die LotL-Taktiken sind deshalb so herausfordernd, weil sie eine gründliche Kenntnis des Zielsystems und oft kreative Ansätze zur Umgehung von Sicherheitsmaßnahmen erfordern. Sie sind schwer zu erkennen, da sie legitime Systemfunktionen und -tools verwenden, was ihre Identifizierung und Abwehr zu einer anspruchsvollen Aufgabe macht.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: