„Living-Off-Trusted-Sites“ (LOTS) ist ein Begriff aus der Cybersicherheit, der eine Taktik beschreibt, bei der Angreifer legitime, vertrauenswürdige Websites und Online-Dienste für bösartige Aktivitäten nutzen. Diese Methode ist eng verwandt mit „Living-Off-The-Land“ (LotL), wo Angreifer eingebaute Tools und Funktionen eines Zielsystems ausnutzen. Bei LOTS hingegen werden vertrauenswürdige externe Plattformen missbraucht, was den Angriffen eine zusätzliche Tarnung verleiht.
Die Kernidee hinter LOTS ist, dass Cyberkriminelle die inhärente Vertrauenswürdigkeit und Zuverlässigkeit beliebter und weit verbreiteter Online-Dienste ausnutzen. Diese Dienste umfassen beispielsweise Cloud-Speicherplattformen, soziale Netzwerke, Code-Repositories, Kollaborationswerkzeuge und andere Online-Ressourcen, die im alltäglichen Geschäftsbetrieb und in der Softwareentwicklung häufig verwendet werden.
Beispiele für LOTS-Aktivitäten:
- Speicherung und Verteilung von Malware über Cloud-Speicherplattformen wie Google Drive, Dropbox oder Microsoft OneDrive.
- Kommunikation und Command-and-Control (C2)-Operationen über beliebte Messaging-Apps oder soziale Netzwerke.
- Nutzung von Code-Repositories wie GitHub oder GitLab für die Speicherung bösartiger Skripte oder als Teil der Infrastruktur für Cyberangriffe.
- Einsatz von Kollaborationsplattformen wie Trello oder Slack für die Koordination von Angriffen oder Informationsaustausch zwischen Angreifern.
- Verwendung von Online-Code-Editoren und IDEs für die Entwicklung und Verteilung von Malware.
- Missbrauch von CI/CD-Pipelines (Continuous Integration/Continuous Deployment) für die Automatisierung von Angriffsprozessen.
Die Herausforderung bei der Abwehr von LOTS-Angriffen liegt darin, dass die genutzten Plattformen und Dienste an sich legitim und für viele Unternehmen unverzichtbar sind. Daher ist es schwierig, bösartige Aktivitäten von normalem Verkehr zu unterscheiden. Um LOTS-Angriffe zu erkennen und abzuwehren, ist eine Kombination aus fortgeschrittener Netzwerküberwachung, Verhaltensanalyse und einem tiefen Verständnis der normalen Nutzungsmuster der verwendeten Dienste erforderlich.
LOTS Attacken erkennen und abwehren
Das Erkennen von „Living-Off-Trusted-Sites“ (LOTS)-Angriffen kann herausfordernd sein, da die Angreifer legitime Dienste nutzen, die in der täglichen Geschäftsumgebung häufig verwendet werden. Hier sind einige Strategien und Techniken, die helfen können, LOTS-Angriffe zu erkennen:
- Anomalieerkennung in Netzwerkverkehr und -aktivitäten: Überwachung des Netzwerkverkehrs auf ungewöhnliche Muster oder Anomalien, wie zum Beispiel unerwartete Zugriffe auf bestimmte vertrauenswürdige Websites oder Dienste, die nicht zur normalen Geschäftstätigkeit gehören.
- Verhaltensbasierte Analyse: Nutzen von Systemen, die das Verhalten von Benutzern und Netzwerkaktivitäten analysieren, um Abweichungen vom normalen Verhalten zu identifizieren, wie untypische Datei-Uploads oder -Downloads auf vertrauenswürdigen Sites.
- Überprüfung von Sicherheits- und Applikationslogs: Detaillierte Untersuchung von Logs, um verdächtige Aktivitäten zu identifizieren, wie ungewöhnliche Anfragen oder Interaktionen mit externen Diensten.
- Erweiterte Endpunktüberwachung: Einsatz von Tools zur Endpunktüberwachung, die verdächtige Prozesse erkennen können, insbesondere solche, die mit vertrauenswürdigen Online-Diensten interagieren.
- Phishing-Erkennung und -Schutz: Implementierung von Anti-Phishing-Lösungen, um Benutzer vor betrügerischen Links zu schützen, die sie auf kompromittierte oder bösartige Seiten führen könnten.
- Mitarbeiterschulung und -bewusstsein: Regelmäßige Schulung der Mitarbeiter, um sie über die Risiken von Phishing-Angriffen und den sicheren Umgang mit E-Mails und Online-Diensten aufzuklären.
- Einsatz von Threat Intelligence: Nutzung von Threat Intelligence-Diensten, um über bekannte bösartige Domains, IP-Adressen und Indikatoren für Kompromittierungen (IoCs) auf dem Laufenden zu bleiben.
- Sicherheitsbewertung und -auditierung: Regelmäßige Überprüfung und Auditierung der Sicherheitskonfigurationen und -richtlinien, um sicherzustellen, dass sie aktuelle Bedrohungen abdecken und effektiv implementiert sind.
- Korrelation und Analyse von Sicherheitsereignissen: Einsatz von Security Information and Event Management (SIEM)-Systemen, um Daten aus verschiedenen Quellen zu korrelieren und umfassende Analysen durchzuführen.
- Zero-Trust-Sicherheitsmodell: Implementierung eines Zero-Trust-Sicherheitsmodells, das davon ausgeht, dass jede Anfrage, unabhängig von ihrer Herkunft, potenziell gefährlich sein könnte.
Durch die Kombination dieser Techniken können Organisationen besser auf LOTS-Angriffe vorbereitet sein und diese effektiver erkennen und darauf reagieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: