Cyberkriminelle müssen für ihre Attacken keine spezielle Malware mehr schreiben. Es ist oftmals günstiger, einfacher und effektiver, sich die eigene Infrastruktur eines Unternehmens zunutze zu machen. Bei dieser als „Living off the Land“ bezeichneten Strategie nutzen die Bedrohungsakteure die in der digitalen Umgebung des attackierten Unternehmens vorhandenen Möglichkeiten, um ihre Cyber-Kill-Chain abzuarbeiten.

Zu den Tools, die am häufigsten für schädliche Zwecke missbraucht werden, gehören Powershell, Windows Management Interface (WMI) und PsExec. Diese Tools werden von Netzwerkadministratoren regelmäßig für Routineaufgaben genutzt. Traditionelle Sicherheitstools, die auf statischen Regeln und Signaturen basieren, können nur schwer zwischen einer legitimen und einer schädlichen Nutzung unterscheiden.

Der Begriff wurde bereits 2013 geprägt, aber erst in den letzten Jahren haben sich „Living off the Land“-Tools, -Techniken und -Verfahren (TTPs) massiv ausgebreitet. Das liegt teilweise daran, dass der traditionelle Ansatz für defensive Sicherheit – Blocklisting von Dateihashes, Domains und anderen Bedrohungselementen, die bei früheren Angriffen festgestellt wurden – nicht für die Abwehr solcher Angriffe geeignet ist. Diese getarnten, häufig dateilosen Angriffe sind mittlerweile keine Seltenheit mehr.

In der Vergangenheit standen „Living off the Land“-Angriffe häufig in Verbindung mit hochgradig organisierten, gezielten Hacking-Attacken. APT-Gruppen nutzen schon lange „Living off the Land“-TTPs, weil für sie Unsichtbarkeit oberste Priorität hat. Es sind Trends zu beobachten, dass Ransomware-Gruppen zunehmend auf vom Menschen gesteuerte Ransomware zurückgreifen, die in hohem Maße auf „Living off the Land“-Techniken basiert, anstatt auf Commodity-Malware.

Die Merkmale eines „Living off the Land“-Angriffs

Bevor ein Bedrohungsakteur Ihre Infrastruktur bei einem „Living off the Land“-Angriff gegen Sie verwenden kann, braucht er die Gelegenheit, Befehle auf einem Zielsystem auszuführen. Daher gehen einer „Living off the Land“-Attacke die Auskundschaftung des Netzwerks, laterale Bewegung und das Einnisten voraus.

Sobald ein Gerät infiziert ist, stehen dem Angreifer Hunderte Systemtools zur Verfügung – diese können bereits auf dem System installiert sein oder werden über von Microsoft signierte Binaries heruntergeladen. Auch andere Third-Party-Administrationstools im Netzwerk können, wenn sie in die falschen Hände gelangen, vom Freund zum Feind werden.

Da sich die „Living off the Land“-Techniken ständig weiterentwickeln, ist es schwierig, einen typischen Angriff zu beschreiben. Wir können diese TTPs jedoch in Hauptkategorien einteilen:

„Living off the Land“-TTPs mit Microsoft-Signatur

Microsoft ist in der Geschäftswelt und in jeder Branche allgegenwärtig. Im Rahmen des LOLBAS-Projekts (Living off the Land Binaries and Scripts) sollen alle Binaries und Scripts mit Microsoft-Signatur dokumentiert werden, die von APT-Gruppen für „Living off the Land“-Angriffe missbraucht werden könnten. Bislang stehen 135 potenziell gefährdete Systemtools auf der Liste, die jeweils unterschiedliche Angriffsvektoren erschließen. Das könnte die Erstellung neuer Benutzerkonten, Datenkomprimierung und Exfiltration, das Sammeln von Systeminformationen, das Starten von Prozessen auf dem Zielsystem oder auch die Deaktivierung von Sicherheitsservices sein. Sowohl die Microsoft-Dokumentation gefährdeter vorinstallierter Tools als auch LOLBAS sind fortlaufende Projekte, die keinen Anspruch auf Vollständigkeit erheben können.

Befehlszeile

Für die Installation der schädlichen Payload im Zielsystem haben die Angreifer laut einer aktuellen Studie am häufigsten WMI (WMIC.exe), das Befehlszeilentool (cmd.exe) und PowerShell (powershell.exe) genutzt. Diese Befehlszeilentools werden normalerweise für die Konfiguration von Sicherheitseinstellungen und Systemeigenschaften genutzt, stellen sensible Updates zum Netzwerk- oder Gerätestatus bereit und erleichtern die Übertragung und Ausführung von Dateien zwischen Geräten.

Die Befehlszeilen-Gruppe weist im Wesentlichen drei Hauptmerkmale auf:

1. Die Tools sind in Windows-Systemen frei verfügbar.
2. Sie werden von den meisten Administratoren oder internen Prozessen genutzt, um tägliche Aufgaben zu erledigen.
3. Sie können ihre Kernfunktionen ausführen, ohne dass sie Daten auf eine Festplatte schreiben müssen.

Mimikatz

Mimikatz unterscheidet sich von anderen Tools darin, dass es auf den meisten Systemen nicht vorinstalliert ist. Es handelt sich um ein Open-Source-Dienstprogramm, das zum Auslesen (Dumping) zwischengespeicherter Passwörter, Hashes, PINs und Kerberos-Tickets verwendet wird. Es gibt Netzwerkadministratoren, die Mimikatz für interne Schwachstellenanalysen nutzen, allerdings ist das Tool Standardprogramm auf Windows-Systemen.

Traditionelle Sicherheitsansätze sind häufig nicht in der Lage, den Download, die Installation und die Verwendung von Mimikatz zu erkennen. Es gibt ein breites Spektrum von verifizierten und dokumentierten Techniken für die Tarnung von Tools wie Mimikatz, sodass selbst ein unerfahrener Angreifer eine einfache string- oder hashbasierte Erkennung umgehen kann.

Selbstlernende KI bekämpft „Living off the Land“-Angriffe

„Living off the Land“-Techniken sind extrem effizient, weil sich die Angreifer unter das Gesehen in den digitalen Umgebungen des Unternehmens mischen können. Es ist ganz normal, dass in einem einzelnen digitalen Ökosystem tagtäglich Millionen Zugangsdaten, Netzwerktools und Prozesse verwendet werden. Wie lässt sich in diesem digitalen Getümmel eine schädliche Nutzung legitimer Tools erkennen?

Wie bei den meisten Bedrohungen ist eine grundlegende Netzwerkhygiene der erste Schritt. Dazu gehören die Anwendung des Least-Privilege-Prinzips, die Deaktivierung aller überflüssigen Programme, die Einrichtung von Software-Whitelists und die Bestandskontrolle von Assets und Anwendungen. Diese Maßnahmen sind jedoch nur ein Schritt in die richtige Richtung. Mit etwas Zeit schafft es ein raffinierter Angreifer, diese zu umgehen.

Selbstlernende KI-Technologie hat sich zu einem wichtigen Tool entwickelt, um Angreifer aufzuspüren, die die Infrastruktur eines Unternehmens zu dessen Nachteil verwenden wollen. Sie macht sich von Grund auf ein Bild von der individuellen digitalen Umgebung und lernt die normalen Verhaltensmuster, die „Patterns of Life“, jedes Geräts und Benutzers kennen. „Living off the Land“-Angriffe werden daher in Echtzeit identifiziert, weil die KI subtile Abweichungen erkennt. Das kann zum Beispiel die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB/DCE-RPC-Traffic sein.

Dadurch, dass die KI das Unternehmen genau kennt, spürt sie Angriffe auf, die sich unter dem Radar anderer Tools bewegen. Bei einem „Living off the Land“-Angriff erkennt die KI, dass die Nutzung eines bestimmten Tools für ein Unternehmen zwar normal ist, die Art und Weise der Verwendung jedoch nicht. So kann die KI Verhaltensweisen, die oberflächlich betrachtet legitim erscheinen, eindeutig als schädlich identifizieren.

Ein Beispiel: Die selbstlernende KI beobachtet, dass auf mehreren Geräten häufig Powershell-User-Agents eingesetzt werden. Es wird jedoch nur dann ein Vorfall gemeldet, wenn der User-Agent zu einer ungewöhnlichen Zeit auf einem Gerät beobachtet wird.

Oder Darktrace stellt fest, dass tagtäglich WMI-Befehle zwischen Tausenden von Gerätekombinationen hin und her geschickt werden. Diese Aktivität wird jedoch nur dann gemeldet, wenn die Befehle sowohl für das Quell- als auch das Zielgerät ungewöhnlich sind.

Auch subtile Hinweise auf einen Missbrauch von Mimikatz, wie die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB-Traffic, werden aus dem normalen Geschehen in der Infrastruktur herausgefiltert.

„Living off the Land“-Techniken werden uns vorerst erhalten bleiben. Vor diesem Hintergrund verabschieden sich Sicherheitsteams nach und nach von herkömmlichen Sicherheitstools, die versuchen, anhand historischer Angriffsdaten neue Angriffe zu erkennen. Stattdessen setzen sie auf KI, die sich fortlaufend ein Bild von ihrer Umgebung macht und dadurch subtile Abweichungen erkennt, die auf eine Bedrohung hindeuten – selbst wenn dies legitime Tools betrifft.

Vielen Dank an unsere Darktrace Analysten Isabel Finn und Paul Jennings für die Einblicke in diesen Bedrohungsfall und ihren Beitrag zum MITRE ATT&CK-Mapping.

Learn more about Self-Learning AI