Was sind Living-off-the-Land-Angriffe (LotL)?

Oft ist das Offensichtliche die grösste Bedrohung. Erfahren Sie im Beitrag von Security Experte Mathias Gut, welche Taktik sich hinter Living-off-the-Land-Angriffen verbirgt und mit welchen 3 grundlegenden Massnahmen sich Organisationen schützen.

AutorMathias Gut
Datum20.12.2021
Lesezeit9 Minuten

Clevere Cyber-Kriminelle sind zielorientiert und manchmal faul zugleich. Denn, warum sollte sich ein krimineller Akteur mit komplexen Angriffstechniken auseinandersetzen, wenn es mit einfachen und sogar offensichtlichen Wegen geht. Oder würden Sie versuchen einen massiven Tresor mit brachialen Mitteln zu knacken, wenn der Zugangscode direkt an der Tresortür angeheftet ist?

Eine dieser simplen, aber oft unterschätzten Techniken sind Living-off-the-Land-Angriffe (LotL). In diesem Beitrag gebe ich Ihnen erste Einblicke ins Living-off-the-Land-Hacking. Anhand eines fiktiven Beispiels zeige ich Ihnen, wie sich Computersysteme durch LotL-Angriffe mit bereits auf dem Computersystem befindlichen Mitteln, sog. «Boardmitteln», ohne grossen Aufwand knacken lassen und mit welchen grundsätzlichen Massnahmen Sie sich dagegen schützen können.

Was sind Living-off-the-Land-Angriffe?

«Living off the land» bedeutet von Ressourcen zu leben, die in der Natur bereits vorhanden sind. Dem Wortsinn entsprechend nutzen Living-off-the-Land-Angriffe Standard-Apps und Standard-Prozesse auf dem Computer ihrer Opfer, um Phishing-Aktivitäten zu tarnen.

«Living off the land» bedeutet von Ressourcen zu leben, die in der Natur bereits vorhanden sind. Dem Wortsinn entsprechend nutzen Living-off-the-Land-Angriffe Standard-Apps und Standard-Prozesse auf dem Computer ihrer Opfer, um Phishing-Aktivitäten zu tarnen.

Auf Windows Systemen gehören diese nützlichen «Boardmittel» sogar zum Alltag vieler IT-Administratoren. Dabei werden Tools wie die PowerShell- oder die Windows-Eingabeaufforderung (kurz: CMD.exe) mit ihren vielen Befehlen und Erweiterungen genutzt.

Aus meiner Erfahrung als Sicherheitsanalyst wird der PowerShell sicherheitstechnisch meist mehr Beachtung geschenkt als der CMD.exe. So ist es nicht verwunderlich, dass ich bei Sicherheitstests vielfach über die CMD.exe meine Ziele erreiche.

Dazu verwende ich aus Sicht der Systemkontrolle unauffällige Eingaben, so als würden diese vom Nutzer selbst, respektive von einem höher privilegierten Administrator berechtigterweise ausgeführt. Auf anderen Betriebssystemen gibt es ähnliche Möglichkeiten, ich widme mich hier jedoch hauptsächlich Techniken für die weit verbreiteten mit Windows betriebenen Computersysteme.

Living-off-the-Land-Attacken verstehen – ein fiktives Beispiel

Damit auch Personen ohne IT-Background gut folgen können, erkläre ich im nächsten Abschnitt den Inhalt der Lesbarkeit halber auch mit nicht-technischen Begriffen. (Bitte mit einem Augenzwinkern lesen.)

Ein Computer funktioniert einfach ausgedrückt nach dem Schema Eingabe-Verarbeitung-Ausgabe (kurz: EVA-Prinzip). Damit also etwas auf unserem Rechner passiert, braucht es eine Eingabe. (Diese Eingabe will bei Problemen dann in der Regel niemand getätigt haben – das ist jedoch eine ganz andere Geschichte ;))

Stellen Sie sich nun vor, dass Sie durch eine Eingabe ungebeten mit einem Verschlüsselungstrojaner Bekanntschaft machen. Ich weiss, die Vorstellung ist schon grundsätzlich unangenehm, daher dürfen Sie sich auch vorstellen, dass nicht Sie, sondern eine Ihnen schon immer unsympathische Person die initiale Eingabe getätigt hat.

Wird nun dieses ungebetene schadhafte Programm ausgeführt, wird es versuchen alle zugreifbaren Daten mit modernen Verschlüsselungstechniken für Sie oder Ihre fiktive Person unlesbar zu machen. Zumindest so lange bis für die Herausgabe des entsprechenden Schlüssels eine hohe Summe, meist in Kryptowährung, als Belohnung für kriminelle Machenschaften gezahlt wird. (Diese Bezahlung sollten Sie übrigens vermeiden, denn nur so lebt dieses profitable Geschäftsmodell munter weiter.)

Gehen wir nun an den Anfang der Geschichte. Hier starten wir mit der Eingabe. Durch eine gute Sensibilisierung in Sicherheitsfragen, allenfalls durch meine Awareness-Schulungen (kleine Werbeeinblendung in eigener Sache) klicken zumindest Sie nicht auf die neue App, das zugesandte Dokument oder auf den vermeintlich unauffälligen Link und haben somit keine initiale Eingabe getätigt.

Sollte dies unerwarteter Weise trotzdem passieren, werden Sie glücklicherweise meist auf dem Weg zur vollständigen Verseuchung auffällig und manchmal auch diskreter vom Computer auf Sicherheitsbedenken hingewiesen. Da ein seriöses Antiviren-Programm zusätzlich mitdenkt, ist immer noch ein Notnagel vorhanden, denken viele. Stimmt. Wenn es sich um einen bereits bekannten Schadcode oder ein direkt erkennbares schadhaftes Verhalten handelt, sind moderne Sicherheitslösungen bei der Erkennung heute in der Regel sehr treffsicher.

Was aber, wenn die Eingaben aus Sicht des Systems und der zusätzlichen Sicherheitslösungen erstens, normal aussehen und zweitens, die dabei genutzten Anwendungen allesamt als «gutartig» bekannt sind oder gar zur Grundausstattung gehören? Genau, dann sprechen wir von Living-off-the-Land-Hacking, also der Nutzung von bereits auf dem Computersystem befindlichen Mitteln.

Nun ist die Begrifflichkeit des Living-off-the-Land-Hackings in diesem Kontext erklärt und wir können uns in den folgenden Blogbeiträgen den technischen Themen widmen. Ich möchte trotzdem bereits an dieser Stelle im nächsten Abschnitt generell nützliche Schutzmassnahmen vorstellen.

DigiSnack-Webinar zu Living-off-the-Land-Attacken verpasst? Jetzt Nachschauen

Gehen Sie im aufgezeichneten DigiSnack-Webinar der Frage nach, wie schwierig es ist, sich mit Living-off-the-Land-Angriffen Zugriff auf Computersysteme zu verschaffen. Um diese Frage zu beantworten, lädt Sie Security Experte Mathias Gut in sein eigenes Hacking-Lab ein und zeigt anhand praktischer Beispiele wirkungsvolle Analysen und Verteidigungstaktiken. 

Ansehen »

Gehen Sie im aufgezeichneten DigiSnack-Webinar der Frage nach, wie schwierig es ist, sich mit Living-off-the-Land-Angriffen Zugriff auf Computersysteme zu verschaffen. Um diese Frage zu beantworten, lädt Sie Security Experte Mathias Gut in sein eigenes Hacking-Lab ein und zeigt anhand praktischer Beispiele wirkungsvolle Analysen und Verteidigungstaktiken. 

Ansehen »

3 Massnahmen zur Eindämmung von Living-off-the-Land-Angriffen

Neben dem IT-Grundschutz werden insbesondere die Ansätze des expliziten Whitelistings und die gezielte Reduktion der Infektionswege angesichts Living-off-the-Land-Angriffen künftig noch wichtiger.

1 Massnahmen des IT-Grundschutz nach BSI-Standards

Der IT-Grundschutz nach bewährten BSI-Standards liefert insbesondere KMU die Grundlage und einen Werkzeugkasten für den Aufbau eines ganzheitlichen Informationssicherheits-Managementsystem (ISMS). Er umfasst neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Fragen und ermöglicht ein systematisches Vorgehen, um die notwendigen Sicherheitsmassnahmen zu erkennen und umzusetzen.

2 Explizites Applikations-Whitelisting

Gut sind dabei nur noch Anwendungen, die als gutartig gekennzeichnet werden. Dies kann durch manuelles Hinzufügen bekannter Software zur Whitelist, aber auch automatisch durch Kontrolle von Code-Signaturen, Reputations-Lösungen und streng vorgegebenen Installationsquellen erfolgen. Alle anderen Anwendungen sind durch das System zunächst generell als böse zu betrachten und können weder installiert noch in irgendeiner Form ausgeführt werden. So kann sich eine per Mail-Anhang gesandte Malware nicht mehr aktivieren, selbst wenn der Nutzer den Anhang bewusst ausführt. Zusätzlich empfehlenswert ist eine Kombination des Whitelistings mit aktiven Einschränkungen der durch Anwendungen getätigten Netzzugriffe.

3 Eingeschränkte Benutzerrechte

Zusätzlich bleibt das Arbeiten mit eingeschränkten Benutzerrechten inklusive starker Authentisierung eine Grundvoraussetzung für sichere Systeme. In Zeiten zunehmender Cloud-Nutzung ist zusätzlich ein zweiter Sicherheitsfaktor, d.h. die Anmeldung mit Benutzernamen, Passwort und einem weiteren Faktor, wie einer Authentication App unumgänglich geworden.

Empfohlene Kursangebote zum Start in die Cyber Security Analyse

Cyber Security Analyst & Investigator («CSA1»)

Für alle, die sich tiefgehender mit LotL & weiteren Cybergefahren auseinandersetzen möchten, empfiehlt sich zum Einstieg dieser Hands-on-Kurs. Im Hacking Lab erlernen Sie praxisnah, wie Sie Cyberangriffe systematisch aufdecken. Mehr Info »


CAS Cyber Security Analytics & Defense Expert («CSACAS»)

In diesem anspruchsvollen Lehrgang erhalten IT-Spezialisten das nötige Rüstzeug, um komplexe Angriffsszenarien schnell zu erkennen und zu bewerten. Neben Analysetechniken & Methoden erlernen Sie offensive Angriffstechniken, um gezielt  Abwehrmassnahmen zu empfehlen. Mehr Info »

Cyber Security Analyst & Investigator («CSA1»)

Für alle, die sich tiefgehender mit LotL & weiteren Cybergefahren auseinandersetzen möchten, empfiehlt sich zum Einstieg dieser Hands-on-Kurs. Im Hacking Lab erlernen Sie praxisnah, wie Sie Cyberangriffe systematisch aufdecken. Mehr Info »


CAS Cyber Security Analytics & Defense Expert («CSACAS»)

In diesem anspruchsvollen Lehrgang erhalten IT-Spezialisten das nötige Rüstzeug, um komplexe Angriffsszenarien schnell zu erkennen und zu bewerten. Neben Analysetechniken & Methoden erlernen Sie offensive Angriffstechniken, um gezielt  Abwehrmassnahmen zu empfehlen. Mehr Info »


Über den Autor

Mathias Gut

Mathias Gut setzt sich als IT-Sicherheitsspezialist täglich für die Sicherheit in der digitalen Welt ein. Er ist Gründungsmitglied und Miteigentümer der im Jahr 2001 gegründeten Netchange Informatik GmbH, die sich im Bereich sicherer IT-Infrastrukturen positioniert. Er beschäftigt sich beruflich mit aktuellen Hacking-Methoden, um damit verbundene Cyberrisiken bei Kunden zu minimieren und den Schutz der bereits eingesetzten Massnahmen auf ihre Wirksamkeit zu überprüfen. In seiner Arbeit sind ihm praxisnahe und umsetzbare Lösungen besonders wichtig. Seine langjährige Tätigkeit als Dozent in der IT mit Schwerpunkt auf der Informationssicherheit runden sein Profil ab. Er ist Kusleiter bei Digicomp und Initiator der Kursrehie «IT-Sicherheitsverantwortlicher – Security Professional».