Was sind Living-off-the-Land-Angriffe (LotL)?
Oft ist das Offensichtliche die grösste Bedrohung. Erfahren Sie im Beitrag von Security Experte Mathias Gut, welche Taktik sich hinter Living-off-the-Land-Angriffen verbirgt und mit welchen 3 grundlegenden Massnahmen sich Organisationen schützen.
Clevere Cyber-Kriminelle sind zielorientiert und manchmal faul zugleich. Denn, warum sollte sich ein krimineller Akteur mit komplexen Angriffstechniken auseinandersetzen, wenn es mit einfachen und sogar offensichtlichen Wegen geht. Oder würden Sie versuchen einen massiven Tresor mit brachialen Mitteln zu knacken, wenn der Zugangscode direkt an der Tresortür angeheftet ist?
Eine dieser simplen, aber oft unterschätzten Techniken sind Living-off-the-Land-Angriffe (LotL). In diesem Beitrag gebe ich Ihnen erste Einblicke ins Living-off-the-Land-Hacking. Anhand eines fiktiven Beispiels zeige ich Ihnen, wie sich Computersysteme durch LotL-Angriffe mit bereits auf dem Computersystem befindlichen Mitteln, sog. «Boardmitteln», ohne grossen Aufwand knacken lassen und mit welchen grundsätzlichen Massnahmen Sie sich dagegen schützen können.
Auf Windows Systemen gehören diese nützlichen «Boardmittel» sogar zum Alltag vieler IT-Administratoren. Dabei werden Tools wie die PowerShell- oder die Windows-Eingabeaufforderung (kurz: CMD.exe) mit ihren vielen Befehlen und Erweiterungen genutzt.
Aus meiner Erfahrung als Sicherheitsanalyst wird der PowerShell sicherheitstechnisch meist mehr Beachtung geschenkt als der CMD.exe. So ist es nicht verwunderlich, dass ich bei Sicherheitstests vielfach über die CMD.exe meine Ziele erreiche.
Dazu verwende ich aus Sicht der Systemkontrolle unauffällige Eingaben, so als würden diese vom Nutzer selbst, respektive von einem höher privilegierten Administrator berechtigterweise ausgeführt. Auf anderen Betriebssystemen gibt es ähnliche Möglichkeiten, ich widme mich hier jedoch hauptsächlich Techniken für die weit verbreiteten mit Windows betriebenen Computersysteme.
Living-off-the-Land-Attacken verstehen – ein fiktives Beispiel
Damit auch Personen ohne IT-Background gut folgen können, erkläre ich im nächsten Abschnitt den Inhalt der Lesbarkeit halber auch mit nicht-technischen Begriffen. (Bitte mit einem Augenzwinkern lesen.)
Ein Computer funktioniert einfach ausgedrückt nach dem Schema Eingabe-Verarbeitung-Ausgabe (kurz: EVA-Prinzip). Damit also etwas auf unserem Rechner passiert, braucht es eine Eingabe. (Diese Eingabe will bei Problemen dann in der Regel niemand getätigt haben – das ist jedoch eine ganz andere Geschichte ;))
Stellen Sie sich nun vor, dass Sie durch eine Eingabe ungebeten mit einem Verschlüsselungstrojaner Bekanntschaft machen. Ich weiss, die Vorstellung ist schon grundsätzlich unangenehm, daher dürfen Sie sich auch vorstellen, dass nicht Sie, sondern eine Ihnen schon immer unsympathische Person die initiale Eingabe getätigt hat.
Wird nun dieses ungebetene schadhafte Programm ausgeführt, wird es versuchen alle zugreifbaren Daten mit modernen Verschlüsselungstechniken für Sie oder Ihre fiktive Person unlesbar zu machen. Zumindest so lange bis für die Herausgabe des entsprechenden Schlüssels eine hohe Summe, meist in Kryptowährung, als Belohnung für kriminelle Machenschaften gezahlt wird. (Diese Bezahlung sollten Sie übrigens vermeiden, denn nur so lebt dieses profitable Geschäftsmodell munter weiter.)
Gehen wir nun an den Anfang der Geschichte. Hier starten wir mit der Eingabe. Durch eine gute Sensibilisierung in Sicherheitsfragen, allenfalls durch meine Awareness-Schulungen (kleine Werbeeinblendung in eigener Sache) klicken zumindest Sie nicht auf die neue App, das zugesandte Dokument oder auf den vermeintlich unauffälligen Link und haben somit keine initiale Eingabe getätigt.
Sollte dies unerwarteter Weise trotzdem passieren, werden Sie glücklicherweise meist auf dem Weg zur vollständigen Verseuchung auffällig und manchmal auch diskreter vom Computer auf Sicherheitsbedenken hingewiesen. Da ein seriöses Antiviren-Programm zusätzlich mitdenkt, ist immer noch ein Notnagel vorhanden, denken viele. Stimmt. Wenn es sich um einen bereits bekannten Schadcode oder ein direkt erkennbares schadhaftes Verhalten handelt, sind moderne Sicherheitslösungen bei der Erkennung heute in der Regel sehr treffsicher.
Was aber, wenn die Eingaben aus Sicht des Systems und der zusätzlichen Sicherheitslösungen erstens, normal aussehen und zweitens, die dabei genutzten Anwendungen allesamt als «gutartig» bekannt sind oder gar zur Grundausstattung gehören? Genau, dann sprechen wir von Living-off-the-Land-Hacking, also der Nutzung von bereits auf dem Computersystem befindlichen Mitteln.
Nun ist die Begrifflichkeit des Living-off-the-Land-Hackings in diesem Kontext erklärt und wir können uns in den folgenden Blogbeiträgen den technischen Themen widmen. Ich möchte trotzdem bereits an dieser Stelle im nächsten Abschnitt generell nützliche Schutzmassnahmen vorstellen.
3 Massnahmen zur Eindämmung von Living-off-the-Land-Angriffen
Neben dem IT-Grundschutz werden insbesondere die Ansätze des expliziten Whitelistings und die gezielte Reduktion der Infektionswege angesichts Living-off-the-Land-Angriffen künftig noch wichtiger.
1 Massnahmen des IT-Grundschutz nach BSI-Standards
Der IT-Grundschutz nach bewährten BSI-Standards liefert insbesondere KMU die Grundlage und einen Werkzeugkasten für den Aufbau eines ganzheitlichen Informationssicherheits-Managementsystem (ISMS). Er umfasst neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Fragen und ermöglicht ein systematisches Vorgehen, um die notwendigen Sicherheitsmassnahmen zu erkennen und umzusetzen.
2 Explizites Applikations-Whitelisting
Gut sind dabei nur noch Anwendungen, die als gutartig gekennzeichnet werden. Dies kann durch manuelles Hinzufügen bekannter Software zur Whitelist, aber auch automatisch durch Kontrolle von Code-Signaturen, Reputations-Lösungen und streng vorgegebenen Installationsquellen erfolgen. Alle anderen Anwendungen sind durch das System zunächst generell als böse zu betrachten und können weder installiert noch in irgendeiner Form ausgeführt werden. So kann sich eine per Mail-Anhang gesandte Malware nicht mehr aktivieren, selbst wenn der Nutzer den Anhang bewusst ausführt. Zusätzlich empfehlenswert ist eine Kombination des Whitelistings mit aktiven Einschränkungen der durch Anwendungen getätigten Netzzugriffe.
3 Eingeschränkte Benutzerrechte
Zusätzlich bleibt das Arbeiten mit eingeschränkten Benutzerrechten inklusive starker Authentisierung eine Grundvoraussetzung für sichere Systeme. In Zeiten zunehmender Cloud-Nutzung ist zusätzlich ein zweiter Sicherheitsfaktor, d.h. die Anmeldung mit Benutzernamen, Passwort und einem weiteren Faktor, wie einer Authentication App unumgänglich geworden.