Was sind Living-off-the-Land-Angriffe (LotL)?
Oft ist das Offensichtliche die grösste Bedrohung. Erfahre im Beitrag von Security Experte Mathias Gut, welche Taktik sich hinter Living-off-the-Land-Angriffen verbirgt und mit welchen drei grundlegenden Massnahmen sich Organisationen schützen.
Clevere Cyber-Kriminelle sind zielorientiert und manchmal faul zugleich. Denn, warum sollte sich ein krimineller Akteur mit komplexen Angriffstechniken auseinandersetzen, wenn es mit einfachen und sogar offensichtlichen Wegen geht. Oder würdest du versuchen einen massiven Tresor mit brachialen Mitteln zu knacken, wenn der Zugangscode direkt an der Tresortür angeheftet ist?
Eine dieser simplen, aber oft unterschätzten Techniken sind Living-off-the-Land-Angriffe (LotL). In diesem Beitrag gebe ich dir erste Einblicke ins Living-off-the-Land-Hacking. Anhand eines fiktiven Beispiels zeige ich dir, wie sich Computersysteme durch LotL-Angriffe mit bereits auf dem Computersystem befindlichen Mitteln, sog. «Boardmitteln», ohne grossen Aufwand knacken lassen und mit welchen grundsätzlichen Massnahmen du dich dagegen schützen kannst.
Auf Windows Systemen gehören diese nützlichen «Boardmittel» sogar zum Alltag vieler IT-Administrator/innen. Dabei werden Tools wie die PowerShell- oder die Windows-Eingabeaufforderung (kurz: CMD.exe) mit ihren vielen Befehlen und Erweiterungen genutzt.
Aus meiner Erfahrung als Sicherheitsanalyst wird der PowerShell sicherheitstechnisch meist mehr Beachtung geschenkt als der CMD.exe. So ist es nicht verwunderlich, dass ich bei Sicherheitstests vielfach über die CMD.exe meine Ziele erreiche.
Dazu verwende ich aus Sicht der Systemkontrolle unauffällige Eingaben, so als würden diese vom Nutzer/innen selbst, respektive von einem höher privilegierten Administrator/innen berechtigterweise ausgeführt. Auf anderen Betriebssystemen gibt es ähnliche Möglichkeiten, ich widme mich hier jedoch hauptsächlich Techniken für die weit verbreiteten mit Windows betriebenen Computersysteme.
Living-off-the-Land-Attacken verstehen – ein fiktives Beispiel
Damit auch Personen ohne IT-Background gut folgen können, erkläre ich im nächsten Abschnitt den Inhalt der Lesbarkeit halber auch mit nicht-technischen Begriffen. (Bitte mit einem Augenzwinkern lesen.)
Ein Computer funktioniert einfach ausgedrückt nach dem Schema Eingabe-Verarbeitung-Ausgabe (kurz: EVA-Prinzip). Damit also etwas auf unserem Rechner passiert, braucht es eine Eingabe. (Diese Eingabe will bei Problemen dann in der Regel niemand getätigt haben – das ist jedoch eine ganz andere Geschichte ;))
Stell dir nun vor, dass du durch eine Eingabe ungebeten mit einem Verschlüsselungstrojaner Bekanntschaft machst. Ich weiss, die Vorstellung ist schon grundsätzlich unangenehm, daher darfst du dir auch vorstellen, dass nicht du, sondern eine dir schon immer unsympathische Person die initiale Eingabe getätigt hat.
Wird nun dieses ungebetene schadhafte Programm ausgeführt, wird es versuchen alle zugreifbaren Daten mit modernen Verschlüsselungstechniken für dich oder deine fiktive Person unlesbar zu machen. Zumindest so lange bis für die Herausgabe des entsprechenden Schlüssels eine hohe Summe, meist in Kryptowährung, als Belohnung für kriminelle Machenschaften gezahlt wird. (Diese Bezahlung solltest du übrigens vermeiden, denn nur so lebt dieses profitable Geschäftsmodell munter weiter.)
Gehen wir nun an den Anfang der Geschichte. Hier starten wir mit der Eingabe. Durch eine gute Sensibilisierung in Sicherheitsfragen, allenfalls durch meine Awareness-Schulungen (kleine Werbeeinblendung in eigener Sache) klickst du zumindest nicht auf die neue App, das zugesandte Dokument oder auf den vermeintlich unauffälligen Link und hast somit keine initiale Eingabe getätigt.
Sollte dies unerwarteter Weise trotzdem passieren, wirst du glücklicherweise meist auf dem Weg zur vollständigen Verseuchung auffällig und manchmal auch diskreter vom Computer auf Sicherheitsbedenken hingewiesen. Da ein seriöses Antiviren-Programm zusätzlich mitdenkt, ist immer noch ein Notnagel vorhanden, denken viele. Stimmt. Wenn es sich um einen bereits bekannten Schadcode oder ein direkt erkennbares schadhaftes Verhalten handelt, sind moderne Sicherheitslösungen bei der Erkennung heute in der Regel sehr treffsicher.
Was aber, wenn die Eingaben aus Sicht des Systems und der zusätzlichen Sicherheitslösungen erstens, normal aussehen und zweitens, die dabei genutzten Anwendungen allesamt als «gutartig» bekannt sind oder gar zur Grundausstattung gehören? Genau, dann sprechen wir von Living-off-the-Land-Hacking, also der Nutzung von bereits auf dem Computersystem befindlichen Mitteln.
Nun ist die Begrifflichkeit des Living-off-the-Land-Hackings in diesem Kontext erklärt und wir können uns in den folgenden Blogbeiträgen den technischen Themen widmen. Ich möchte trotzdem bereits an dieser Stelle im nächsten Abschnitt generell nützliche Schutzmassnahmen vorstellen.
3 Massnahmen zur Eindämmung von Living-off-the-Land-Angriffen
Neben dem IT-Grundschutz werden insbesondere die Ansätze des expliziten Whitelistings und die gezielte Reduktion der Infektionswege angesichts Living-off-the-Land-Angriffen künftig noch wichtiger.
1 Massnahmen des IT-Grundschutz nach BSI-Standards
Der IT-Grundschutz nach bewährten BSI-Standards liefert insbesondere KMU die Grundlage und einen Werkzeugkasten für den Aufbau eines ganzheitlichen Informationssicherheits-Managementsystem (ISMS). Er umfasst neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Fragen und ermöglicht ein systematisches Vorgehen, um die notwendigen Sicherheitsmassnahmen zu erkennen und umzusetzen.
2 Explizites Applikations-Whitelisting
Gut sind dabei nur noch Anwendungen, die als gutartig gekennzeichnet werden. Dies kann durch manuelles Hinzufügen bekannter Software zur Whitelist, aber auch automatisch durch Kontrolle von Code-Signaturen, Reputations-Lösungen und streng vorgegebenen Installationsquellen erfolgen. Alle anderen Anwendungen sind durch das System zunächst generell als böse zu betrachten und können weder installiert noch in irgendeiner Form ausgeführt werden. So kann sich eine per Mail-Anhang gesandte Malware nicht mehr aktivieren, selbst wenn du den Anhang bewusst ausführst. Zusätzlich empfehlenswert ist eine Kombination des Whitelistings mit aktiven Einschränkungen der durch Anwendungen getätigten Netzzugriffe.
3 Eingeschränkte Benutzerrechte
Zusätzlich bleibt das Arbeiten mit eingeschränkten Benutzerrechten inklusive starker Authentisierung eine Grundvoraussetzung für sichere Systeme. In Zeiten zunehmender Cloud-Nutzung ist zusätzlich ein zweiter Sicherheitsfaktor, d.h. die Anmeldung mit Benutzernamen, Passwort und einem weiteren Faktor, wie einer Authentication App unumgänglich geworden.
.