Managed Security Services Living-off-the-Land – der lautlose Einbruch mit gegebenen Ressourcen

Von Dr. Stefan Riedl 5 min Lesedauer

Anbieter zum Thema

Bitdefender sieht die Zukunft der Cybersicherheit in einer Mischung aus anpassungsfähiger Prävention, KI-gestützter Erkennung und menschlichem Know-how. Laut DACH-Chef ist das vor allem wegen der vielschichtigen LOTL-Problematik notwendig.

Der Begriff „Living-off-the-Land“ (LOTL) kommt aus dem Survival-Jargon und beschreibt die Fähigkeit, sich über gegebene Ressourcen aus der Wildnis zu versorgen.(Bild:  Midjourney / KI-generiert)
Der Begriff „Living-off-the-Land“ (LOTL) kommt aus dem Survival-Jargon und beschreibt die Fähigkeit, sich über gegebene Ressourcen aus der Wildnis zu versorgen.
(Bild: Midjourney / KI-generiert)

Living-off-the-Land (LOTL) beschreibt in der IT-Security die Taktik des lautlosen Einbruchs: Angreifer bringen keine auffällige Schadsoftware mit, sondern nutzen ausschließlich Ressourcen, die sie direkt im System vorfinden. Damit dieser Missbrauch mächtiger Bordmittel wie der PowerShell überhaupt starten kann, benötigen Hacker zunächst einen „Fuß in der Tür“ – etwa durch ein manipuliertes Office-Dokument oder eine kleine Sicherheitslücke. Einmal eingedrungen, zweckentfremden sie legitime Werkzeuge für ihre Zwecke.

Gegebene Ressourcen im System

Da diese Programme zum vertrauenswürdigen Standard gehören, agieren die Täter für klassische Virenscanner nahezu unsichtbar und tarnen ihren Angriff als gewöhnlichen Systemprozess. Im LOLBAS-Projekt sammelt „die gute Seite“ der IT-Security die bekannten LOTL-Angriffspunkte (Kasten). Der Begriff stammt ursprünglich aus dem Militär- und Survival-Bereich und beschreibt die Fähigkeit, in der Wildnis ohne mitgebrachte Vorräte zu überleben, indem man ausschließlich die Ressourcen nutzt, die man vor Ort in der Natur vorfindet.

Hintergrund

Living-off-the-Land (LOTL) und das LOLBAS-Projekt

Bei Living-off-the-Land-Taktiken nutzen Angreifer keine eigene Malware, sondern missbrauchen bereits installierte, legitime Systemwerkzeuge wie die PowerShell, WMI oder administrative Befehle für ihre Zwecke. Da diese Tools vom Betriebssystemhersteller signiert sind und für den regulären IT-Betrieb benötigt werden, bleiben solche Aktivitäten für herkömmliche Antiviren-Scanner oft unsichtbar. Diese „fileless“ Strategie minimiert den digitalen Fußabdruck und erschwert die forensische Analyse erheblich, da keine verdächtigen Dateien auf der Festplatte abgelegt werden. Eine Übersicht bekannter Missbrauchsmöglichkeiten bietet das LOLBAS-Projekt hier.

MDR-Abläufe im Wandel

Jörg von der Heydt, Regional Director DACH bei Bitdefender verrät, dass Living-of-the-Land-Taktiken die Arbeit in seinem Unternehmen grundlegend verändert haben. Denn: Eine klassische Signaturerkennung greift nicht mehr, da Angreifer legitime Windows-Bordmittel wie PowerShell oder WMI nutzen. „Unsere Managed-Detection-and-Response (MDR)-Analysten fokussieren sich deshalb stark auf Verhaltensanomalien und Prozess-Kontexte anstatt auf Datei-Hashes“, so der Bitdefender-Chef. Das erhöhe den analytischen Aufwand pro Alert erheblich. Auf der anderen Seite würde ein solches Vorgehen aber die erforderliche Tiefe erhöhen: „Ein Rund-um-die-Uhr-MDR-Dienst unserer Experten kann diese auch liefern.“ Dabei bewerten diese Analysten Sicherheitsereignisse zunehmend im Kontext der einhergehenden Risiken und priorisieren sie entsprechend.

Erkennungs- und Präventionsmaßnahmen

Jörg von der Heydt, Regional Director DACH, Bitdefender(Bild:  Bitdefender)
Jörg von der Heydt, Regional Director DACH, Bitdefender
(Bild: Bitdefender)

Neue Bedrohungen verlangen nach neuen Erkennungs- und Präventionsmaßnahmen. Bei Bitdefender setzt man auf ein granulares Logging und die Korrelation von Prozess-Lineage-Daten. Von der Heydt erklärt, dass die zugrundeliegende Frage vor diesem Hintergrund folgendermaßen lautet: „Wer hat welchen Prozess mit welchen Parametern gestartet?“ Mit der PHASR-Technologie (Proactive Hardening and Attack Surface Reduction) analysiert Bitdefender das individuelle Nutzerverhalten und schränkt automatisch Rechte und Tool-Zugriffe ein, die ein User nachweislich nicht benötigt. „Zusätzlich nutzen wir Behavioral-Heuristics-Regeln, die zum Beispiel Base64-einkodierte PowerShell-Aufrufe oder eine ungewöhnliche Windows Management Instrumentation Event Subscription sofort melden. Damit reduzieren wir die Angriffsfläche, bevor ein Angreifer überhaupt aktiv wird“, so der Bitdefender-Chef.

Modulares Framework

Bitdefender geht die Problematik mit einem „MDR-Plus-Service“ an, der auf einem modularen Framework basiert: Der Security-Experte erklärt: „Die Kernprozesse – Monitoring, Triage und Response – sind standardisiert und erprobt. Darüber legen wir eine Anpassungsebene, in der wir kritische Assets, Geschäftszeiten, Eskalationswege und zugelassene Tools für jeden Kunden individuell definieren.“ Individuell heißt dann: Ein legitimes Admin-Tool werten die Experten beim Kunden A nicht als Angriff, beim Kunden B aber sehr wohl – ohne dass Bitdefender jedes Mal die Grundlogik neu bauen muss. Zusätzlich können demnach im Vorfeld festgelegte Aktionen mit dem Kunden abgestimmt werden. Dabei handelt es sich um Maßnahmen, die Bitdefender im Falle von Sicherheitsereignissen oder bei beobachteten Anomalien eigenständig ergreifen darf, wenn der Kunde über keine eigenen Ressourcen verfügt oder ein Vorfall außerhalb der üblichen Geschäftszeiten erkannt wird. Standardisierung und individueller Kontext kommen so zusammen.

SOC-Analysten und MSP-Ingenieure

Bei Bitdefender arbeitet man im LOTL-Kontext mit klar definierten Eskalationspfaden und auf der Basis gemeinsamer Playbooks, welche die SOC- und MSP-Seite verbinden. Bei Fileless-Angriffen oder lateralen Bewegungen gibt es laut von der Heydt eine direkte Hot-Line zwischen dem detektierenden Analysten und dem zuständigen, die jeweilige Umgebung kennenden MSP-Ingenieur. Entscheidend sei im Tagesgeschäft, dass beide Seiten dieselbe Datenbasis sehen – in diesem Fall über die Bitdefender-Plattform als „Single Pane of Glass“, wie es von der Heydt ausdrückt. Das verkürzt seiner Darstellung nach die durchschnittliche Zeit von der Entdeckung bis zur Eindämmung (Mean Time To Contain - MTTC) erheblich.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Alert-Flut und Fehlalarme

Zum Einsatz kommt eine mehrstufige Korrelations-Engine, die Einzel-Events zu Incidents aggregiert und mit einem Risiko-Score versieht. PHASR (Proactive Hardening and Attack Surface Reduction) liefert dabei laut von der Heydt den entscheidenden Baseline-Kontext: „Wenn ein Nutzer PowerShell nie verwendet, ist ein entsprechender Aufruf automatisch hochpriorisiert.“ Machine-Learning-Modelle, die auf Millionen von globalen Telemetriedaten trainiert sind, helfen dabei, gewöhnliches Admin-Verhalten von echten Angriffen zu trennen. Das Ergebnis: Die Analysten beschäftigen sich mehr mit den tatsächlichen Gefahren und weniger mit störendem Rauschen.

Wirksam gegen LOTL-Angriffe vorgehen

Will man LOTL-Angriffe unterbinden, hat laut dem Bitdefender-Manager den stärksten Effekt eine Kombination aus Prozess-Lineage-Analyse und dem KI-gestützten Erkennen von Anomalien. PHASR sei dabei ein Game-Changer, denn Anstatt nur zu detektieren, reduziert die Technologie proaktiv die Rechte und Zugriffe auf Systemtools, die ein bestimmter Nutzer oder Endpunkt nicht braucht. „Ergänzend setzen wir Deception-Technologien ein – Honeypots und Honeytokens –, die sich lateral bewegende Angreifer zuverlässig aufdecken“, so der Manager. KI übernimmt demnach dabei die Korrelation großer Datenmengen. Das letztendliche Urteil liege aber immer bei den menschlichen Experten.

Werkzeugkasteninventarisierung

RMM-Tools wie AnyDesk, TeamViewer oder ConnectWise sind laut von der Heydt legitim – und genau deshalb stellen sie einen bevorzugten Angriffsvektor dar. Bei Bitdefender wird daher bei jedem Kunden alle autorisierten Remote-Access-Tools inventarisiert. Dann wird definiert, welche Nutzer, Systeme und Zeiten zulässig sind. Abweichungen davon – zum Beispiel eine neue RMM-Instanz außerhalb der Geschäftszeiten – triggern sofort eine Überprüfung durch einen Analysten. PHASR kann darüber hinaus den Einsatz nicht autorisierter Tools auf Endpoint-Ebene proaktiv blockieren, so der Manager.

RMM-Tools wie AnyDesk, TeamViewer oder ConnectWise sind legitim – und genau deshalb ein bevorzugter Angriffsvektor.

Jörg von der Heydt, Regional Director DACH bei Bitdefender

Fazit: Angriffsflächen reduzieren

Der entscheidende Faktor zur Abwehr von LOTL-Angriffen ist aus Sicht von von der Heydt in letzter Konsequenz die Reduktion der Angriffsflächen im Vorfeld – was der Logik von reinen Detect-and-Response-Ansätzen widerspricht. „Kein SOC der Welt kann effizient arbeiten, wenn jeder Nutzer uneingeschränkten Zugriff auf alle Systemtools hat“, so der Regional Director DACH. Bei Bitdefender geht man daher davon aus, dass die Zukunft der Cybersicherheit in der Kombination aus adaptiver Prävention, KI-gestützter Detektion und menschlicher Expertise liegt – nicht auf einer dieser Säulen allein.

(ID:50862277)