Standard-Apps als Angriffsmittel 4 Tipps zur Bekämpfung von „Living-off-the-Land“-Angriffe

Autor / Redakteur: Daisuke Watanabe / Peter Schmitz

Cyberkriminelle verbessern ihre Phishing-Angriffe ständig und greifen ihre potenziellen Opfer mittlerweile gezielt an, anstatt Massen-E-Mails zu versenden. Eine beliebte Taktik sind „Living-off-the-Land“-Angriffe, kurz LotL-Angriffe. Hierbei missbrauchen Angreifer die auf dem Computer des Opfers bereits vorhandenen Standard-Apps oder Prozesse und tarnen damit ihre Phishing-Aktivitäten.

Firmen zum Thema

Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken.
Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken.
(© Sergey Nivens - stock.adobe.com)

„Living-off-the-Land“-Angriffe (auch LOLBAS-Angriffe) sind für die Akteure besonders attraktiv: Sie wissen, dass die vorhandenen Antiviren-Programme keinen Alarm auslösen werden, da der Angriff über ein legitimes Programm ausgeführt wird, das für die interne Sicherheitssoftware eine Vertrauensstellung genießt.

Diese Angriffsstrategie ist durchaus nicht neu, erlebte aber in der Pandemie einen regelrechten Boom. Einige Angreifer nutzen für die Kommunikation eine legitime Plattform, andere kompromittieren eine derartige Plattform, um Datenströme entweder umzuleiten oder selbst zu hosten und somit Anmeldeinformationen abgreifen oder Malware installieren zu können.

Unternehmen sind gut beraten, sich auf diese Angriffe einzustellen. Denn Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken.

Vier Tipps, wie Unternehmen das Risiko dieser und weiterer E-Mail-Bedrohungen reduzieren können:

Tipp 1: E-Mail-Umgebung im Unternehmen überprüfen

Wer die Sicherheitslage verbessern will, muss wissen, wie es um seine aktuellen Richtlinien und Einstellungen bestellt ist. So lassen sich im Rahmen eines Sicherheitsaudits für Microsoft Office 365 die Postfächer von Administratoren und Benutzern untersuchen, um potenzielle Schwachstellen aufzudecken, bevor diese ausgenutzt werden können. Auch bereits kompromittierte Konten werden so gefunden. Sobald das notwendige Maß an Transparenz erreicht ist, sollte eine Lösung eingesetzt werden, die Unternehmen hilft, die eigene E-Mail-Umgebung kontinuierlich zu überwachen. Nur so werden Veränderungen erkannt, die auf eine Katastrophe hinauslaufen könnten.

Tipp 2: Autorisierte Nutzung der Dienste Dritter begrenzen und Datenströme mit Ende-zu-Ende-Verschlüsselung schützen

Selbstverständlich sollten sich Unternehmen auch nach den Sicherheitsrichtlinien ihrer Geschäftspartner erkundigen. Doch auch intern müssen Richtlinien für den Datenaustausch zwischen Mitarbeitern und Dritten implementiert werden. Die Nutzung von Diensten Dritter sollte auf die Mitarbeiter beschränkt sein, die diese Dienste für ihre tägliche Arbeit benötigen. So lässt sich die Angriffsfläche insgesamt verkleinern. Darüber hinaus ist festzulegen, wer Daten nach außen übertragen darf. Zum Schutz von E-Mails und Anhängen, die vertrauliche oder persönlich identifizierbare Informationen (PII) enthalten, sollte eine Ende-zu-Ende-Verschlüsselung genutzt werden. Eine solche Lösung sollte E-Mail-Anhänge und URLs dynamisch prüfen können.

Tipp 3: Mitarbeiter zur Verwendung sicherer Kennwörter anhalten

Unternehmen müssen ihren Mitarbeitern deutlich machen, wie wichtig es ist, für jeden Dienst ein separates und sicheres Kennwort zu verwenden. Andernfalls können Cyberkriminelle die einmal gestohlenen Anmeldeinformationen erneut dazu verwenden, auf die Konten des Benutzers bei anderen Diensten zuzugreifen und ihre Zugriffsrechte auf weitere Bereiche auszuweiten.

Tipp 4: Im Zweifel verifizieren

Wenn jemand Zweifel an der Echtheit einer E-Mail-Nachricht oder Transaktion hat, ist es völlig in Ordnung, den Absender auf einem anderen Kommunikationsweg außerhalb des E-Mail-Systems zu kontaktieren, um sich rückzuversichern. Unternehmen sollten ihre Mitarbeiter zu einer derartigen Verifizierung ermutigen.

Unternehmen können diese Verifizierungspraxis zusätzlich unterstützen, indem sie in ihren Sicherheitsrichtlinien die Verifizierung bestimmter risikoreicher E-Mail-Anfragen vorschreiben. Dies könnte beispielsweise die Genehmigung von Überweisungen oder die Änderung der Bankdaten eines vertrauenswürdigen Anbieters betreffen.

Business-E-Mail-Compromise-Angriffe (kurz BEC-Angriffe) über Konten, die mit LotL-Angriffen kompromittiert wurden, werden auch in Zukunft von böswilligen Akteuren durchgeführt. Führende Spezialisten für Cyberbedrohungen konnten beobachten, dass Cyberkriminelle Plattformen in einem Rotationsverfahren kompromittieren, um die Effektivität ihrer Angriffe zu erhöhen. Indem Unternehmen die vier oben genannten Empfehlungen in ihrer Cybersicherheitsstrategie berücksichtigen, lassen sich Mitarbeiter, Vermögenswerte und Gewinn besser schützen.

Über den Autor: Daisuke Watanabe verantwortet als Senior Channel Sales Engineer von Zix die Secure Cloud-Plattform und unterstützt Unternehmen jeder Größe, sich vor Cyberbedrohungen und -risiken zu schützen und Arbeitsplätze sicher und compliant zu gestalten.

(ID:47562840)