Erkennung und Gegenmaßnahmen gegen LotL-Hackerangriffe

LotL-Angriffe erkennen und abwehren So funktionieren Living-off-the-Land-Attacken

28.11.2024 Von Dipl. Betriebswirt Otto Geißler 4 min Lesedauer

Mithilfe von Living Off The Land (LotL)-Attacken führen Hacker Befehle auf einem infizierten System aus, ohne dass die Alarmglocken der Security-Tools läuten oder Spuren zurückbleiben. Welche Möglichkeiten der Erkennung bzw. wirksamer Gegenmaßnahmen gibt es?

LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com) — LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind.
(Bild: anaumenko - stock.adobe.com)

In der IT-Welt bezieht sich „Living off the Land“ (LotL) auf das Verhalten von Hackern, die Tools oder Funktionen verwenden bzw. nachahmen, die bereits in der Zielumgebung der Opfer vorhanden sind. Mit dieser Infiltrationsstrategie können sie für lange Zeit unentdeckt in dieser Umgebung verweilen. Oftmals agieren sie dort wochen- oder sogar monatelang völlig unentdeckt und erhalten Zugriffe auf Daten aller Art.

Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken. (©Sergey Nivens - stock.adobe.com)

Innovative Tarnkappen-Angriffe

LotL-Angriffe unterscheiden sich von herkömmlicher Schadsoftware, da sie zur Ausführung eines Angriffsplans native Tools auf dem System eines Opfers anstelle von Signatur-Dateien verwenden. Dateilose Hacker-Attacken, bei denen nach einem Angriff keine ausführbaren Dateien oder Malware verbleiben, sind für Security-Tools, die auf bestimmte Malware-Skripte und -Dateien angewiesen sind, daher schwer zu erkennen.

Hacker, die LoTL verwenden, nutzen für ihre Angriffe auf dem System des Opfers Tools wie beispielsweise PowerShell, RDP oder Windows Management Instrumentation (WMI), die üblicherweise für Verwaltungsaufgaben verwendet werden. Eine weitere beliebte Strategie besteht darin, Tools herunterzuladen, die normalerweise nicht auf den Computern der User vorhanden sind, um ein System zun knacken. Hierzu zählen beispielsweise Credential Dumper und andere Schadsoftware.

Die PowerShell ist eine mächtige Möglichkeit auf Windows-Rechnern, um tiefgehende Einstellungen anzupassen. Das birgt natürlich die Gefahr, dass über Skripte Windows-Systeme angegriffen werden können. (gemeinfrei)

Einsatz vorhandener Tools für Angriffe

Mit dieser Vorgehensweise kann sich ein Hacker mithilfe anderer Methoden, wie etwa Phishing-Angriffen, Zugang zu einem Netzwerk verschaffen, ohne dass die üblichen Security-Tools den Vorgang detektieren. Zudem müssen Angreifer, die bereits vorhandene Tools verwenden, keine Tools erstellen, testen und einer Qualitätssicherung unterziehen.

Ferner müssen sie sich auch keine Gedanken über Kompatibilitäten, Abhängigkeiten etc. machen. Denn es würde für manche Hacker eine gewisse Herausforderung bedeuten, Programme zu erstellen, die so unauffällig sind, dass sie nicht erkannt werden, insbesondere wenn etwas auf Kernel-Ebene ausgeführt wird. Letztendlich ist es im Grunde billiger, zeitsparender und wesentlich effektiver, die vorhandenen Tools des Opfers zu verwenden.

LotL-Angriffe erkennen und abwehren

Der Einsatz von LotL-Techniken ermöglicht den Angreifern eine längere Präsenz in den Zielumgebungen. Kombiniert mit der geschickten Ausnutzung von Tools und Schwachstellen, erhöht sich die Schwierigkeit und Komplexität hinsichtlich der Abwehr gegen solche Bedrohungen. Infolgedessen sollten Organisationen ihre IT-Security-Strategien kontinuierlich anpassen und verbessern, um ihre kritischen Assets und Infrastrukturen wirksam zu schützen.

Hacker nutzen alle Optionen und Wege, um unentdeckt in Netzwerke einzudringen. Dabei kommen häufig Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen. (Bild: Art_spiral - stock.adobe.com)

Aus diesem Grunde empfiehlt sich der Einsatz von Automatisierung, maschinellem Lernen (ML) und Verhaltensanalysen, um die IT-Security zu verbessern. Mit der Einführung solcher Strategien können Organisationen aufkommende Bedrohungen in Echtzeit erkennen und neutralisieren. Beim Aufbau eines robusten IT-Security-Programms, das Hackern standhalten kann, sind nachfolgende Maßnahmen zu beachten:

Sichtbarkeit: Ein IT-Security-Programm gewährleistet umfassende Sichtbarkeit in der gesamten digitalen Landschaft einer Organisation, einschließlich Netzwerkverkehr, Endpunktverhalten und User-Aktivitäten. Dadurch können Anomalien erkannt werden, die vom normalen Betrieb abweichen und häufig auf LotL-Angriffe hinweisen.

Protokollierung: Eine detaillierte Protokollierung ist darauf ausgelegt, die Verwendung von LotL-Tools, einschließlich der in Betriebssysteme eingebetteten Tools wie PowerShell-Skripting, akribisch zu verfolgen. Auf diese Weise ist es möglich, dass Organisationen detaillierte Einblicke in die Ausführungsmuster und Befehlssequenzen dieser Tools gewinnen und sich so ein klareres Bild potenziell bösartiger Aktivitäten machen können.

Erweiterte Tools: Diese Tools gewähren eine umfassende Transparenz bezüglich der granularen Aktivitäten, die an Endpunkten stattfinden, und gehen über die einfache Protokoll-Analyse hinaus, indem sie Verhaltensanalysen und die Erkennung von Anomalien beinhalten. Solche Tools sind von entscheidender Bedeutung, um verdächtiges Verhalten zu identifizieren und darauf schnellstens zu reagieren, das auf anhaltende LotL-Aktivitäten hinweisen könnte.

Angreifer finden immer kreative Wege, um Schadsoftware in Firmennetzwerke zu schleusen. Welche das sind, was sie so gefährlich macht und wie man sich dagegen wehren kann, beschreibt dieser Artikel. (Bild: sitthiphong - stock.adobe.com)

Verhaltensanalysen: Diese Tools können typische User- und Entitätsaktivitäten über einen bestimmten Zeitraum analysieren und eine Basislinie erstellen, die eine Grundlage für die Erkennung von Abweichungen vom normalen Verhalten bietet. Dies leistet eine wertvolle zusätzliche Dimension der Transparenz, die es ermöglicht, Verhaltensabweichungen mit anderen Indikatoren für Gefährdungen zu korrelieren.

Überprüfung der Erkennungen: IT-Security ist kein einmaliges Projekt, sondern vielmehr ein fortlaufender Prozess zur Risikoreduzierung. Die Feinabstimmung der Erkennungsfunktionen basierend auf der Umgebung und der Risikobereitschaft stellt ein wichtiger Schutz gegen sich ständig weiterentwickelnde Bedrohungen und zunehmend heimtückische Taktiken dar.

Zero-Trust-Architektur: In einer Zero-Trust-Architektur wird jede Zugriffsanforderung gründlich überprüft, bevor ein Zugriff gewährt wird. Dieser Ansatz unterstützt Organisationen dabei, die Angriffsfläche zu minimieren, indem strenge Zugriffskontrollen durchgesetzt und Netzwerke segmentiert werden. Dadurch schränkt sich die Bewegungsfreiheit eines Hackers innerhalb des Systems wesentlich ein.

Fazit

Eine proaktive Haltung im Hinblick auf LotL-Angriffe ist unerlässlich, da es darum geht, kritische Infrastrukturen zu schützen und sensible Daten vor den Fängen von Hacker zu schützen. Organisationen sollten daher potentiellen Angreifern immer einen Schritt voraus zu sein, indem sie fortschrittliche Erkennungstools wie beispielsweise eine Zero-Trust-Architektur integrieren.

In diesem Video-Tipp zeigen wir, wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen. (Bild: Melinda Nagy - stock.adobe.com)

(ID:50224913)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.