:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition LOLBAS (Living Off The Land Binaries And Scripts) Was ist LOLBAS?
Das Kürzel LOLBAS steht für eine Methode, die auf einem Computer vorhandene Programme, beispielsweise Programme des Betriebssystems, für schädliche Funktionen oder für Malware missbräuchlich verwendet. Das LOLBAS-Projekt sammelt Informationen über nutzbare Binaries, Skripte oder Bibliotheken und stellt sie im Internet öffentlich zur Verfügung. Die Abwehr solcher Angriffen auf Rechnern kann sich als schwierig erweisen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
LOLBAS ist die Abkürzung für „Living Off The Land Binaries And Scripts“ und steht für eine Angriffsmethode auf Rechner. „Living Off The Land“ heißt wörtlich übersetzt „sich aus der Natur ernähren“ und beschreibt die Methode recht gut. Bei den Living Off The Land Binaries And Scripts handelt es sich um ausführbare Dateien, Skripte oder Bibliotheken, die auf einem Rechner bereits vorhanden sind, vom Betriebssystem selbst bereitgestellt werden oder aus vertrauensvollen Quellen stammen. Sie lassen sich für bestimmte schädliche Funktionen missbrauchen. Malware-Code verwendet die „natürlich“ auf einem Rechner vorhandenen Ressourcen wie zum Beispiel von einem Anbieter oder vom Betriebssystem signierte Programme.
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736057/original.jpg "Die PowerShell ist eine mächtige Möglichkeit auf Windows-Rechnern, um tiefgehende Einstellungen anzupassen. Das birgt natürlich die Gefahr, dass über Skripte Windows-Systeme angegriffen werden können. (gemeinfrei)")
PowerShell-Skripte als mögliche Gefahr für Windows
Cyber-Attacken via PowerShell verhindern
Der Begriff „Living Of The Land“ wurde von Christopher Campbell und Matt Graeber geprägt. Die schädlichen Aktivitäten bleiben aufgrund des LOL-Konzepts oft unentdeckt, da es sich bei den ausführenden Programmen um regulär vorinstallierte Systemwerkzeuge und Anwendungen handelt. Mit Living Off The Land Binaries And Scripts lassen sich beispielsweise unbemerkt Dateien downloaden, Programmcodes kompilieren, Dateioperationen ausführen oder Anmeldedaten stehlen. Auf Windows-Systemen werden beispielsweise gerne die powershell.exe oder die rundll32.exe missbräuchlich genutzt.
Im Internet existiert das von Oddvar Moe initiierte LOLBAS-Project. Es stellt Informationen über Binaries, Skripte und Libraries zur Verfügung, die beispielsweise im Rahmen von Penetration-Tests von einem Red-Team nutzbar sind. Ziel des Open-Source-Projekts ist es, alle Skripte, Binaries und Bibliotheken zu dokumentieren, die sich für die Living-Off-The-Land-Methode einsetzen lassen. Entsprechen bestimmte Binaries, Skripte oder Bibliotheken den Anforderungen des Projekts, werden die Informationen im Internet veröffentlicht. Es steht eine durchsuchbare Liste von LOLBins, LOLLibs und LOLScripts zur Verfügung. Erreichbar ist das Projekt über den Link https://lolbas-project.github.io.
Kriterien für LOLBAS-Skripte, -Bibliotheken und -Binaries
Um für das Projekt Living Off The Land Binaries And Scripts als relevant zu gelten, müssen die Skripte, Bibliotheken oder Binaries standardmäßig auf dem System vorhanden sein oder sich über vertrauenswürdigen Softwarehersteller oder Open-Source-Quellen installieren lassen. Darüber hinaus müssen sie unerwartete Funktionen bereitstellen, die sich für Angriffszwecke umfunktionieren lassen. Solche Funktionen sind beispielsweise:
- das Ausführen von Programmcode oder Skripten
- das Kompilieren von Programmcode
- das Umgehen der Benutzerkontensteuerung
- das Mitlesen von Netzwerkverkehr oder Anwenderaktivitäten
- das Side-Loading oder Hijacking von DLLs
- das Prozessspeicher-Dumping
- das Auslesen von Anmeldedaten
- Dateioperationen wie Datei-Downloads und -Uploads
:quality(80)/images.vogel.de/vogelonline/bdb/1741400/1741413/original.jpg "Mit dem aktuellen Monatsrückblick kehren zum gewohnten Veröffentlichungsrhythmus zurück. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 21
Podcast mit Bonustrack
Schutz vor LOLBAS-Angriffen
Der Schutz vor LOLBAS-Angriffen ist schwierig. Da es sich bei den ausführenden Programmen um betriebssysteminterne Tools oder Software aus vertrauenswürdigen Quellen handelt, bleiben die schädliche Aktionen von Standard-Antivirus- und -Antimalware-Programmen oft unerkannt. Zum Schutz sind spezielle Vorkehrungen zu treffen. Teilweise müssen diese vom Betriebssystem oder von den Softwareherstellern selbst implementiert werden. Darüber hinaus lassen sich fortgeschrittene, intelligente Schutzlösungen nutzen, die an verschiedenen Stellen des zu überwachenden Systems ansetzen. Beispielsweise werden der Netzverkehr und das Verhalten verschiedener Prozesse kontinuierlich überwacht, um Anomalien zu identifizieren.
(ID:47067095)
:quality(80)/p7i.vogel.de/wcms/99/2b/992bde5837ed02daf630b6d0d8652322/0103998127.jpeg "Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194419cf900e7de52f6d9cf21e1c83d/0110983947.jpeg "Ergebnisse des Sophos-Reports zeigen: ChatGPT könnte als nützlicher Security-Co-Pilot fungieren. (Bild: Dave - stock.adobe.com)")