Wie kann man sich vor Living off the Land-Angriffen schützen?

Veröffentlicht: 2020-05-29

Living-off-the-Land-Angriffe haben in letzter Zeit an Bedeutung gewonnen, sodass wir sicher extrapolieren können, dass Hacker jetzt alte Strategien und Techniken wieder anwenden. Die Konzepte, die mit Living off the Land verbunden sind, sind nicht neu. Früher wurden Systemtools häufig als Hintertüren verwendet, und bekannte Schwachstellen wurden in Systemen ausgenutzt.

Living off the Land (LotL)-Angriffe sind unglaublich schwer zu verteidigen, da sie manchmal dateilose Angriffe als Teilmenge beinhalten. In anderen Fällen nutzen Hacker Dual-Use- und Memory-Tools aus, was eine tödliche Kombination ist, wie es nur geht. In diesem Leitfaden möchten wir Ihnen so viel wie möglich über Living off the Land-Angriffe und darüber erzählen, wie Sie sich oder Ihre Organisation davor schützen können.

Was sind Living-off-the-Land-Angriffe?

Living off the Land-Angriffe sind Angriffe, bei denen die Angreifer bereits installierte oder vorhandene Tools auf den Computern der Opfer verwenden, um ihre Mittel zu erweitern (Informationen oder Geld stehlen, Systeme übernehmen usw.). Solche Angriffe sind insofern einzigartig, als die beteiligten Hacker keine bösartigen Programme verwenden, nach denen Sicherheitsanwendungsprogramme Ausschau halten sollen. Da die Angreifer normale Tools oder sogar einfache Skripte verwenden, wird die Bedrohungserkennung sehr schwierig.

Bei dateilosen Angriffen können Cyberkriminelle beispielsweise in flüchtigem Speicher operieren, der teilweise PowerShell und WMI entspricht. In solchen Szenarien können Antiviren- und Anti-Malware-Anwendungen die Bedrohungen nicht erkennen und finden, da nicht einmal ihre Einträge in Protokollen gespeichert werden. Schließlich werden während des Angriffs nur sehr wenige Dateien (oder gar keine Dateien) erstellt.

Angreifer haben genug Gründe, dateilos zu werden. Sie haben wahrscheinlich herausgefunden, dass je weniger Dateien erstellt werden, desto geringer ist die Wahrscheinlichkeit, dass die Bedrohungen von Sicherheitsdienstprogrammen erkannt werden. Und zum größten Teil haben die Angreifer recht. Sicherheitsanwendungen haben oft Schwierigkeiten, Living off the Land-Angriffe zu erkennen, bis es zu spät ist, weil sie nicht wissen, worauf sie überhaupt achten müssen.

LotL-Angriffe beinhalten keine Malware, aber Angreifer (wenn sie damit erfolgreich sind) haben genug Zeit, sich auf kompromittierten Computern in Bereichen aufzuhalten, in denen sie nicht entdeckt werden können. Und im Laufe der Zeit erhalten die Angreifer schließlich die Möglichkeit, sensible Komponenten zu infiltrieren und Daten oder Vorgänge zu zerstören (wenn sie dies wünschen).

Vielleicht haben Sie von den Petya/NotPetya-Angriffen gehört, die irgendwann im Jahr 2017 die Welt erschütterten. Die Opfer dieser Angriffe (Einzelpersonen und Organisationen) haben sie nie kommen sehen, weil die Angreifer über vertrauenswürdige Programme in ihre Systeme gelangten, die keinen Verdacht erregten. und diese Anwendungen dann mit bösartigem Code injiziert. Herkömmliche Schutzsysteme versagten; Ihre Abwehr wurde nicht durch die ungewöhnliche Verwendung von scheinbar vertrauenswürdiger Software ausgelöst.

Mit Living off the Land-Techniken können Cyberkriminelle unkompliziert in IT-Systeme eindringen und viel Zeit darin verbringen, ohne Alarm auszulösen oder Verdacht zu erregen. Angesichts der Umstände, die solche Angriffe definieren, fällt es Sicherheitsexperten daher schwer, die Quelle des Angriffs zu identifizieren. Viele Kriminelle halten die „Living off the Land“-Taktik für die ideale Methode, um Angriffe auszuführen.

So schützen Sie sich vor Living off the Land-Angriffen (Tipps für normale Benutzer oder Einzelpersonen)

Indem Sie die notwendigen Vorsichtsmaßnahmen treffen und proaktiv handeln, können Sie die Wahrscheinlichkeit verringern, dass Ihre Computer oder Netzwerke durch LotL-Taktiken Cyberkriminellen ausgesetzt werden.

  1. Überwachen oder überprüfen Sie immer die Verwendung von Dienstprogrammen mit doppeltem Verwendungszweck in Ihren Netzwerken.
  1. Verwenden Sie Anwendungs-Whitelists, wo sie verfügbar oder anwendbar sind.
  1. Wenn Sie unerwartete oder verdächtige E-Mails erhalten, müssen Sie Vorsicht walten lassen. Es ist immer besser, in solchen Nachrichten auf nichts (Links oder Anhänge) zu klicken.
  1. Laden Sie immer Updates für alle Ihre Anwendungen (Programme) und Betriebssysteme (z. B. Windows) herunter und installieren Sie sie.
  1. Seien Sie vorsichtig, wenn Sie Microsoft Office-Anhänge verwenden, für die Sie Makros aktivieren müssen. Verwenden Sie solche Anhänge besser gar nicht erst – wenn Sie es sich leisten können, darauf zu verzichten.
  1. Konfigurieren Sie nach Möglichkeit erweiterte Sicherheitsfunktionen. Mit erweiterten Sicherheitsfunktionen meinen wir die Zwei-Faktor-Authentifizierung (2FA), Anmeldebenachrichtigungen oder -aufforderungen und so weiter.
  1. Verwenden Sie starke eindeutige Passwörter für alle Ihre Konten und Profile (über Netzwerke oder Plattformen hinweg). Holen Sie sich einen Passwort-Manager – wenn Sie einen brauchen, der Ihnen hilft, sich an alle Passwörter zu erinnern.
  1. Denken Sie immer daran, Ihr Profil oder Konto von Netzwerken abzumelden, wenn Sie mit Ihrer Sitzung fertig sind.

So vermeiden Sie Living-off-the-Land-Angriffe (Tipps für Organisationen und Unternehmen)

Da „Living off the Land“-Taktiken zu den raffiniertesten Hacking-Techniken gehören, stellen sie für Unternehmen eine große Herausforderung dar, sie zu erkennen und abzuwehren. Dennoch gibt es immer noch Möglichkeiten, wie Unternehmen die Risiken solcher Angriffe reduzieren (oder die Auswirkungen solcher Angriffe abmildern können – falls sie jemals auftreten).

  1. Achten Sie auf eine gute Cyber-Hygiene:

Dieser Tipp mag einfach oder einfach erscheinen, wenn man ihn für bare Münze nimmt, aber er ist wahrscheinlich der wichtigste von allen. Die meisten Cyberangriffe in der Geschichte – einschließlich derjenigen, bei denen LotL-Taktiken eingesetzt wurden – waren aufgrund von Fahrlässigkeit oder mangelnden Sicherheitspraktiken erfolgreich. Viele Unternehmen machen sich nicht die Mühe, die von ihnen verwendeten Tools oder Programme zu aktualisieren oder zu patchen. Software benötigt in der Regel Patches und Updates, um Schwachstellen und Sicherheitslücken zu schließen.

Wenn die Patches oder Updates nicht installiert werden, bleibt die Tür für Angreifer offen, um Schwachstellen zu finden und sie auszunutzen. Organisationen sind verpflichtet sicherzustellen, dass sie ein Verzeichnis der Anwendungen führen. Auf diese Weise können sie veraltete und ungepatchte Programme und sogar Betriebssysteme identifizieren; Sie wissen auch, wann sie die wesentlichen Update-Aufgaben durchführen müssen und wie sie den Zeitplan einhalten können.

Darüber hinaus sollte das Personal in Security Awareness geschult werden. Es geht über das bloße Beibringen einer Person hinaus, keine Phishing-E-Mails zu öffnen. Idealerweise sollten Mitarbeiter lernen, wie integrierte Windows-Funktionen und Code funktionieren. Auf diese Weise können sie Anomalien oder Inkonsistenzen im Verhalten, böswillige Aktivitäten und verdächtige Anwendungen oder Skripte erkennen, die im Hintergrund ausgeführt werden und versuchen, sich der Entdeckung zu entziehen. Mitarbeiter mit guten Kenntnissen der Windows-Hintergrundaktivitäten sind normalen Cyberkriminellen in der Regel einen Schritt voraus.

  1. Konfigurieren Sie die richtigen Zugriffsrechte und Berechtigungen:

Wenn beispielsweise ein Mitarbeiter auf einen bösartigen Link in einer E-Mail klickt, sollte dies nicht unbedingt dazu führen, dass das bösartige Programm auf dem System des Mitarbeiters landet. Systeme sollten so konzipiert sein, dass das Schadprogramm im beschriebenen Szenario über das Netzwerk wandert und auf einem anderen System landet. In diesem Fall können wir sagen, dass das Netzwerk gut genug segmentiert wurde, um sicherzustellen, dass Apps von Drittanbietern und normale Benutzer strenge Zugriffsprotokolle haben.

Die Bedeutung des Tipp verdient so viele Highlights wie möglich. Die Verwendung solider Protokolle in Bezug auf die Zugriffsrechte und -privilegien, die Mitarbeitern gewährt werden, kann einen großen Beitrag dazu leisten, dass Ihre Systeme nicht kompromittiert werden. Dies kann der Unterschied zwischen einem erfolgreichen LotL-Angriff und einem Angriff sein, der nirgendwohin führt.

  1. Setzen Sie eine dedizierte Threat-Hunting-Strategie ein:

Wenn Sie Bedrohungsjäger dazu bringen, zusammenzuarbeiten, um verschiedene Arten von Bedrohungen zu finden, steigen die Chancen der Bedrohungserkennung erheblich. Die besten Sicherheitspraktiken erfordern von Unternehmen (insbesondere großen Organisationen), dass sie dedizierte Bedrohungsjäger einsetzen und sie verschiedene Segmente ihrer IT-Infrastruktur durchsuchen lassen, um selbst schwache Anzeichen der tödlichsten oder raffiniertesten Angriffe zu überprüfen.

Wenn Ihr Unternehmen relativ klein ist oder Sie es sich nicht leisten können, ein internes Threat-Hunting-Team zu haben, dann tun Sie gut daran, Ihre Anforderungen an eine Threat-Hunting-Firma oder einen ähnlichen Sicherheitsverwaltungsdienst auszulagern. Sie werden wahrscheinlich andere Organisationen oder Teams von Freiberuflern finden, die daran interessiert sind, diese kritische Lücke zu schließen. So oder so, solange die Threat-Hunting-Operationen durchgeführt werden, ist alles gut.

  1. Endpoint Detection and Response (EDR) konfigurieren:

Silent Failure ist ein wichtiger Begriff, wenn es um die Abwehr von Cyberangriffen geht. Silent Failure bezieht sich auf ein Szenario oder eine Konfiguration, in der das dedizierte Sicherheits- oder Verteidigungssystem einen Cyberangriff nicht erkennt und abwehrt und nach dem Angriff kein Alarm ausgelöst wird.

Betrachten Sie diese Parallele zu dem prognostizierten Ereignis: Wenn es dateiloser Malware irgendwie gelingt, Ihre Schutzschichten zu überwinden und Zugriff auf Ihr Netzwerk zu erhalten, bleibt sie möglicherweise lange Zeit in Ihrem System und versucht, Ihr gesamtes System in Vorbereitung auf eine größere zu analysieren Attacke.

Zu diesem Zweck müssen Sie zur Überwindung des betrachteten Problems ein solides Endpoint Detection and Response (EDR)-System einrichten. Mit einem guten EDR-System können Sie verdächtige Elemente, die an Endpunkten vorhanden sind, ausfindig machen und isolieren und sie sogar eliminieren oder loswerden.

  1. Bewerten Sie Ereignisse und Szenarien, wenn Sie gehackt werden (falls Sie gehackt werden):

Wenn Ihre Maschinen gehackt oder Ihr Netzwerk kompromittiert wird, tun Sie gut daran, die Ereignisse im Vorfeld des Angriffs zu untersuchen. Wir empfehlen Ihnen, sich die Dateien und Programme anzusehen, die eine wichtige Rolle beim Erfolg der Angreifer gespielt haben.

Sie können Cybersicherheitsanalysten einstellen und sie bitten, sich auf Tools und Systeme zu konzentrieren, mit denen sie die historischen Angriffe messen können. Die meisten Szenarien, in denen Unternehmen Opfer von Angriffen werden, sind geprägt von verdächtigen Registrierungsschlüsseln und ungewöhnlichen Ausgabedateien sowie der Identifizierung aktiver oder noch bestehender Bedrohungen.

Nachdem Sie einige der betroffenen Dateien oder andere Hinweise entdeckt haben, tun Sie gut daran, diese gründlich zu analysieren. Idealerweise sollten Sie versuchen herauszufinden, wo etwas schief gelaufen ist, was hätte besser gemacht werden sollen und so weiter. Auf diese Weise lernen Sie mehr und gewinnen wertvolle Einblicke, was bedeutet, dass Sie die Lücken in Ihrer Sicherheitsstrategie schließen können, um zukünftige LotL-Angriffe zu verhindern.

EMPFOHLEN

Schützen Sie Ihren PC mit Anti-Malware vor Bedrohungen

Überprüfen Sie Ihren PC auf Malware, die Ihr Antivirus möglicherweise übersieht, und entfernen Sie Bedrohungen sicher mit Auslogics Anti-Malware

Auslogics Anti-Malware ist ein Produkt von Auslogics, einem zertifizierten Microsoft Silver Application Developer
JETZT DOWNLOADEN

SPITZE

Sicherheit ist das Hauptthema in diesem Leitfaden, daher werden wir keine bessere Gelegenheit bekommen, Ihnen ein hervorragendes Angebot vorzustellen. Wenn Sie die Sicherheit auf Ihren Computern oder Netzwerken verbessern möchten, sollten Sie sich Auslogics Anti-Malware besorgen. Mit diesem erstklassigen Schutzdienstprogramm können Sie Ihre aktuelle Sicherheitskonfiguration verbessern, die möglicherweise nicht dynamisch genug ist, um mit mehreren Bedrohungen fertig zu werden.

Im Kampf gegen Schadprogramme sind Verbesserungen immer willkommen. Sie können nie sagen, wann etwas an Ihrer aktuellen Sicherheitsanwendung vorbeikommt, oder vielleicht verwenden Sie nicht einmal eine. Sie können auch nicht mit Sicherheit sagen, dass Ihr Computer derzeit nicht kompromittiert oder infiziert ist. In jedem Fall tun Sie gut daran, die empfohlene Anwendung herunterzuladen und auszuführen, um sich eine bessere Chance (als zuvor) auf Sicherheit zu geben.