Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Living off the Land: Wie Hacker sich in Ihrer Umgebung unter das Geschehen mischen

Oakley Cox, Director of Analysis

Cyberkriminelle müssen für ihre Attacken keine spezielle Malware mehr schreiben. Es ist oftmals günstiger, einfacher und effektiver, sich die eigene Infrastruktur eines Unternehmens zunutze zu machen. Bei dieser als „Living off the Land“ bezeichneten Strategie nutzen die Bedrohungsakteure die in der digitalen Umgebung des attackierten Unternehmens vorhandenen Möglichkeiten, um ihre Cyber-Kill-Chain abzuarbeiten.

Zu den Tools, die am häufigsten für schädliche Zwecke missbraucht werden, gehören Powershell, Windows Management Interface (WMI) und PsExec. Diese Tools werden von Netzwerkadministratoren regelmäßig für Routineaufgaben genutzt. Traditionelle Sicherheitstools, die auf statischen Regeln und Signaturen basieren, können nur schwer zwischen einer legitimen und einer schädlichen Nutzung unterscheiden.

Der Begriff wurde bereits 2013 geprägt, aber erst in den letzten Jahren haben sich „Living off the Land“-Tools, -Techniken und -Verfahren (TTPs) massiv ausgebreitet. Das liegt teilweise daran, dass der traditionelle Ansatz für defensive Sicherheit – Blocklisting von Dateihashes, Domains und anderen Bedrohungselementen, die bei früheren Angriffen festgestellt wurden – nicht für die Abwehr solcher Angriffe geeignet ist. Diese getarnten, häufig dateilosen Angriffe sind mittlerweile keine Seltenheit mehr.

In der Vergangenheit standen „Living off the Land“-Angriffe häufig in Verbindung mit hochgradig organisierten, gezielten Hacking-Attacken. APT-Gruppen nutzen schon lange „Living off the Land“-TTPs, weil für sie Unsichtbarkeit oberste Priorität hat. Es sind Trends zu beobachten, dass Ransomware-Gruppen zunehmend auf vom Menschen gesteuerte Ransomware zurückgreifen, die in hohem Maße auf „Living off the Land“-Techniken basiert, anstatt auf Commodity-Malware.

Die Merkmale eines „Living off the Land“-Angriffs

Bevor ein Bedrohungsakteur Ihre Infrastruktur bei einem „Living off the Land“-Angriff gegen Sie verwenden kann, braucht er die Gelegenheit, Befehle auf einem Zielsystem auszuführen. Daher gehen einer „Living off the Land“-Attacke die Auskundschaftung des Netzwerks, laterale Bewegung und das Einnisten voraus.

Sobald ein Gerät infiziert ist, stehen dem Angreifer Hunderte Systemtools zur Verfügung – diese können bereits auf dem System installiert sein oder werden über von Microsoft signierte Binaries heruntergeladen. Auch andere Third-Party-Administrationstools im Netzwerk können, wenn sie in die falschen Hände gelangen, vom Freund zum Feind werden.

Da sich die „Living off the Land“-Techniken ständig weiterentwickeln, ist es schwierig, einen typischen Angriff zu beschreiben. Wir können diese TTPs jedoch in Hauptkategorien einteilen:

„Living off the Land“-TTPs mit Microsoft-Signatur

Microsoft ist in der Geschäftswelt und in jeder Branche allgegenwärtig. Im Rahmen des LOLBAS-Projekts (Living off the Land Binaries and Scripts) sollen alle Binaries und Scripts mit Microsoft-Signatur dokumentiert werden, die von APT-Gruppen für „Living off the Land“-Angriffe missbraucht werden könnten. Bislang stehen 135 potenziell gefährdete Systemtools auf der Liste, die jeweils unterschiedliche Angriffsvektoren erschließen. Das könnte die Erstellung neuer Benutzerkonten, Datenkomprimierung und Exfiltration, das Sammeln von Systeminformationen, das Starten von Prozessen auf dem Zielsystem oder auch die Deaktivierung von Sicherheitsservices sein. Sowohl die Microsoft-Dokumentation gefährdeter vorinstallierter Tools als auch LOLBAS sind fortlaufende Projekte, die keinen Anspruch auf Vollständigkeit erheben können.

Befehlszeile

Für die Installation der schädlichen Payload im Zielsystem haben die Angreifer laut einer aktuellen Studie am häufigsten WMI (WMIC.exe), das Befehlszeilentool (cmd.exe) und PowerShell (powershell.exe) genutzt. Diese Befehlszeilentools werden normalerweise für die Konfiguration von Sicherheitseinstellungen und Systemeigenschaften genutzt, stellen sensible Updates zum Netzwerk- oder Gerätestatus bereit und erleichtern die Übertragung und Ausführung von Dateien zwischen Geräten.

Die Befehlszeilen-Gruppe weist im Wesentlichen drei Hauptmerkmale auf:

  1. Die Tools sind in Windows-Systemen frei verfügbar.
  2. Sie werden von den meisten Administratoren oder internen Prozessen genutzt, um tägliche Aufgaben zu erledigen.
  3. Sie können ihre Kernfunktionen ausführen, ohne dass sie Daten auf eine Festplatte schreiben müssen.

Mimikatz

Mimikatz unterscheidet sich von anderen Tools darin, dass es auf den meisten Systemen nicht vorinstalliert ist. Es handelt sich um ein Open-Source-Dienstprogramm, das zum Auslesen (Dumping) zwischengespeicherter Passwörter, Hashes, PINs und Kerberos-Tickets verwendet wird. Es gibt Netzwerkadministratoren, die Mimikatz für interne Schwachstellenanalysen nutzen, allerdings ist das Tool Standardprogramm auf Windows-Systemen.

Traditionelle Sicherheitsansätze sind häufig nicht in der Lage, den Download, die Installation und die Verwendung von Mimikatz zu erkennen. Es gibt ein breites Spektrum von verifizierten und dokumentierten Techniken für die Tarnung von Tools wie Mimikatz, sodass selbst ein unerfahrener Angreifer eine einfache string- oder hashbasierte Erkennung umgehen kann.

Selbstlernende KI bekämpft „Living off the Land“-Angriffe

„Living off the Land“-Techniken sind extrem effizient, weil sich die Angreifer unter das Gesehen in den digitalen Umgebungen des Unternehmens mischen können. Es ist ganz normal, dass in einem einzelnen digitalen Ökosystem tagtäglich Millionen Zugangsdaten, Netzwerktools und Prozesse verwendet werden. Wie lässt sich in diesem digitalen Getümmel eine schädliche Nutzung legitimer Tools erkennen?

Wie bei den meisten Bedrohungen ist eine grundlegende Netzwerkhygiene der erste Schritt. Dazu gehören die Anwendung des Least-Privilege-Prinzips, die Deaktivierung aller überflüssigen Programme, die Einrichtung von Software-Whitelists und die Bestandskontrolle von Assets und Anwendungen. Diese Maßnahmen sind jedoch nur ein Schritt in die richtige Richtung. Mit etwas Zeit schafft es ein raffinierter Angreifer, diese zu umgehen.

Selbstlernende KI-Technologie hat sich zu einem wichtigen Tool entwickelt, um Angreifer aufzuspüren, die die Infrastruktur eines Unternehmens zu dessen Nachteil verwenden wollen. Sie macht sich von Grund auf ein Bild von der individuellen digitalen Umgebung und lernt die normalen Verhaltensmuster, die „Patterns of Life“, jedes Geräts und Benutzers kennen. „Living off the Land“-Angriffe werden daher in Echtzeit identifiziert, weil die KI subtile Abweichungen erkennt. Das kann zum Beispiel die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB/DCE-RPC-Traffic sein.

Dadurch, dass die KI das Unternehmen genau kennt, spürt sie Angriffe auf, die sich unter dem Radar anderer Tools bewegen. Bei einem „Living off the Land“-Angriff erkennt die KI, dass die Nutzung eines bestimmten Tools für ein Unternehmen zwar normal ist, die Art und Weise der Verwendung jedoch nicht. So kann die KI Verhaltensweisen, die oberflächlich betrachtet legitim erscheinen, eindeutig als schädlich identifizieren.

Ein Beispiel: Die selbstlernende KI beobachtet, dass auf mehreren Geräten häufig Powershell-User-Agents eingesetzt werden. Es wird jedoch nur dann ein Vorfall gemeldet, wenn der User-Agent zu einer ungewöhnlichen Zeit auf einem Gerät beobachtet wird.

Oder Darktrace stellt fest, dass tagtäglich WMI-Befehle zwischen Tausenden von Gerätekombinationen hin und her geschickt werden. Diese Aktivität wird jedoch nur dann gemeldet, wenn die Befehle sowohl für das Quell- als auch das Zielgerät ungewöhnlich sind.

Auch subtile Hinweise auf einen Missbrauch von Mimikatz, wie die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB-Traffic, werden aus dem normalen Geschehen in der Infrastruktur herausgefiltert.

„Living off the Land“-Techniken werden uns vorerst erhalten bleiben. Vor diesem Hintergrund verabschieden sich Sicherheitsteams nach und nach von herkömmlichen Sicherheitstools, die versuchen, anhand historischer Angriffsdaten neue Angriffe zu erkennen. Stattdessen setzen sie auf KI, die sich fortlaufend ein Bild von ihrer Umgebung macht und dadurch subtile Abweichungen erkennt, die auf eine Bedrohung hindeuten – selbst wenn dies legitime Tools betrifft.

Vielen Dank an unsere Darktrace Analysten Isabel Finn und Paul Jennings für die Einblicke in diesen Bedrohungsfall und ihren Beitrag zum MITRE ATT&CK-Mapping.

Beobachtete MITRE ATT&CK-Techniken:

TaktikenMITRE-Techniken und Beobachtungen von Darktrace
ReconnaissanceActive Scanning: Vulnerability Scanning (T1595.002)
Anomalous Server Activity::Server Activity on New Non-Standard Port
Resource DevelopmentObtain Capabilities: Malware (T1588.001)
Anomalous File::EXE from Rare External Location
Initial AccessDrive-By Compromise (T1189)
Anomalous File::EXE from Rare External Location
Unusual Activity::Suspicious RPC Sequence

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Hardware Additions (T1200)
Device::New Device with Attack Tools
Device::Attack and Recon Tools

Trusted Relationship (T1199)
Device::Large Outbound VPN Data
Anomalous Connection::New Outbound VPN

Valid Accounts (T1078)
User::New Admin Credentials on Client
ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
Anomalous Connection::Powershell to Rare External
IaaS::Compute::Anomalous Command Run on Azure VM
Device::New PowerShell User Agent
Device::Anomalous Active Directory Web Services

Command and Scripting Interpreter: Unix Shell (T1059.004)
IaaS::Compute::Anomalous Command Run on Azure VM

Command and Scripting Interpreter: Windows Command Shell (T1059.003)
IaaS::Compute::Anomalous Command Run on Azure VM

Inter-Process Communication: Component Object Model (T1559.001)
Unusual Activity::Suspicious RPC Sequence

Windows Management Instrumentation (T1047)
Device::New or Uncommon WMI Activity
Device::Unusual WinRM - Heuristic
Anomalous Connection::Rare WinRM Outgoing
Device::Incoming WinRM And Script Download
PersistenceCreate Account (T1136)
User::New Credential for Client
User::Multiple Uncommon New Credentials on Device

Create Account: Domain Account (T1136.002)
User::Anomalous Domain User Creation Or Addition To Group

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Privilege EscalationDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Defense EvasionDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
Credential AccessBruteforce (T1110)
Unusual Activity::Large Volume of Kerberos Failures
Device::Bruteforce Activity
Device::Spike in LDAP Activity
Device::SMB Session Bruteforce
Device::Anomalous NTLM Bruteforce
Unusual Activity::Successful Admin Bruteforce Activity
Device::LDAP Bruteforce Activity
Anomalous Server Activity::Unusual Server Kerberos

Bruteforce: Credential Stuffing (T1110.004)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Device::LDAP Password Spray

Bruteforce: Password Cracking (T1110.002)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity

Bruteforce: Password Guessing (T1110.001)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Unusual Activity::Large Volume of Radius Failures

Bruteforce: Password Spraying (T1110.003)
Device::Spike in LDAP Activity
Device::LDAP Password Spray

OS Credential Dumping: DCSync (T1003.006)
Unusual Activity::Suspicious RPC Sequence

Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001)
Device::Active Directory Reconnaissance

Unsecured Credentials: Group Policy Preferences (T1552.006)
Device::Unusual Group Policy Access

Unsecured Credentials: Credentials In Files (T1552.001)
Anomalous File::Internal::New Access to Sensitive File
DiscoveryAccount Discovery: Domain Account (T1087.002)
Device::Possible Active Directory Enumeration

Domain Trust Discovery (T1482)
Device::Possible Active Directory Enumeration

File and Directory Discovery (T1083)
Anomalous Connection::SMB Enumeration
Compliance::SMB Drive Write
User::Suspicious Admin SMB Session
Device::Suspicious SMB Query
Unusual Activity::SMB Access Failures

Network Service Scanning (T1046)
Unusual Activity::Possible RPC Recon Activity
Device::Possible RPC Endpoint Mapper Dump

Network Share Discovery (T1135)
Anomalous Connection::SMB Enumeration
Unusual Activity::Anomalous SMB Reads to New or Unusual Locations
Device::Suspicious SMB Query

Query Registry (T1012)
Device::Suspicious SMB Query

Remote System Discovery (T1018)
Anomalous Connection::SMB Enumeration

System Information Discovery (T1082)
Device::Suspicious SMB Query

System Network Configuration Discovery (T1016)
Device::Suspicious SMB Query
Lateral MovementExploitation of Remote Services (T1210)
Device::New User Agent To Internal Server
Device::Suspicious New User Agents
Device::New PowerShell User Agent
Device::New User Agent

Lateral Tool Transfer (T1570)
Compliance::SMB Drive Write
Anomalous File::Internal::Internal File Transfer on New Port

Taint Shared Content (T1080)
Compliance::SMB Drive Write

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
CollectionAutomated Collection (T1119)
Unusual Activity::Internal Data Transfer

Data Staged (T1074)
Unusual Activity::Internal Data Transfer
Anomalous Connection::Unusual Incoming Data Volume

Email Collection (T1114)
Unusual Activity::Internal Data Transfer
Command and ControlApplication Layer Protocol: Web Protocols (T1071.001)
Compromise::Empire Python Activity Pattern

Ingress Tool Transfer (T1105)
Anomalous File::EXE from Rare External Location

Non-Standard Port (T1571)
Anomalous Connection::Application Protocol on Uncommon Port
ImpactAccount Access Removal (T1531)
User::Admin Domain Password Change

Data Encrypted for Impact (T1486)
Unusual Activity::Sustained Anomalous SMB Activity

Service Stop (T1489)
Anomalous Connection::New or Uncommon Service Control
Anomalous Connection::High Volume of New or Uncommon Service Control

Oakley Cox

Oakley Cox is Analyst Technical Director for the Asia-Pacific region, and oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.