Living off the Land: Wie Hacker sich in Ihrer Umgebung unter das Geschehen mischen

Cyberkriminelle müssen für ihre Attacken keine spezielle Malware mehr schreiben. Es ist oftmals günstiger, einfacher und effektiver, sich die eigene Infrastruktur eines Unternehmens zunutze zu machen. Bei dieser als „Living off the Land“ bezeichneten Strategie nutzen die Bedrohungsakteure die in der digitalen Umgebung des attackierten Unternehmens vorhandenen Möglichkeiten, um ihre Cyber-Kill-Chain abzuarbeiten.
Zu den Tools, die am häufigsten für schädliche Zwecke missbraucht werden, gehören Powershell, Windows Management Interface (WMI) und PsExec. Diese Tools werden von Netzwerkadministratoren regelmäßig für Routineaufgaben genutzt. Traditionelle Sicherheitstools, die auf statischen Regeln und Signaturen basieren, können nur schwer zwischen einer legitimen und einer schädlichen Nutzung unterscheiden.
Der Begriff wurde bereits 2013 geprägt, aber erst in den letzten Jahren haben sich „Living off the Land“-Tools, -Techniken und -Verfahren (TTPs) massiv ausgebreitet. Das liegt teilweise daran, dass der traditionelle Ansatz für defensive Sicherheit – Blocklisting von Dateihashes, Domains und anderen Bedrohungselementen, die bei früheren Angriffen festgestellt wurden – nicht für die Abwehr solcher Angriffe geeignet ist. Diese getarnten, häufig dateilosen Angriffe sind mittlerweile keine Seltenheit mehr.
In der Vergangenheit standen „Living off the Land“-Angriffe häufig in Verbindung mit hochgradig organisierten, gezielten Hacking-Attacken. APT-Gruppen nutzen schon lange „Living off the Land“-TTPs, weil für sie Unsichtbarkeit oberste Priorität hat. Es sind Trends zu beobachten, dass Ransomware-Gruppen zunehmend auf vom Menschen gesteuerte Ransomware zurückgreifen, die in hohem Maße auf „Living off the Land“-Techniken basiert, anstatt auf Commodity-Malware.
Die Merkmale eines „Living off the Land“-Angriffs
Bevor ein Bedrohungsakteur Ihre Infrastruktur bei einem „Living off the Land“-Angriff gegen Sie verwenden kann, braucht er die Gelegenheit, Befehle auf einem Zielsystem auszuführen. Daher gehen einer „Living off the Land“-Attacke die Auskundschaftung des Netzwerks, laterale Bewegung und das Einnisten voraus.
Sobald ein Gerät infiziert ist, stehen dem Angreifer Hunderte Systemtools zur Verfügung – diese können bereits auf dem System installiert sein oder werden über von Microsoft signierte Binaries heruntergeladen. Auch andere Third-Party-Administrationstools im Netzwerk können, wenn sie in die falschen Hände gelangen, vom Freund zum Feind werden.
Da sich die „Living off the Land“-Techniken ständig weiterentwickeln, ist es schwierig, einen typischen Angriff zu beschreiben. Wir können diese TTPs jedoch in Hauptkategorien einteilen:
„Living off the Land“-TTPs mit Microsoft-Signatur
Microsoft ist in der Geschäftswelt und in jeder Branche allgegenwärtig. Im Rahmen des LOLBAS-Projekts (Living off the Land Binaries and Scripts) sollen alle Binaries und Scripts mit Microsoft-Signatur dokumentiert werden, die von APT-Gruppen für „Living off the Land“-Angriffe missbraucht werden könnten. Bislang stehen 135 potenziell gefährdete Systemtools auf der Liste, die jeweils unterschiedliche Angriffsvektoren erschließen. Das könnte die Erstellung neuer Benutzerkonten, Datenkomprimierung und Exfiltration, das Sammeln von Systeminformationen, das Starten von Prozessen auf dem Zielsystem oder auch die Deaktivierung von Sicherheitsservices sein. Sowohl die Microsoft-Dokumentation gefährdeter vorinstallierter Tools als auch LOLBAS sind fortlaufende Projekte, die keinen Anspruch auf Vollständigkeit erheben können.
Befehlszeile
Für die Installation der schädlichen Payload im Zielsystem haben die Angreifer laut einer aktuellen Studie am häufigsten WMI (WMIC.exe), das Befehlszeilentool (cmd.exe) und PowerShell (powershell.exe) genutzt. Diese Befehlszeilentools werden normalerweise für die Konfiguration von Sicherheitseinstellungen und Systemeigenschaften genutzt, stellen sensible Updates zum Netzwerk- oder Gerätestatus bereit und erleichtern die Übertragung und Ausführung von Dateien zwischen Geräten.
Die Befehlszeilen-Gruppe weist im Wesentlichen drei Hauptmerkmale auf:
- Die Tools sind in Windows-Systemen frei verfügbar.
- Sie werden von den meisten Administratoren oder internen Prozessen genutzt, um tägliche Aufgaben zu erledigen.
- Sie können ihre Kernfunktionen ausführen, ohne dass sie Daten auf eine Festplatte schreiben müssen.
Mimikatz
Mimikatz unterscheidet sich von anderen Tools darin, dass es auf den meisten Systemen nicht vorinstalliert ist. Es handelt sich um ein Open-Source-Dienstprogramm, das zum Auslesen (Dumping) zwischengespeicherter Passwörter, Hashes, PINs und Kerberos-Tickets verwendet wird. Es gibt Netzwerkadministratoren, die Mimikatz für interne Schwachstellenanalysen nutzen, allerdings ist das Tool
Traditionelle Sicherheitsansätze sind häufig nicht in der Lage, den Download, die Installation und die Verwendung von Mimikatz zu erkennen. Es gibt ein breites Spektrum von verifizierten und dokumentierten Techniken für die Tarnung von Tools wie Mimikatz, sodass selbst ein unerfahrener Angreifer eine einfache string- oder hashbasierte Erkennung umgehen kann.
Selbstlernende KI bekämpft „Living off the Land“-Angriffe
„Living off the Land“-Techniken sind extrem effizient, weil sich die Angreifer unter das Gesehen in den digitalen Umgebungen des Unternehmens mischen können. Es ist ganz normal, dass in einem einzelnen digitalen Ökosystem tagtäglich Millionen Zugangsdaten, Netzwerktools und Prozesse verwendet werden. Wie lässt sich in diesem digitalen Getümmel eine schädliche Nutzung legitimer Tools erkennen?
Wie bei den meisten Bedrohungen ist eine grundlegende Netzwerkhygiene der erste Schritt. Dazu gehören die Anwendung des Least-Privilege-Prinzips, die Deaktivierung aller überflüssigen Programme, die Einrichtung von Software-Whitelists und die Bestandskontrolle von Assets und Anwendungen. Diese Maßnahmen sind jedoch nur ein Schritt in die richtige Richtung. Mit etwas Zeit schafft es ein raffinierter Angreifer, diese zu umgehen.
Selbstlernende KI-Technologie hat sich zu einem wichtigen Tool entwickelt, um Angreifer aufzuspüren, die die Infrastruktur eines Unternehmens zu dessen Nachteil verwenden wollen. Sie macht sich von Grund auf ein Bild von der individuellen digitalen Umgebung und lernt die normalen Verhaltensmuster, die „Patterns of Life“, jedes Geräts und Benutzers kennen. „Living off the Land“-Angriffe werden daher in Echtzeit identifiziert, weil die KI subtile Abweichungen erkennt. Das kann zum Beispiel die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB/DCE-RPC-Traffic sein.
Dadurch, dass die KI das Unternehmen genau kennt, spürt sie Angriffe auf, die sich unter dem Radar anderer Tools bewegen. Bei einem „Living off the Land“-Angriff erkennt die KI, dass die Nutzung eines bestimmten Tools für ein Unternehmen zwar normal ist, die Art und Weise der Verwendung jedoch nicht. So kann die KI Verhaltensweisen, die oberflächlich betrachtet legitim erscheinen, eindeutig als schädlich identifizieren.
Ein Beispiel: Die selbstlernende KI beobachtet, dass auf mehreren Geräten häufig Powershell-User-Agents eingesetzt werden. Es wird jedoch nur dann ein Vorfall gemeldet, wenn der User-Agent zu einer ungewöhnlichen Zeit auf einem Gerät beobachtet wird.
Oder Darktrace stellt fest, dass tagtäglich WMI-Befehle zwischen Tausenden von Gerätekombinationen hin und her geschickt werden. Diese Aktivität wird jedoch nur dann gemeldet, wenn die Befehle sowohl für das Quell- als auch das Zielgerät ungewöhnlich sind.
Auch subtile Hinweise auf einen Missbrauch von Mimikatz, wie die Verwendung neuer Zugangsdaten oder ungewöhnlicher SMB-Traffic, werden aus dem normalen Geschehen in der Infrastruktur herausgefiltert.
„Living off the Land“-Techniken werden uns vorerst erhalten bleiben. Vor diesem Hintergrund verabschieden sich Sicherheitsteams nach und nach von herkömmlichen Sicherheitstools, die versuchen, anhand historischer Angriffsdaten neue Angriffe zu erkennen. Stattdessen setzen sie auf KI, die sich fortlaufend ein Bild von ihrer Umgebung macht und dadurch subtile Abweichungen erkennt, die auf eine Bedrohung hindeuten – selbst wenn dies legitime Tools betrifft.
Vielen Dank an unsere Darktrace Analysten Isabel Finn und Paul Jennings für die Einblicke in diesen Bedrohungsfall und ihren Beitrag zum MITRE ATT&CK-Mapping.
Beobachtete MITRE ATT&CK-Techniken:
Taktiken | MITRE-Techniken und Beobachtungen von Darktrace |
Reconnaissance | Active Scanning: Vulnerability Scanning (T1595.002) Anomalous Server Activity::Server Activity on New Non-Standard Port |
Resource Development | Obtain Capabilities: Malware (T1588.001) Anomalous File::EXE from Rare External Location |
Initial Access | Drive-By Compromise (T1189) Anomalous File::EXE from Rare External Location Unusual Activity::Suspicious RPC Sequence External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Hardware Additions (T1200) Device::New Device with Attack Tools Device::Attack and Recon Tools Trusted Relationship (T1199) Device::Large Outbound VPN Data Anomalous Connection::New Outbound VPN Valid Accounts (T1078) User::New Admin Credentials on Client |
Execution | Command and Scripting Interpreter: PowerShell (T1059.001) Anomalous Connection::Powershell to Rare External IaaS::Compute::Anomalous Command Run on Azure VM Device::New PowerShell User Agent Device::Anomalous Active Directory Web Services Command and Scripting Interpreter: Unix Shell (T1059.004) IaaS::Compute::Anomalous Command Run on Azure VM Command and Scripting Interpreter: Windows Command Shell (T1059.003) IaaS::Compute::Anomalous Command Run on Azure VM Inter-Process Communication: Component Object Model (T1559.001) Unusual Activity::Suspicious RPC Sequence Windows Management Instrumentation (T1047) Device::New or Uncommon WMI Activity Device::Unusual WinRM - Heuristic Anomalous Connection::Rare WinRM Outgoing Device::Incoming WinRM And Script Download |
Persistence | Create Account (T1136) User::New Credential for Client User::Multiple Uncommon New Credentials on Device Create Account: Domain Account (T1136.002) User::Anomalous Domain User Creation Or Addition To Group External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Privilege Escalation | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Defense Evasion | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Credential Access | Bruteforce (T1110) Unusual Activity::Large Volume of Kerberos Failures Device::Bruteforce Activity Device::Spike in LDAP Activity Device::SMB Session Bruteforce Device::Anomalous NTLM Bruteforce Unusual Activity::Successful Admin Bruteforce Activity Device::LDAP Bruteforce Activity Anomalous Server Activity::Unusual Server Kerberos Bruteforce: Credential Stuffing (T1110.004) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Device::LDAP Password Spray Bruteforce: Password Cracking (T1110.002) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Bruteforce: Password Guessing (T1110.001) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Unusual Activity::Large Volume of Radius Failures Bruteforce: Password Spraying (T1110.003) Device::Spike in LDAP Activity Device::LDAP Password Spray OS Credential Dumping: DCSync (T1003.006) Unusual Activity::Suspicious RPC Sequence Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001) Device::Active Directory Reconnaissance Unsecured Credentials: Group Policy Preferences (T1552.006) Device::Unusual Group Policy Access Unsecured Credentials: Credentials In Files (T1552.001) Anomalous File::Internal::New Access to Sensitive File |
Discovery | Account Discovery: Domain Account (T1087.002) Device::Possible Active Directory Enumeration Domain Trust Discovery (T1482) Device::Possible Active Directory Enumeration File and Directory Discovery (T1083) Anomalous Connection::SMB Enumeration Compliance::SMB Drive Write User::Suspicious Admin SMB Session Device::Suspicious SMB Query Unusual Activity::SMB Access Failures Network Service Scanning (T1046) Unusual Activity::Possible RPC Recon Activity Device::Possible RPC Endpoint Mapper Dump Network Share Discovery (T1135) Anomalous Connection::SMB Enumeration Unusual Activity::Anomalous SMB Reads to New or Unusual Locations Device::Suspicious SMB Query Query Registry (T1012) Device::Suspicious SMB Query Remote System Discovery (T1018) Anomalous Connection::SMB Enumeration System Information Discovery (T1082) Device::Suspicious SMB Query System Network Configuration Discovery (T1016) Device::Suspicious SMB Query |
Lateral Movement | Exploitation of Remote Services (T1210) Device::New User Agent To Internal Server Device::Suspicious New User Agents Device::New PowerShell User Agent Device::New User Agent Lateral Tool Transfer (T1570) Compliance::SMB Drive Write Anomalous File::Internal::Internal File Transfer on New Port Taint Shared Content (T1080) Compliance::SMB Drive Write Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Collection | Automated Collection (T1119) Unusual Activity::Internal Data Transfer Data Staged (T1074) Unusual Activity::Internal Data Transfer Anomalous Connection::Unusual Incoming Data Volume Email Collection (T1114) Unusual Activity::Internal Data Transfer |
Command and Control | Application Layer Protocol: Web Protocols (T1071.001) Compromise::Empire Python Activity Pattern Ingress Tool Transfer (T1105) Anomalous File::EXE from Rare External Location Non-Standard Port (T1571) Anomalous Connection::Application Protocol on Uncommon Port |
Impact | Account Access Removal (T1531) User::Admin Domain Password Change Data Encrypted for Impact (T1486) Unusual Activity::Sustained Anomalous SMB Activity Service Stop (T1489) Anomalous Connection::New or Uncommon Service Control Anomalous Connection::High Volume of New or Uncommon Service Control |