In letzter Zeit haben mehrere Nachrichtenseiten zum Thema Cybersicherheit den Artikel von Microsoft zitiert, der die Tarnung von Flax Typhoon (Bedrohungsakteure) bei der Durchführung ihrer Cyberangriffe beschreibt. Die Lektüre des Artikels enthält viele wertvolle Informationen, die wir Ihnen ans Herz legen möchten. Dennoch möchten wir unseren Lesern ein paar Dinge mitteilen.
Zunächst werden wir uns mit der „Living off the Land“-Technik befassen und herausfinden, warum sie eine effektive Angriffsmethode ist. Zweitens werden wir untersuchen, wie Sie sich gegen solche Techniken verteidigen können.
Was ist die „Living off the Land“-Angriffsmethode?
Ohne zu googeln und einfach die verschiedenen Interpretationen zu zitieren, wollen wir die Definition vereinfacht erklären: „Living off the Land“ ist eine Technik, bei der Bedrohungsakteure legitime (native) Tools missbrauchen, die (oft) bereits auf dem Zielsystem installiert sind. Das Ziel einer solchen Technik ist es, so lange wie möglich unbemerkt in der Zielumgebung zu bleiben.
Warum ermöglicht die „Living off the Land“-Methode überhaupt ein unauffälliges Eindringen?
Wir werden uns hier so kurz wie möglich fassen. Zunächst einmal gibt es wahrscheinlich drei Fälle, die wir aus einer übergeordneten Perspektive unterscheiden müssen:
- Der Kunde hat nur Endpoint Protection (d. h. Virenschutz, Firewall usw.), aber keine Sichtbarkeit und keine Möglichkeiten zur Erkennung von Bedrohungen, die nicht einfach „blockiert“/“verhindert“ werden können.
- Der Kunde verfügt über Endpoint Protection und hat Einblick in Protokolle und Ereignisse, die auf dem Endpunkt generiert werden, die aber nicht unbedingt „verhindert“ und/oder „blockiert“ werden können (z. B. EDRs, NGFW usw.).
- Der Kunde hat keine Visibility oder Endpoint Protection.
Gut, den dritten Fall können wir auslassen, da jede Technik in einem solchen Fall ohne jegliche Visibility oder aktivierten Schutz funktionieren würde.
Im ersten Fall ist es sehr einfach, unauffällig zu bleiben, vor allem mit der „Living off the Land“-Technik. Wir werden uns auf den zweiten Fall konzentrieren und erklären, warum sie in solchen Fällen (meistens) funktioniert.
Die Sicherheitsüberprüfung besteht in der Ausführung von Sicherheitstools auf einem Rechner, die in der Lage sind, verschiedene Prozesse und/oder Ereignisse, die auf dem Rechner ablaufen, zu überwachen. Bei der Protokollierung dieser Ereignisse verfügen gute Lösungen über Korrelationsfunktionen, bei denen verschiedene Prozesse und/oder Änderungen verschiedener Eigenschaften (Dateien, Registrierungen usw.) zu einem verdächtigen Ereignis zusammengefügt werden, das an die Front-End-Benutzeroberfläche des verwendeten Tools gemeldet wird. An dieser Stelle würden Sicherheitsanalysten oder IT-Teams solche Berichte (oder Alarme/Ereignisse/Fälle, wie auch immer die Terminologie des Anbieters lautet) prüfen und untersuchen.
Nun ist es so, dass viele Prozesse/Änderungen/Ausführungen, die schädlich sein können, auch völlig legitim sind. PowerShell ist zum Beispiel ein völlig legitimes Tool, das häufig von SW-Entwicklern, Systemadministratoren, IT-Teams usw. verwendet wird. Aber wir alle wissen, dass es sehr wohl in schädigender Absicht missbraucht werden kann. Solche Ereignisse können nicht als potenziell böswillig gemeldet werden, da sie viele Fehlalarme auslösen würden (insbesondere in einem Unternehmen, das PowerShell in großem Umfang für legitime Zwecke einsetzt), was die Person, die diese Ereignisse untersucht, überfordern würde. Darüber hinaus gibt es andere systemeigene Tools, mit denen Angreifer versuchen, unentdeckt zu bleiben (im Microsoft-Artikel werden beispielsweise SCM, WMIC, Sticky Keys usw. erwähnt).
Da Sicherheitslösungen keine Alarme auslösen oder die Ausführung solcher legitimen Tools verhindern, um die Zahl der Fehlalarme zu begrenzen, ermöglicht die Verwendung dieser Tools in schädlicher Absicht eine derartig unauffällige Tarnung.
Wo wird diese Technik am häufigsten eingesetzt?
Unserer Erfahrung nach ist es praktisch das Ziel eines jeden Bedrohungsakteurs, unentdeckt zu bleiben – unabhängig von seinem Endziel. Allerdings stellen wir fest, dass nur erfahrene Gruppen von Bedrohungsakteuren in der Lage sind, solche Techniken anzuwenden. Dabei wird nicht einfach eine Ransomware-Schadsoftware ausgeführt, die alle Aufgaben übernimmt. Diese Technik erfordert Anpassungsfähigkeit im laufenden Betrieb, was extrem schwierig ist. Sobald sie die erste Verteidigungslinie erfolgreich durchdrungen haben, z. B. indem sie einen öffentlich zugänglichen Webserver ausnutzen, müssen sie zumindest eine grundlegende Analyse durchführen, um die Umgebung zu verstehen, in der sie gelandet sind. Und auf Basis der gewonnenen Informationen müssen sie ihre nächsten Schritte planen, um unentdeckt zu bleiben: Welche Tools haben sie zur Verfügung bzw. installiert? Welche Nutzerrechte haben sie erlangt? Welche Persistenzmethode ist am besten geeignet, um auch nach einem Neustart unentdeckt zu bleiben? All dies ist sehr komplex und steht oft unter Zeitdruck, so dass erfahrene Hacker gefragt sind.
Da Ransomware-Erpressungen nachweislich die beste “ Geldgewinnungs“-Methode sind und das Hauptmotiv der meisten Nicht-APT-Gruppen in der Tat darin besteht, mit ihren Angriffen Geld zu verdienen, werden diese Gruppen solche Techniken wahrscheinlich nicht so häufig einsetzen, da dies nicht einmal wirklich erforderlich ist – mit Ransomware will man schnell vorankommen: rein, raus, verschlüsseln und wieder raus. Die staatlich gesponserten Bedrohungsakteure werden solche Techniken am ehesten einsetzen. Eines der Motive ist hier, durch Spionage Informationen über ihr Ziel zu erhalten. Um dies zu erreichen, müssen die Angreifer sehr lange in der Umgebung bleiben, um die Informationen zu erhalten, die sie benötigen, um Techniken wie „Living off the Land“ anzuwenden.
Wie Sie Ihr Unternehmen gegen eine solche Technik schützen können
Beginnen wir mit präventiven Gegenmaßnahmen. Hier sollten wir uns überlegen, wie wir verhindern können, dass legitime, systemeigene Tools von Cyberkriminellen missbraucht werden. Eine Antwort wäre die Deaktivierung solcher Tools, die böswillig missbraucht werden können. Und diese Antwort ist, ehrlich gesagt, völlig legitim. Leider kann sie nicht für alle Unternehmen gelten, da einige von ihnen für ihre Geschäfte auf diese Tools angewiesen sind. Aber die Antwort liegt irgendwo dazwischen, und wir bezeichnen sie als Application Whitelisting.
Beim Application Whitelisting wird die Nutzung von Tools oder Anwendungen auf diejenigen beschränkt, die bereits überprüft und genehmigt wurden. Sie können noch einen Schritt weiter gehen, indem Sie dies auf Rollen- oder Nutzerbasis tun, da einige Nutzer eine Anwendung verwenden müssen, während andere dies nicht tun. Ein offensichtlicher Nachteil ist die Notwendigkeit, solche Listen zu verwalten, da sie sich häufig ändern. Dennoch ist das Application Whitelisting eine der stärksten Abwehrmaßnahmen gegen solche Bedrohungen – aber auch gegen viele andere! Daher ermutigen wir Unternehmen, diese Methode zu implementieren.
Nun wird es immer noch einige Nutzer geben, die bestimmte Anwendungen auf der Whitelist haben, welche bei einem Cyberangriff missbraucht werden können. Jetzt müssen Sie sich auf die Erkennungsfunktionen konzentrieren.
Das wesentliche Unterscheidungsmerkmal bei der Erkennung dieser Bedrohungen könnte sein:
- Das Endpoint Security-Produkt, das in der Lage ist, anomales Verhalten zu melden. Die Erkennung von Anomalien kann sich in Fällen als hilfreich erweisen, in denen einige legitime Tools für böswillige Zwecke missbraucht werden, der User dieses Tool aber nie benutzt hat. Dies würde ein anomales Ereignis auslösen, und eine Untersuchung kann stattfinden. Dies ist natürlich nicht absolut wasserdicht und kann auch zu vielen Fehlalarmen führen – je nachdem, wie ausgereift die Unternehmen sind, die es einsetzen.
- Die Analysten, die den Fall untersuchen, sind wahrscheinlich die besten Schlüsselpersonen, die den Missbrauch legitimer Tools aufdecken können, da sie durch die Korrelation aller Ereignisse, die auf dem Zielsystem ausgelöst wurden, und durch die Anwendung historischer Daten in Kombination mit der Intelligenz der Unternehmensstruktur (ob erwartet wird, dass diese Maschine „dies“ tun würde) Einblicke gewinnen können.
- Die gezielte Suche nach Bedrohungen ist eine Methode, die als Teil eines jeden Sicherheitsprogramms eingesetzt werden sollte und die sich in diesem speziellen Fall auf die Erkennung von Persistenz konzentrieren könnte, die häufig durch „Living off the Land“-Techniken missbraucht wird.
Wie Sie sehen, stützt sich nur die erste Option stärker auf Tools – in diesem Fall sogar auf „KI-gestützte“ Tools. Die zuverlässige Detektion liegt jedoch im Einsatz von Sicherheitsüberwachungsfunktionen in Kombination mit erfahrenen Analysten, die solche Fälle untersuchen.
Zusammenfassend lässt sich sagen: Durch die Kombination von präventiven Funktionen wie Application Whitelisting und Detektionsfunktionen haben Sie eine viel größere Chance, Einbruchsversuche zu erkennen und zu verhindern, die sich auf die Technik „Living off the Land“ stützen.
Über Conscia
Conscia ist ein führender europäischer IT-Spezialist in den Bereichen Netzwerk, Telekommunikation, Cybersicherheit und Cloud und bietet sichere Infrastrukturlösungen und Managed Services rund um die Uhr für Kunden mit komplexen Anforderungen in den Bereichen Netzwerk, Rechenzentrum, Cloud, IoT und Mobilität.
Conscia wurde 2003 gegründet und beschäftigt heute über 1.000 Mitarbeiter, die von Niederlassungen in Dänemark, Schweden, Norwegen, Deutschland, den Niederlanden und Slowenien aus einige der größten Unternehmen in den Bereichen Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor, Fertigung, Versorgungsunternehmen und Einzelhandel betreuen. Ziel des Unternehmens ist es, der beste Arbeitsplatz in Europa für talentierte IT-Spezialisten mit fundierten technischen Kenntnissen zu sein.