Wenn Sie an ein Verbrechen denkenwählen Kriminelle im Allgemeinen den Weg des geringsten Widerstands. Der Weg, auf dem sie unbemerkt ein- und ausgehen können, ohne Beweise zu hinterlassen. Cyber-Kriminelle sind nicht anders. Sobald sie ausfindig gemacht haben Sobald sie ihr Ziel ausfindig gemacht haben, nutzen Hacker einfach zu handhabende Taktiken, die unter dem Radar fliegen können. Sie hoffen, dass sie eindringen, Daten exfiltrieren und spurlos verschwinden können, bevor das Unternehmen merkt dass sie eingebrochen wurde. NextGen AV- und EDR-Lösungen haben sich weiterentwickelt, um besser auf Malware reagieren zu können, mehr und mehr Cyberkriminelle führen stattdessen immer mehr LOTL-Angriffe (Living off the Land) durch.
Was ist ein LOTL-Angriff?
Computer verfügen über leistungsstarke integrierte Tools, die für das Funktionieren eines Betriebssystems von entscheidender Bedeutung sind. Ein LOTL-Angriff ist ein Angriff, bei dem diese Computer-Tools oder andere legitime Software für böswillige Zwecke genutzt werden. Hacker manipulieren diese integrierten Tools und verwenden Ihren Computer gegen Sie, um , ihre Mission zu erfüllen, die in der Regel darin besteht, Ihre Daten zu stehlen.
Welche Tools verwenden Hacker bei LOTL-Angriffen?
87%von Cyberangriffen nutzen heute PowerShell, was es zum mit Abstand beliebtesten LOTL-Angriffsvektor macht. PowerShell ist eine in Windows integrierte Shell-Schnittstelle, die IT-Administratoren ein leistungsstarkes Tool zur Interaktion mit dem Betriebssystem und zur Automatisierung von Aufgaben bietet. Hacker verwenden PowerShell häufig, um Skripte in Zielumgebungen auszuführen, die Backdoors installieren, Daten exfiltrieren und Ransomware installieren. Sobald ein Cyberkrimineller Zugriff auf PowerShell auf dem Computer eines Opfers erlangt hat, kann er diesen Computer kontrollieren und potenziell auf jeden Computer zugreifen, der sich im gleichen Netzwerk befindet.
Obwohl PowerShell das beliebteste Tool für Missbrauch ist, enthält jedes Betriebssystem enthält viele andere leistungsstarke integrierte Tools, die Hacker ausnutzen können. Windows Management Instrumentation (WMI) wird häufig verwendet, um Volumenschatten zu manipulieren und festzustellen welches Antivirenprogramm installiert ist und die Endpunkt-Firewall zu stoppen zu. Rundll32 wird häufig verwendet, um die Anwendungskontrolle zu umgehen, legitime DLLs zu missbrauchen und bösartige DLLs auszuführen. Cyberkriminelle missbrauchen sogar die Windows-Registrierung, indem sie Änderung bestimmte Registrierungsschlüssel, um Anmeldedaten zu stehlen und andere Sicherheitskontrollen zu umgehen. Leider finden Cyberkriminelle immer dann, wenn Verteidiger einen Weg finden, sich gegen eine bestimmte Angriffsmethode zu schützen, ein neues Tool, das sie missbrauchen können, um auf Daten zuzugreifen, und so setzt sich der Kreislauf fort.
Verwandt: ThreatLocker Webinar "Eingebaute Apps können als Waffe gegen Sie eingesetzt werden"
Warum sind LOTL-Angriffe so beliebt?
Die Werkzeuge sind leicht verfügbar.
LOTL-Angriffe sind bei Cyberkriminellen sehr beliebt, um ihre bösen Taten zu begehen. Diese signierten, legitimen Tools sind standardmäßig in Computern integriert und somit leicht verfügbar.LOTL-Angriffe sind schwer zu erkennen.
Da Computer für ihre normalen Betriebsfunktionen auf diese nativen Tools angewiesen sind, ist es EDR- und NextGen-AV-Lösungen nur schwer zwischen einer typischen, erwarteten Nutzung und einem Angriff unterscheiden , bei dem . Die mit LOTL-Techniken durchgeführten Angriffe gelten als „dateilos“, was dazu beitragen dazu, sie vor Sicherheitstools zu verschleiern.LOTL-Angriffe können es Angreifern ermöglichen, Persistenz zu erreichen.
Da sie schwer zu erkennen sind, können Angreifer diese integrierten Funktionen nutzen, um Persistenz zu erreichen, was bedeutet, dass der Angreifer in einer Umgebung Fuß fassen kann. Durch das Erreichen von Persistenz können Cyberkriminelle die und die Zielumgebung über einen längeren Zeitraum hinweg erkunden und so alle Schlüssel zum Königreich entdecken, ohne entdeckt zu werden.LOTL-Angriffe sind schwer zu verhindern.
Die bei LOTL-Angriffen missbrauchten nativen Tools sind auf allen Windows-Computern vorinstalliert und für normale Verwaltungsfunktionen erforderlich. Aus diesem Grund können die meisten Umgebungen nicht einfach deaktivieren, deinstallieren oder blockieren diese gängigen Angriffsvektoren deaktivieren, deinstallieren oder blockieren. Dateilose Angriffe können mit herkömmlicher Endpunktsicherheit verhindert werden, da sie von diesen Erkennungs- und Reaktions .
Wie kann ThreatLocker dazu beitragen, die mit LOTL-Angriffen verbundenen Risiken zu mindern?
Sie sehen also, warum LOTL-Angriffe so schwer zu bekämpfen sind. Die gute Nachricht ist: Herausfordernd nicht unmöglich, und ThreatLocker kann dazu beitragen, das mit LOTL-Angriffen verbundene Risiko zu mindern. ThreatLocker funktioniert anders als herkömmliche Endpoint-Sicherheitstools und trägt zur Schaffung einer Zero-Trust-Umgebung bei. ThreatLocker Application Allowlisting verhindert die Ausführung nicht autorisierter Anwendungen, Skripte oder DLLs. Da diese integrierten Tools für normale Verwaltungsfunktionen erforderlich sind, funktioniert die Erstellung einer Regel zum Blockieren ihrer Ausführung in den meisten Umgebungen nicht. Obwohl Sie können sie blockieren, ohne einen Computer zu beschädigen, kann ein Angreifer, der Zugriff auf eines dieser nativen Windows-Tools erhält und versucht ein nicht autorisiertes Skript auszuführen, wird das Skript blockiert.
Um das Risiko weiter zu verringern, ThreatLocker hat entwickeltRingfencing™.Technologie entwickelt. Ringfencing™ schafft Grenzen um erlaubten Ringfencing™ schafft Grenzen um zugelassene Anwendungen, um festzulegen, womit diese autorisierten Anwendungen interagieren können, und blockiert nicht autorisierte Interaktionen mit anderen Anwendungen, der Registrierung, Ihren Dateien und dem Internet. Blockieren Sie die Interaktion von Anwendungen mit PowerShell, WMI, Rundll32 und allen anderen Anwendungen, die die nicht Dadurch wird verhindert, dass ein bösartiger Akteur über eine andere Anwendung Zugriff auf PowerShell erhält, z. B. über ein bösartiges Word-Dokument zur Ausführung eines PowerShell-Skripts. Angenommen, einem Cyberkriminellen gelingt es, auf PowerShell zuzugreifen. Wenn Ringfencing angewendet wird, kann PowerShell kann nicht PowerShell nicht auf das Internet zugreifen, um weitere Anweisungen von einem Command-and-Control-Center zu erhalten oder Ihre Dateien auf eine bösartige URL zu kopieren.
Zusammenfassung
LOTL-Angriffe bieten Cyberkriminellen eine effektive Möglichkeit, wertvolle Daten zu stehlen, ohne Sicherheits-Tools zu alarmieren. Diese integrierten Tools sind notwendige Komponenten von Windows, was bedeutet, dass sie nicht nicht deinstalliert oder blockiert werden. LOTL-Angriffe stellen Cyber-Verteidiger zwar vor Herausforderungen, doch mit den richtigen Tools lassen sich die Risiken mindern. ThreatLocker Allowlisting unterstützt eine Zero-Trust-Umgebung, und alle nicht autorisierten Apps, Skripte und Bibliotheken werden standardmäßig blockiert, um vor bösartigen Skripten zu schützen. ThreatLocker Ringfencing™ ermöglicht es Ihnen, Schutzvorrichtungen um Ihre zugelassenen Anwendungen und nativen Tools Schutzvorrichtungen einrichten, um zu verhindern, dass Anwendungen nicht genehmigte Interaktionen mit anderen Anwendungen und den leistungsstarken nativen Tools durchführen. Die ThreatLocker Endpoint Protection Platform können Sie die mit LOTL-Angriffen verbundenen Risiken mindern.
Obwohl es kein einzelnes Produkt kann heute jedes Risiko verhindern oder mindern, doch ThreatLocker Endpoint Protection Platform bietet zahlreiche Tools, mit denen Sie die Kontrolle über Ihre Umgebung behalten. Vereinbaren Sie noch heute eine Live-Produktdemonstration und überzeugen Sie sich selbst davon, wie ThreatLocker vor LOTL-Angriffen schützt und andere Cyber-Schwachstellen mindert.
Dies ist ein gesponserter Blogbeitrag.
