Living off the Land
Was ist Living off the Land?
Living off the LandAngriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.
Living off the Land (LotL) bezeichnet Intrusionen, in denen Angreifer Ausfuehrung, Discovery, Persistenz und Lateral Movement mit Bordmitteln und vertrauenswuerdiger Administrationssoftware erreichen (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Da diese Binaries signiert und im Betrieb erwartet sind, unterlaufen sie haeufig signaturbasierte Antivirenprodukte und gehen in der normalen Admin-Telemetrie unter; Erkennung wird zu einem Verhaltensproblem statt einem Hash-Problem. LotL ist eng mit MITRE-ATT&CK-Taktiken fuer Defense Evasion und Execution verknuepft und wird von APT-Gruppen und Ransomware-Affiliates intensiv genutzt. Schutz: Application Control (WDAC/AppLocker), Command-Line- und ScriptBlock-Logging, EDR-Verhaltensanalyse, Least Privilege.
● Beispiele
- 01
certutil.exe wird verwendet, um ein Second-Stage-Payload von einer Angreifer-URL zu laden.
- 02
Verschluesseltes PowerShell wird per bitsadmin und geplanten Tasks gestartet, statt eine EXE auszubringen.
● Häufige Fragen
Was ist Living off the Land?
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Living off the Land?
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.
Wie funktioniert Living off the Land?
Living off the Land (LotL) bezeichnet Intrusionen, in denen Angreifer Ausfuehrung, Discovery, Persistenz und Lateral Movement mit Bordmitteln und vertrauenswuerdiger Administrationssoftware erreichen (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Da diese Binaries signiert und im Betrieb erwartet sind, unterlaufen sie haeufig signaturbasierte Antivirenprodukte und gehen in der normalen Admin-Telemetrie unter; Erkennung wird zu einem Verhaltensproblem statt einem Hash-Problem. LotL ist eng mit MITRE-ATT&CK-Taktiken fuer Defense Evasion und Execution verknuepft und wird von APT-Gruppen und Ransomware-Affiliates intensiv genutzt. Schutz: Application Control (WDAC/AppLocker), Command-Line- und ScriptBlock-Logging, EDR-Verhaltensanalyse, Least Privilege.
Wie schützt man sich gegen Living off the Land?
Schutzmaßnahmen gegen Living off the Land kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Living off the Land?
Übliche alternative Bezeichnungen: LotL, LOL.
● Verwandte Begriffe
- attacks№ 632
LOLBin / LOLBAS
Signiertes Systembinary oder Skript (LOLBin/LOLBAS), das Angreifer fuer Ausfuehrung, Download, Persistenz oder Umgehung von Schutzmechanismen missbrauchen, waehrend es wie ein legitimes Admin-Tool aussieht.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
● Siehe auch
- № 045AMSI-Bypass
- № 1186UAC-Bypass