Eine Auswertung von 700.000 sicherheitsrelevanten Ereignissen aus den Telemetriedaten der Bitdefender-Gravityzone-Plattform belegt, dass Angreifer für ihre tiefergehenden Attacken legitime Admin- und Entwicklertools nutzen. In 84 Prozent der analysierten Fälle der letzten 90 Tage nutzten sie Living-off-the-Land- (LOTL)-Binaries. Eine überprüfende Analyse von Daten der Managed-Detection-and-Response (MDR)-Dienste von Bitdefender bestätigt dieses Ergebnis: Hier setzten die Hacker in 85 Prozent der Fälle LOTL-Taktiken ein.
Die Ergebnisse zeigen, dass Cyberkriminelle kontinuierlich und weitverbreitet bekannte und legitime Tools für ihre weiterreichenden Attacken nutzen. Dabei sind sie mit den Werkzeugen genauso gut vertraut wie die IT-Administratoren. Tools wie etwa powershell.exe, wscript.exe und cscript.exe sind daher schon seit geraumer Zeit verdächtig. Überraschenderweise verwenden die Hacker aber am häufigsten netsh.exe, welches in mehr als einem Drittel der größeren Attacken zum Einsatz kam. So zeigt die Studie, wie eine Datenanalyse Trends aufzeigen kann, die ein menschlicher Beobachter zunächst instinktiv ignorieren würde.
Zu den beliebtesten Tools, die Hacker für ihre Angriffe missbrauchen, gehören:
-
netsh.exe: Normalerweise nutzen Administratoren diese Kommandozeilen-Utility, um Netzwerkkonfigurationen – und damit Firewalls, Schnittstellen sowie das Routing – zu verwalten. Dass Hacker dieses Tool zum Ausspionieren von Firewall-Konfigurationen nutzen, ist im Nachhinein ein naheliegender Sachverhalt.
-
powershell.exe: Der Gebrauch des ausführbaren Kommandozeilen-Tools samt Skriptsprache eröffnet Eindringlingen zahlreiche Möglichkeiten. Sich mit PowerShell zu tarnen, ist zudem effektiv: Das Tool, das für manche den Ruf eines Schweizer Messers der IT hat, kommt in 96 Prozent der untersuchten Unternehmen legitim zum Einsatz.
Dabei wird dieses Tool großflächiger verwendet, als vermutet. Erwartungsgemäß sollten vor allem Administratoren zu PowerShell greifen. Erstaunlicherweise konnte die Analyse aber auf 73 Prozent aller Endpunkte PowerShell-Aktivitäten nachweisen. Ein Grund: Nicht nur Administratoren nutzen PowerShell, sondern auch Applikationen von Drittanbietern. Powershell.exe verwenden im Asien-Pazifik-Raum nur 53.3 % der Unternehmen, in der EMEA-Region dagegen 97,3 Prozent.
-
reg.exe: Damit können Hacker Registry-Einträge abfragen, ändern, hinzufügen oder entfernen. Eindringlinge nutzen reg.exe häufig, um sich einen persistenten Zugang zu Opfernetzen zu verschaffen. Reg.exe ist vor allem in der APAC-Region in vielen Unternehmen als legitimes Tool im Einsatz.
-
csc.exe: Dieser Microsoft C#-Compiler kompiliert C#-Quellcode in ausführbare .exe-Dateien oder in dynamische Programmbibliotheken (Dynamik Link Libraries – DLL).
-
rundll32.exe: Die System-Utility lädt aus DLL-Dateien exportierte Funktionen und führt sie aus. Sie wird oft für DLL-Sideloading-Attacken verwendet.
Die Tools sind bei Hackern wie Administratoren gleichermaßen beliebt. Ausnahmen wie die von den Angreifern gerne genutzten, aber von Administratoren seltener verwendeten Tools wie mshta.exe, pwsh.exe oder bitsadmin.exe bestätigen diese Regel. Hacker verwenden außerdem unter Entwicklern beliebte Tools, wie etwa csc.ex, msbuild.exe (Microsoft Build Engine) oder ngen.exe (.NET Native Image Generator). Eine Überwachung, die sich nur auf herkömmliche Systemadministrator-Werkzeuge fokussiert, kann den missbräuchlichen Einsatz dieser Tools übersehen.
Legitimen und illegitimen Einsatz von Tools unterscheiden
Weil Hacker verstärkt legitime Tools für ihre Zwecke entfremden, benötigen IT-Verantwortliche innovative Ansätze, um bösartigem Tool-Einsatz granular zu erkennen. Dazu analysieren fortschrittliche Technologien alle Aktivitäten der Tools. Moderne Abwehrlösungen wie Bitdefender GravityZone Proactive Hardening and Attack Surface Reduction (PHASR) blockieren daher PowerShell nicht pauschal. Sie lassen die Ausführung regulärer Skipts zu, unterbinden aber das Ausführen verschlüsselter Kommandos oder die Manipulation kritischer Systemkonfigurationen.
Info: Weitere Einzelheiten zu den Bitdefender-Labs -Ergebnissen hier: https://www.bitdefender.com/en-us/blog/businessinsights/700000-security-incidents-analyzed-living-off-land-tactics.
#Bitdefender
powered by Borlabs Cookie 