Living-off-the-Land-Angriffe: Herausforderung und WatchGuard Advanced EPDR

Sogenannte Living-off-the-Land (LotL)-Attacken stellen im IT-Security-Umfeld schon immer eine nicht zu unterschätzende Gefahr dar und es wird immer schwieriger, sie zu erkennen. Bei dieser Angriffsform kommt keine externe Malware zum Einsatz, stattdessen werden legitime Systemtools wie PowerShell, WMI oder Office-Makros ausgenutzt. Auf diese Weise kann sich ein Angreifer oft lange Zeit unbemerkt in einem Netzwerk bewegen.

Da sie auf vertrauenswürdige, digital signierte Werkzeuge setzen, sind die potenziellen Eindringlinge mit herkömmlichen Sicherheitsmaßnahmen nur schwer zu identifizieren. Kein Wunder also, dass sich diese Methode auf Seiten der Cyberbösewichte hoher Beliebtheit erfreut, schließlich ist die Wahrscheinlichkeit eines erfolgreichen Angriffs umso höher.

Gängige Techniken bei LotL-Angriffen 

• PowerShell: Hacker bringen via PowerShell bösartige Skripte ins Spiel, damit diese heruntergeladen und ausgeführt werden. Zudem wird PowerShell genutzt, um Remote-Verbindungen herzustellen oder Systemeinstellungen zu ändern, ohne dass dabei eindeutige Spuren hinterlassen werden. 
• Windows Management Instrumentation: WMI wird missbraucht, um Befehle aus der Ferne auszuführen, Systemdaten zu sammeln oder um sich dauerhaft auf einem System zu bewegen. 
• Werkzeuge zur Remote-Administration: Tools wie PsExec werden instrumentalisiert, um böswillige Befehle aus der Ferne auszuführen. 
• Office-Makros: Hacker betten bösartige Makros in Office-Dokumente ein und setzen auf die Ahnungslosigkeit der Anwender. Sobald ein solches Makro aktiviert wird, kommt es zur Ausführung des vom Hacker hinterlegten Codes.

Schutz vor LotL-Angriffen mit WatchGuard Advanced EPDR 

• Anwendungskontrolle: Es kommt darauf an, Tools wie PowerShell und WMI immer auf bestimmte Anwender und Prozesse zu beschränken. 
• Monitoring und automatisierte Verhaltensanalyse: Verhaltensanalysen in der Cloud tragen maßgeblich dazu bei, ungewöhnliche Systemaktivitäten zu erkennen. Wer sich allein auf Signaturen oder klassische Endpoint-Technologie verlässt, wird am Ende den Kürzeren ziehen. 

Der von LoTL-Angriffen ausgehenden Gefahr kann unter anderem mit dem Threat Hunting Service sowie dem Zero Trust Application Service von WatchGuard effektiv begegnet werden. Bei letzterem werden grundsätzlich alle Anwendungen zunächst als verdächtig behandelt. Es kommt erst zur Ausführung, wenn die Vertrauenswürdigkeit eindeutig bestätigt ist. Darüber hinaus bietet WatchGuard Advanced EPDR weitere Funktionen, die es Sicherheitsanalysten ermöglichen, die Anwesenheit eines Angreifers, der sich via LotL-Techniken Zugang verschafft hat, schnell zu erkennen und darauf zu reagieren.  

Analysten können diese Angriffe verhindern, indem sie Anwendungen wie PowerShell und WMI ablehnen. Zudem lassen sich für dateilose Malware-Angriffe typische Verhaltensweisen automatisch erkennen und dem MITRE ATT&CK-Framework zuordnen.  

Mit der neuen Version von Advanced EPDR wird der bestehende Funktionsumfang nochmals erweitert. Analysten können für ihre Untersuchungen nun zentral auf umfassende Telemetriedaten und Threat Intelligence zugreifen. Darüber hinaus liefert WatchGuard Advanced EPDR wertvolle Informationen für die Untersuchung von Vorfällen, die im Zusammenhang mit bösartigen Anwendungen stehen. MITRE ATT&CK-Techniken werden erkannt und alle potenziell bösartigen Aktivitäten, die eine Anwendung entfalten kann, lassen sich im Blick behalten, inklusive der dabei verwendeten externen Funktionen. Hierbei kommt – beispielsweise bei Aufruf von Betriebssystemoperationen oder anderen Bibliotheken – die native Integration von CAPA als Open-Source-Tool zur automatischen Analyse des Anwendungsverhaltens zum Tragen. 

Mehrwert

• Erweiterung der Untersuchung und schnelle Reaktion durch Remote Shell: Die neue Version von WatchGuard Advanced EPDR bietet die Möglichkeit, via Remote Dateien abzurufen, Prozesse zu überprüfen und sogar direkte Maßnahmen auf dem Endpoint zu ergreifen – egal, ob Windows, Linux oder macOS als Betriebssystem im Einsatz ist. 
• Beschränkung risikobehafteter Verbindungen: Mithilfe von Netzwerksegmentierung und entsprechender Begrenzung der Kommunikation zwischen verschiedenen Netzwerksegmenten oder Endpoints lässt sich verhindern, dass sich der Angreifer über LotL-Techniken ungehindert fortbewegt. Die neue Version von WatchGuard Advanced EPDR ermöglicht es Administratoren, Verbindungen von nicht konformen Endpoints, die ein Risiko für geschützte Endpoints darstellen, zu verweigern – wodurch sich die Sicherheitslage von Unternehmen weiter verbessern lässt. 
• Schulung der Mitarbeitenden: Werden diese für die Risiken von Makros sensibilisiert und hinsichtlich der sicheren Verwendung von Verwaltungstools aufgeklärt, kann die Gefahr einer unbeabsichtigten Ausführung bösartiger Skripte zusätzlich eingedämmt werden.

Fazit

Das Risiko von Living-off-the-Land-Angriffen ist allgegenwärtig und mit herkömmlichen Sicherheitslösungen sind Unternehmen oftmals nicht in der Lage, diesen Attacken effektiv Herr zu werden. Eine wirksame Erkennung und Abwehr erfordert eine Kombination aus robusten technischen Kontrollen, ständiger Überwachung und intensiven Sicherheitsschulungen für die Anwender. Mit der neuen Version von WatchGuard Advanced EPDR können Unternehmen solch fortschrittliche Bedrohungen besser erkennen, Übergriffe verhindern, auf entsprechende Vorfälle reagieren und dadurch eine sichere und widerstandsfähige Umgebung gewährleisten. 

Mehr über WatchGuard Advanced EDPR erfahren Sie auf unserer Webseite. Auch im Ressourcen-Center finden Sie viele weitere hilfreiche Informationen.