Immer mehr Angreifer, sowohl Nationalstaaten als auch Cyberkriminelle, verzichten zunehmend auf den Einsatz von Schadsoftware. Statt Schadsoftware nutzen sie Werkzeuge, die mit dem Betriebssystem ausgeliefert werden oder vom Windows-Hersteller Microsoft digital signiert sind, um einen Fuß ins Zielsystem zu kriegen. Frank Ully, Titelautor der neuen iX 5/2025, erklärt, was es mit dieser auch "Living off the Land" genannten Angriffsmethode auf sich hat. Anzeige Frank Ully Frank Ully ist Principal Consultant Cybersecurity & Head of Cyber Operations and Research bei Corporate Trust Business Risk & Crisis Management in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit. Cyberattacken ohne Malwareeinsatz sind immer mehr auf dem Vormarsch. Welche Strategien nutzen die Angreifer dabei? Angreifer missbrauchen im Betriebssystem mitgelieferte Programme und Bibliotheken oder andere legitime, beispielsweise von Microsoft signierte Anwendungen, oft mit unerwarteten zusätzlichen Funktionen wie dem Herunterladen von Dateien. Eine spezielle Art von missbrauchter, eigentlich gutartiger Software sind Fernwartungstools wie Anydesk oder ScreenConnect. Die sind für Angreifer attraktiv, weil sie nicht umständlich eigene Remotezugriffstrojaner entwickeln müssen. Diese Angriffstechniken, die unter dem etwas unscharfen Begriff Living off the Land (LOTL, auch LOL) firmieren, können verschiedene präventive Sicherheitsmaßnahmen umgehen und sind auch schwieriger zu erkennen. In dem Kontext werden auch Windows-Treiber als Angriffsvehikel genannt – wo liegt hier die Gefahr? Angreifer missbrauchen verwundbare Treiber, die auf einem System vorhanden sind, oder installieren selbst Treiber mit bekannten Lücken. Da Treiber im Kernel leben, eröffnen Schwachstellen darin ein Einfallstor ins Herz von Windows, durch das Angreifer die höchsten System-Rechte erlangen, Malwarescanner und EDR blenden oder ausschalten und selbst fortgeschrittene Sicherheitsmechanismen wie Secure Boot oder Codesignierung umgehen. Wenn Antivirensoftware damit ja praktisch unterlaufen ist – wie kann man solche Angriffe überhaupt erkennen? Anzeige Werkzeuge für Endpoint Detection and Response (EDR) können manche der Living-off-the-Land-Angriffe erkennen. Da allerdings legitime Anwendungen missbraucht werden und die EDR-Hersteller Fehlalarme vermeiden, melden sie auch nicht alles. Helfen kann ein Security Information and Event Management (SIEM) mit passenden Erkennungsregeln; das ist allerdings nicht effizient. Einfacher ist die Jagd nach anomalem Verhalten – besonders auf Ebene des Verzeichnisdienstes – und die Suche nach installierten, aber normalerweise nicht von der Organisation genutzten Fernwartungswerkzeugen. Auch Deception ist ein brauchbarer Ansatz: Kein legitimer Benutzer sollte in einen Honigtopf greifen. Jede Interaktion damit ist mindestens verdächtig, im schlimmsten Fall bösartig. Eine spezielle Variante von Honeytoken können Verteidiger für legitime Tools erstellen, die Angreifer häufig missbrauchen. Präventiv hilft Anwendungssteuerung (Application Allowlisting) mit AppLocker oder dem neueren App Control for Business, früher Windows Defender Application Control (WDAC). Das verringert die Angriffsfläche deutlich und kann häufig missbrauchte LOTL-Anwendungen explizit blockieren. Frank, vielen Dank für die Antworten! Einen Überblick zu den LOTL-Angriffen und Gegenmaßnahmen gibt es in der neuen iX. Außerdem befassen wir uns mit Threat Intelligence – also Erkenntnissen aus der Spionageabwehr über Cyberbedrohungen. All das und viele weitere Themen finden Leser im Mai-Heft, das ab sofort im heise Shop oder am Kiosk erhältlich ist. In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum. (axk)