In den vergangenen Jahren ist die Anzahl von Ransomware-Angriffen stetig gestiegen. Dadurch entwickeln sich die Methoden der Angreifer immer weiter. Gleichzeitig erhalten auch Sicherheitslösungen immer weiter Updates. In diesem Beitrag wollen wir eine Angriffsmethodik vorstellen, die trotz aller Entwicklungen beständig bleibt: Living Off The Land.
Der Inhalt im Überblick
Was bedeutet Living Off The Land?
Im Bezug auf das Leben in der Natur ist hiermit gemeint, von dem zu leben, was bereits vorhanden ist. Dies lässt sich auf Programme im Umfeld von Betriebssystemen (im Besonderen Windows) übertragen. Viele der in Windows enthaltenen Programme und Prozesse können Angreifer für sich nutzen.
Der Begriff LOLBINS (Living Off The Land Binaries) hat sich seit der Zeit seiner Einführung zu LOLBAS (Living Off The Land Binaries And Scripts) weiterentwickelt. Geprägt wurden die Begriffe durch die Malware-Forscher Christopher Campbell und Matt Greaber. Mit LOLBAS sind nun auch Skripte und dynamische Programmbibliotheken in die Definition übernommen worden.
LOLDrivers ist eine Erweiterung des gleichen Konzeptes. Wenngleich Bring Your Own Vulnerable Driver (BYOVD) Angriffe, bei denen ein manipulierter Treiber auf dem Zielsystem einschleusen, mittlerweile weit verbreitet sind, bleiben Angreifer meist länger unentdeckt, wenn Windows-eigene Treiber verwendet werden.
LOLBAS als offenes Projekt zur Verteidigung von Systemen
Als Antwort darauf wurde das LOLBAS-Projekt gegründet, um Sicherheitsexperten bei der Verteidigung ihrer Systeme aber auch Pentestern bei ihrer Arbeit zu unterstützen. Es dokumentiert alle bisher bekannten Programme und Skripte, die für Living off The Land-Techniken verwendet werden können. Wie für ein Open-Source-Projekt üblich, kann jeder neu entdeckte LOLBAS einreichen. Daraufhin wird geprüft, ob sie den folgenden Kriterien entsprechen, bevor diese veröffentlicht, werden:
- Ausführung von Programmen und Skripten
- Kompilieren von Code
- Verschiedene Dateioperationen
- Persistenz
- Umgehen der Benutzerkontensteuerung
- Abgreifen von Anmeldedaten
- Dumpen des Arbeitsspeichers
- Überwachung des Systems
- Modifikation von Ereignisprotokollen
Die hier aufgeführten Kriterien sind allesamt notwendige Schritte welche Angreifer unternehmen müssen, um letztendlich Schadsoftware auf einem System auszuführen. Dabei werden alle Bereiche der sog. Cyber-Kill-Chain von „Reconnaissance“ bis „Actions on Objectives“ abgedeckt.
Wie gehen die Angreifer bei der Cyberattacke vor?
Durch die Verwendung von LOLBAS können Angreifer potenziell länger unentdeckt bleiben. Denn wie der Begriff beschreibt, werden Programme und Skripte genutzt, die in Windows regulär Verwendung finden. Somit werden diese im Regelwerk von Antiviren-Lösungen nicht als grundsätzlich bösartig eingestuft. Antiviren-Lösungen, welche mit Allow-Listing-Signaturen arbeiten, scannen LOLBAS Programme nicht, um die Performance des Systems nicht zu sehr zu beeinträchtigen. Zudem sind viele der unter LOLBAS fallenden Programme digital von bekannten Software-Herstellern signiert.
Oftmals fallen Angreifer durch die Verwendung von Programmen auf, welche in der gegebenen Infrastruktur unüblich sind. Häufig werden diese in temporäre Ordner, oder andernfalls auffällige Bereiche auf einem System geladen. Diese werden in der sog. „Delivery-Phase“ der Cyber-Kill-Chain auf ein System heruntergeladen. In dieser Phase greifen üblicherweise viele der bekannten Antiviren-Lösungen.
Auch hier zeigen sich die Vorteile von LOLBAS für die Angreiferseite. Die vielmals „laute“ Phase des „Delivery“ kann größtenteils wegfallen, da bereits vorhandene Programme genutzt werden.
Welche Schutzmaßnahmen sind gegen LOLBAS effektiv?
Wie bereits aufgezeigt gibt es keine einfache Lösung, um sich vor LOLBAS-Angriffen zu schützen. Antiviren-Lösungen welche nur auf signaturbasierte Prüfungen bauen, greifen bei diesen meist nicht. Daher bilden die zunehmend mitgelieferten, verhaltensbasierten Module eine effektive Ergänzung in IDR-Lösungen.
Gleichzeitig führt Microsoft stets weitere Sicherheitsmaßnahmen ein, um LOLBAS-Angriffe zu erschweren. Beispiele hierfür sind Updates für Sicherheitsrichtlinien von PowerShell, die kontinuierliche Erweiterung des Microsoft Defender oder Microsoft Windows AppLocker.
Wie für den Großteil aller Angriffsszenarien, ist ein erweitertes Logging der Infrastruktur eine effektive Strategie. Unter der Vielzahl von regulären Events, welche regelmäßig geloggt werden, fallen Unregelmäßigkeiten in den Programmausführungen, Prozessen oder der Nutzung von Skripten frühzeitig auf. Auch die Überwachung des Netzverkehrs ist eine entscheidende Maßnahme. Denn jeder Angreifer muss im Verlaufe des Angriffs einen Kommunikationskanal herstellen.
Alle weiteren Schutzmaßnahmen müssen individuell auf die jeweilige Umgebung angepasst werden. Diese sog. Insellösungen sind oftmals sehr aufwendig in der Implementierung, führen jedoch langfristig zu einer Verringerung der Angriffsfläche. Ein Beispiel für diese individuellen Schutzmaßnahmen sind u.a. das Sperren von PowerShell oder CMD für Systeme oder Abteilungen, in denen diese nicht zwingend notwendig sind (Least Privilege).
Nicht zuletzt muss das Verständnis der Nutzer an diesen Systemen geschult werden. Auffälligkeiten werden besser erkannt, wenn Nutzer zwischen regulären und abnormalen Verhalten unterscheiden können. Regelmäßige Schulungen sorgen in diesem Fall für mehr Sicherheit im Unternehmen.
Interessant, Living Off The Land hatte ich noch nicht auf dem Schirm. Nur wie kommen Sie zur Überzeugung, das insbesondere Windows Systeme betroffen sein sollen? Da sehe ich keinen großen Unterschied zu Linux Systeme.
Lolbas beziehen sich tatsächlich nur auf Windows-Systeme. Die Methodik gibt es, wie Sie richtig sagen, natürlich auch für Linux Systeme. Dort wird diese unter dem Begriff „GTFOBins“ geführt.