Cyberangriffe ohne Malware: Living off the Land

In den letzten Jahren beobachten Sicherheitsexperten zunehmend dateilose Angriffe. Sie sind schwer zu entdecken, aber es gibt Gegenmaßnahmen.

Artikel verschenken

6

15.04.2025, 12:00 Uhr

Lesezeit: 34 Min.

iX Magazin

Von

Frank Ully

Cyberangriffe ohne Malware: Living off the Land
- Ein akutes Problem
- Geschichtsstunde und Klassifizierung
Bekannte Einfallstüren und Angriffstools
Fernwartungssoftware und Windows-Treiber
Maßnahmen zur Vorbeugung
Anwendungssteuerung, Regeln und weitere Sicherheitsvorkehrungen
Warnmechanismen und Früherkennung nutzen
Fazit

Artikel in iX 5/2025 lesen

Immer mehr Angreifer, sowohl Nationalstaaten als auch Cyberkriminelle, verzichten soweit möglich auf den Einsatz von Schadsoftware. Denn Zugangsdaten sind wichtiger als Malware, die nur dazu dient, einen Fuß in die On-Prem-Umgebung zu bekommen. Wollen Eindringlinge Daten abziehen oder verschlüsseln, müssen sie Konten mit weitreichenden Rechten übernehmen.

Statt Schadsoftware nutzen Angreifer Werkzeuge, die mit dem Betriebssystem ausgeliefert werden oder vom Windows-Hersteller Microsoft digital signiert sind – in einem erweiterten Verständnis generell vorhandene, eigentlich legitime Software.

Moderne Cyberangriffe nutzen mehr und mehr vorinstallierte Systemwerkzeuge und legitime Fernwartungssoftware wie AnyDesk statt klassischer Malware.
Die erste Strategie ist als Living off the Land (LOTL) bekannt, die zweite als RMM Abuse (Remote Monitoring and Management). Beide Vorgehen erschweren es Sicherheitsprodukten, einen Angriff zu erkennen oder zu verhindern.
Dennoch können sich Organisationen mit Maßnahmen schützen, die generell die Sicherheit erhöhen, beispielsweise mit Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) in Microsoft Defender oder einem praktikabel aufgesetzten Anwendungs-Allowlisting.
Erkannt werden LOTL-Angriffe durch aufwendigere Ansätze wie ein Security Information and Event Management (SIEM), aber auch durch effiziente Techniken wie gezielt aufgestellte Honigtöpfe.

Frank Ully ist Principal Consultant Cybersecurity & Head of Cyber Operations and Research bei Corporate Trust Business Risk & Crisis Management in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit.

Diese Technik ist seit einigen Jahren bekannt als "Living off the Land" – abgekürzt LOL oder LOTL. Die Bezeichnung "Vom Lande leben" geht auf Überlebenskünstler zurück, die in der mehr oder weniger unberührten Wildnis leben, auf moderne Annehmlichkeiten verzichten und mit einfachen Mitteln von dem zehren, was die Natur ihnen bietet. Übertragen auf die IT-Sicherheit: Angreifer nutzen legitime Werkzeuge und Anwendungen, die bereits auf dem System des Opfers vorhanden sind, um ihre böswilligen Ziele zu erreichen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Meshtastic: Blackout-Kommunikation leicht gemacht

Viel hat sich bei Meshtastic getan, seitdem wir 2022 zuletzt über das Projekt berichtet haben. Das kann der Katastrophen-Messenger heute und so steigen Sie ein.

Mehl statt Laptop: Paketdienst zu Schadenersatz verurteilt

Statt eines neuen MacBooks findet der Empfänger nur Mehl im Paket: Das Amtsgericht München nimmt dafür den Paketdienst in die Verantwortung.

Vier Open-Source-Clouds im Vergleich

Bei den freien Cloud-Plattformen hat man mittlerweile die Qual der Wahl: Wir zeigen, wie sich ownCloud, Nextcloud, oCIS und OpenCloud voneinander unterscheiden.

Geldanlage für Einsteiger: Wie man Wissensquellen im Netz findet

Wer sein Geld in Wertpapieren anlegen möchte, sollte sich gut auskennen. Wir haben seriöse Onlinequellen zusammengestellt, die vor allem Anfängern helfen.

Leuchtstarker OLED-Fernseher ohne Spiegelungen: Samsung QE65S95F im Test

Samsung hat sein QD-OLED-Topmodell weiter verbessert und dem QE65S95F auch neue KI-Funktionen spendiert – reicht das, um sich gegen die Konkurrenz zu behaupten?