LOLBins: Die unscheinbare Bedrohung

„Die Gelegenheit, den Feind zu schlagen, gibt uns der Feind selbst.“

Sunzi – Die Kunst des Krieges

LOLBins sind wie ein Dieb, der zum Einbrechen einen Ersatzschlüssel verwendet, anstatt das Schloss aufzubrechen. Der Schlüssel gehört zum Haus und wird normalerweise von den Besitzern verwendet, folglich gibt es für Sicherheitssysteme keinen Anlass, Alarm zu geben. Ganz ähnlich nutzen Cyberkriminelle für ihre Aktivitäten legitime integrierte Tools (LOLBins) aus, um unerkannt zu bleiben, anstatt eigene Programme zu entwickeln.

Was genau sind LOLBins ?

Living Off the Land Binaries, kurz LOLBins, sind systemeigene ausführbare Programme innerhalb eines Betriebssystems, die hauptsächlich in Windows, aber auch in macOS und Linux vorkommen und für schädliche Zwecke missbraucht werden können. Sie werden in der Regel für administrative Aufgaben, Systemdiagnosen oder zur Installation von Software eingesetzt. Das Befehlszeilenprogramm wmic.exe (Windows Management Instrumentation Command-line) ist beispielsweise ein reguläres Tool, mit dem Administratoren Systeminformationen abrufen oder Befehle ausführen können. Die certutil.exe dient zur Zertifikatsverwaltung, einer wichtigen Aufgabe für eine sichere Kommunikation. Unter macOS und Linux ist hingegen die Befehlszeilenschnittstelle ssh (Secure Shell) für einen sicheren Fernzugriff unerlässlich. Außerdem werden Skriptsprachen wie Phyton und Bash, die häufig auf diesen Systemen zu finden sind, zum Automatisieren von Verwaltungs- und Installationsaufgaben eingesetzt.

Da diese Tools bereits auf dem System vorhanden sind und innerhalb des Betriebssystems als vertrauenswürdig gelten, können sie oftmals herkömmliche Sicherheitsmaßnahmen wie Antivirus-Software oder Anwendungswhitelists umgehen. Cyberkriminelle stärken mithilfe von LOLBins gerne ihre Tarnung, indem sie sie mit legitimen Clouddiensten (GitHub, S3, Dropbox, Google Drive usw.) und Fileless Malware kombinieren.

Beim LOTL-Konzept („Living off the land“, also Einsatz bereits vorhandener Mittel) werden nicht nur ausführbare Programme missbraucht, sondern auch andere Techniken wie Skriptsprachen (etwa PowerShell in Windows) oder integrierte Funktionen. LOLBins machen allerdings einen recht großen Anteil der LOTL-Angriffe aus, da sie sich relativ leicht ausnutzen lassen. Diese ausführbaren Programme sind Bestandteil des Betriebssystems und daher in der Regel vom Hersteller oder Anbieter signiert, wodurch sie sowohl für das Betriebssystem selbst als auch eine Sicherheitssoftware als vertrauenswürdig gelten. Folglich werden sie in der Cybersecurity schnell zum sprichwörtlichen zweischneidigen Schwert.

Wie setzen Cyberkriminelle LOLBins ein?

Angreifer können LOLBins während verschiedener Phasen eines Angriffs missbrauchen – zum Erstzugriff ebenso wie zur lateralen Ausbreitung oder zum Datendiebstahl. Typische Taktiken sind:

• Umgehen von Anwendungswhitelists: Ist ein System so konfiguriert, dass nur bestimmte Anwendungen ausgeführt werden dürfen, nutzen Angreifer die auf der Whitelist als Ausnahmen eingetragenen LOLBins, um schädlichen Code auszuführen. Die zum Registrieren von DLLs eingesetzte regsvr32.exe kann etwa missbraucht werden, um bösartige Payloads herunterzuladen und auszuführen. Ähnlich kann mithilfe der mshta.exe ein beliebiger JavaScript-Code von externen Quellen wie GitHub ausgeführt werden.
• Tarnen: Da LOLBins zulässige Tools sind, werden deren Aktivitäten von Sicherheitssoftware als normal angesehen, was es für den Schutz schwieriger macht, zwischen legitimem und schädlichem Verhalten zu unterscheiden. Über die certutil.exe zur Zertifikatsverwaltung kann das Herunterladen und Dekodieren von Malware zum Beispiel als standardmäßige Systemaufgabe kaschiert werden.
• Laterale Ausbreitung: Angreifer nutzen LOLBins, um sich seitlich innerhalb eines Netzwerks zu bewegen. Über das Befehlszeilenprogramm wmic.exe können Befehle per Fernzugriff ausgeführt werden, wodurch Angreifer ihren Zugriff über mehrere Systeme hinweg ausbreiten können.
• Datenexfiltration: LOLBins erleichtern den Datendiebstahl, da Daten mittels Tools wie der tar.exe (Linux/macOS) oder der WinRAR.exe (sofern vorhanden) komprimiert und dann über die bitsadmin.exe , ein intelligenter Dienst zum Hoch- und Herunterladen von Dateien im Hintergrund, übertragen werden können.
• Persistenz: Angreifer erlangen Persistenz, indem sie LOLBins einsetzen, um bösartige Aktivitäten zu planen. Mithilfe der schtasks.exe können sie beispielsweise Aufgaben anlegen, um in bestimmten Abständen schädliche Skripts oder Payloads auszuführen.
• Ausweiten der Berechtigungen: Mit LOLBins können Angreifer auch ihre Berechtigungen auf einem anfälligen oder bereits kompromittierten System ausweiten. Dazu lässt sich die eventvwr.exe ausnutzen, um die Benutzerkontensteuerung (UAC) zu umgehen und Administratorberechtigungen zu erlangen.
• Ausführen von Remotebefehlen: Die powershell.exe ist eine bei Angreifern beliebte LOLBin, um auf dem kompromittierten System Befehle per Fernzugriff auszuführen. Auf diese Weise können sie infizierte Computer steuern, Malware bereitstellen oder Daten stehlen.
• Ausführen von Fileless Malware: Viele LOLBins erlauben ein dateiloses Ausführen, also dass Skripte direkt im Speicher ausgeführt und nicht auf die Festplatte geschrieben werden. Dadurch können schädliche Skripte herkömmliche Erkennungsmechanismen umgehen. Über PowerShell-Befehle lassen sich beispielsweise schädliche Payloads direkt in den Arbeitsspeicher herunterladen und dort ausführen, ohne im Dateisystem eine Spur zu hinterlassen.

Beispiele für herkömmliche LOLBins

Eine vollständige Liste aller ausnutzbaren LOLBins wäre zu lang, weshalb wir hier wenigsten die am häufigsten missbrauchten aufführen möchten:

• Windows: powershell.exe, cmd.exe, regsvr32.exe, wmic.exe, certutil.exe, bitsadmin.exe, mshta.exe, rundll32.exe, taskschd.exe, csc.exe, psexec.exe, CertReq.exe
• macOS/Linux: curl, wget, ssh, tar, dd, awk, sed

Die Gefahr durch LOLBins: Wenn aus dem Freund ein Feind wird

Für die Cybersecurity stellen LOLBin-Angriffe eine große Herausforderung dar. Aufgrund ihrer verstohlenen Art, legitime Anwendungsaufgaben zu imitieren, können sie lange Zeit unentdeckt bleiben. LOLBins eignen sich, um wirksam Antivirenprogramme und das Whitelisting von Anwendungen zu umgehen, und sie können außerdem an verschiedene Malware-Aktivitäten und -Umgebungen angepasst werden. Da sie als legitime Anwendung gelten, sind Angriffe darüber nur schwer zuzuordnen. Die bösartigen Aktionen werden mit regulären Prozessen vermischt, was ein Erkennen nahezu unmöglich macht. Darüber hinaus hinterlassen sie kaum Spuren im System, was eine Reaktion auf Vorfälle und deren forensische Analyse erschwert. Dementsprechend bringen LOLBins ein enormes Risiko mit sich, das fortschrittliche Erkennungs- und Abwehrstrategien erfordert.

Cyberkriminelle enttarnt: Das Erkennen von LOLBin-Missbrauch

Wie bereits erwähnt lässt sich ein Missbrauch von LOLBins nur schwer aufspüren, da sie als integraler Bestandteil des Systems gelten.

• Legitime und schädliche Nutzung: Da LOLBins für reguläre Aufgaben eingesetzt werden, sind fortschrittliche Überwachungsmethoden erforderlich, um normale von schädlicher Nutzung zu unterscheiden.
• Ausweichtaktiken: Angreifer setzen Techniken zur Verschleierung ein und führen Befehle direkt im Arbeitsspeicher aus, um herkömmliche Sicherheitslösungen zu umgehen.
• Kontextbewusstsein: Um Angriffe wirksam zu erkennen, ist es unerlässlich zu wissen, wozu ein LOLBin eingesetzt wird. Indem Sicherheitsteams Verhaltensmuster analysieren, können sie ungewöhnliche Aktivitäten erkennen.

Abwehr von LOLBin-Angriffen

Zur Abwehr derartiger Angriffe ist ein Sicherheitsansatz über mehrere Ebenen mit Fokus auf LOLBins erforderlich, der aktive Maßnahmen, hohe Erkennungsleistung und Strategien zur Reaktion auf Vorfälle kombiniert. Das Wichtigste beim Schutz vor LOLBin-Angriffen besteht darin zu verstehen, wie sie innerhalb des ATT&CK-Frameworks von MITRE passen. Dabei handelt es sich um ein umfangreiches Playbook mit Angriffstaktiken und -methoden, um diese auf strukturierte Art und Weise zu verstehen und sich dagegen zur Wehr setzen zu können.

Es gilt also, Schritt für Schritt ein starkes Abwehrsystem aufzubauen. Dabei darf man sich nicht nur auf eine Sache verlassen, sondern muss einen ganzheitlichen Ansatz verfolgen. Eine der wirkungsvollste Methoden ist die Endpunkterkennung und -reaktion (EDR). EDR ist wie eine Art Wachmann, der jeden Endpunkt (Ihre Computer, Laptops usw.) beaufsichtigt. Sie gibt einen umfassenden Einblick darüber, was vor sich geht – von Kommandozeilenbefehlen bis hin zu Netzwerkverbindungen. Diese ausführliche Überwachung hilft, die ungewöhnlichen Aktivitäten von LOLBins zu erkennen und Verbindungen zu anderen verdächtigen Ereignissen herzustellen. Auf diese Weise können Sie sich ein Bild über die Gesamtsituation machen und schnell reagieren.

Außerdem gibt es das SIEM-System (Security Information and Event Management), in dem alle Sicherheitsprotokolle zusammenlaufen. Das System analysiert diese Protokolle, um Muster aufzuspüren, die auf einen LOLBin-Angriff hindeuten. Das ist in etwa wie ein hochintelligenter Analytiker, der große Datenmengen durchforstet und versteckte Bedrohungen aufspürt. Eine weitere Möglichkeit sind UEBA-Tools (User and Entity Behavior Analytics). Derartige Tools „lernen“ für jeden Benutzer und jedes Gerät, wie deren normales Verhalten aussieht, ähnlich einem personalisierten Sicherheitsprofil. Sobald etwas von diesem Standardverhalten abweicht, wird ein Alarm ausgegeben.

Darüber hinaus dürfen auch die Grundlagen nicht vergessen werden. Regelmäßige Patches und Updates sind unerlässlich, um Sicherheitslücken zu stopfen. Indem Sie Systeme auf dem neuesten Stand halten, minimieren Sie Schwachstellen, die anderenfalls von Angreifern ausgenutzt werden könnten. Daneben ist es auch ratsam, das Prinzip der geringsten Berechtigungen zu implementieren, bei dem Benutzer nur die absolut erforderlichen Berechtigungen erhalten. Auf diese Weise hält sich der Schaden in Grenzen, sollte doch einmal ein Konto kompromittiert werden.

Ein weiterer wichtiger Faktor ist die Überwachung der Befehlszeilenschnittstelle. Achten Sie immer darauf, was über die Befehlszeilenschnittstelle eingegeben wird, insbesondere wenn es ungewöhnliche Parameter oder Sequenzen sind. Das ist dann, als würde man die Gespräche der Angreifer belauschen. Bleiben Sie zudem immer über die neuesten LOLBin-Angriffstechniken auf dem Laufenden, indem Sie aktuelle Sicherheitsneuigkeiten lesen, um Kriminellen einen Schritt voraus zu sein.

Zu guter Letzt benötigen Sie einen starken Notfallplan. Dieser beschreibt Schritte zum Erkennen, Eindämmen, Entfernen und Wiederherstellen und dient so als Playbook, welche Maßnahmen im Falle eines Angriffs am besten zu ergreifen sind. Auf diese Weise wissen alle Beteiligten, wie sie sich in einem Notfall verhalten müssen.

Zusätzlich zu diesen Hauptstrategien gibt es weitere wichtige Schutzschichten. Bei der Verhaltensanalyse kommen fortschrittliche Technologien zum Einsatz, um ungewöhnliches Systemverhalten zu erkennen. Mithilfe der Protokollanalyse lassen sich verdächtigte Aktivitäten in der Befehlszeilenschnittstelle, im Netzwerk und in Ereignisprotokollen aufspüren. Die Überwachung der Dateiintegrität warnt Sie, wenn unerlaubte Änderungen an Systemdateien vorgenommen werden, und dank der Analyse des Netzwerkverkehrs können ungewöhnliche Verbindungen, etwa zu schädlichen IPs, identifiziert werden. Regelmäßige Überprüfungen der Sicherheit helfen Ihnen, ausführbare Systemprogramme und deren Verwendung zu hinterfragen. Und natürlich dürfen auch Schulungen der Benutzer nicht vergessen werden. Sie und Ihre Mitarbeiter müssen auf dem neuesten Stand bleiben, wie Sie verdächtige Aktivitäten von Systemtools erkennen können. Hierzu sind Newsletter sowie Anleitungen und Tipps nützlich. Wissen ist die erste Verteidigungslinie.

Indem Sie all diese Strategien und Ansätze kombinieren, können Sie ein stabiles Sicherheitssystem errichten und das Risiko von LOLBin-Angriffen maßgeblich senken. Bleiben Sie aktiv, aufmerksam und vorbereitet.

Fazit

LOLBins bergen für Unternehmen jeder Größe ein zunehmendes Risiko. Indem Sie verstehen, wie Angreifer diese regulären Tools ausnutzen, und Sie solide Abwehrmaßnahmen implementieren, können Sie sich und Ihr Unternehmen besser schützen und das Risiko minimieren. Für eine wirkungsvolle Verteidigung gegenüber LOLBin-Angriffen ist eine mehrstufige Sicherheitsstrategie bestehend aus Vorbeugung, Erkennung und schneller Reaktion unerlässlich. Darüber hinaus ist es im Kampf gegen ständig neue Cyberbedrohungen wichtig, sich über die neuesten LOLBin-Taktiken zu informieren und wachsam zu bleiben, denn in der heutigen digitalen Welt ist das rechtzeitige Erkennen und Reagieren auf den Missbrauch dieser Systemanwendungen elementar für eine sichere IT-Umgebung.

Übersetzung: Doreen Schäfer