Getarnte Angriffe verhindern

Cyberdefensive in Zeiten von KI

79 Prozent aller erfolgreichen Cyberangriffe im Jahr 2025 nutzten legitime Bordmittel von Betriebssystemen. Angreifer verwendeten keine Malware, sondern stattdessen gestohlene Zugangsdaten oder Systemtools.

Sie umgingen herkömmliche Sicherheits- und Erkennungssysteme somit nahezu lautlos. Unternehmen benötigen angesichts dieses Wandels dringend eine strukturell neuartige Antwort. Moderne Cybersicherheitsplattformen bieten einen präventiven Sicherheitsansatz an, der solche Angriffsketten präventiv unterbricht und die Risiken eines erfolgreichen Angriffes somit drastisch reduziert.

Anzeige

Doch die Bedrohungslage verschärft sich weiter: IT-Umgebungen werden immer komplexer – Cloud-Dienste, hybride Infrastrukturen, mobile Arbeitsplätze und digitale Lieferketten erweitern kontinuierlich die potenzielle Angriffsfläche für Cyberkriminelle. Dank automatisierter und KI-gestützter Angriffsmethoden identifizieren die Angreifer Schwachstellen und Konfigurationsfehler in diesen Umgebungen immer schneller und können sie besser ausnutzen.

Eine wichtige Triebfeder sowohl für opportunistische wie auch für gezielte, komplexe neue Angriffe sind sogenannte Living-off-the-Land-Mechanismen (LOTL). Dabei missbrauchen Angreifer legitime Systemwerkzeuge wie PowerShell, WMI oder Skript Engines, um sich innerhalb von Netzwerken zu bewegen. Hunderte solcher betriebssystemnaher Tools sind standardmäßig Teil jeder Windows-, Linux- oder MacOS-Installation. Nutzer benötigen sie nur selten.

Hacker dagegen kapern LOTL-Tools immer häufiger, indem sie diese mit gestohlenen Credentials wie ein legitimer User nutzen. Selbst moderne Erkennungslösungen stoßen dann an ihre Grenzen und erzeugen keinen Alarm, da solche Aktivitäten wie reguläre Benutzeraktionen wirken. Die Angreifer können sich hervorragend getarnt einen nachhaltigen Zugang zum angegriffenen Netzwerk verschaffen, Daten und Infrastrukturen auskundschaften und weitere Aktionen vorbereiten.

Anzeige

Die nächste Stufe ist das Nutzen legitimer Dienste: Bei Living-off-the-Services (LOTS) verwenden die Cyberkriminellen Services wie etwa Google Sheets. Cloud-Datenbanken wie Firebase oder Supabase nutzen sie als Ablageort für Metadaten und Zugangsdaten. Mit Slack oder Discord übermitteln sie in Echtzeit Command-and-Control-Kommandos oder exfiltrieren Daten.

KI-Modelle ermöglichen es Hacker-Organisationen, Malware in einem industriell anmutenden Ausmass zu generieren.

Jörg von der Heydt, Bitdefender

Vor den fremden Karren gespannt

Künstliche Intelligenz beschleunigt diese Kompromittierung legitimer Dienste. KI-Modelle ermöglichen es Hacker-Organisationen, Malware in einem industriell anmutenden Ausmaß zu generieren. Die kriminellen Entwickler der sogenannten Vibeware arbeiten dabei mit zwar neuer, aber nicht unbedingt anspruchsvoll codierter Malware. Angriffe unter Ausnutzen legitimer Systemdienste lassen sich durch Trainingsdaten, Dokumentationen, legitime Code-Beispiele sowie in den Large Language Models eingespeiste Software Development Kits (SDK) entwickeln.

Die Fülle an Trainingsdaten ermöglicht es einem LLM, funktionsfähigen Integrationscode für komplexe Application Programming Interfaces (APIs) mit hoher Zuverlässigkeit zu generieren. Dafür ist es nicht länger nötig, eine eigene verdächtige Infrastruktur aufzubauen oder die technischen Feinheiten des zugrunde liegenden Protokolls zu verstehen.

Ein aktuelles Beispiel für solche gut getarnten Attacken ist CrystallShell, eine in der Programmiersprache Crystal entwickelte Backdoor. Sie ermöglicht plattformübergreifende Einsätze in Windows-, Linux- und macOS-Umgebungen. Die Malware verwendet fest programmierte Discord-Kanal-IDs für die Befehls- und Kontrollkommunikation und führt eine rudimentäre Autorisierungsprüfung durch.

Die über die Verwaltungsschnittstellen von Discord ausgegebenen Befehle ermöglichen es, eine Vielzahl von Aufgaben auszuführen und dabei einer standardisierten Angriffskette von der anfänglichen Erkundung bis zur abschließenden Datenexfiltration zu folgen. Mit diesen Tools lassen sich Dienste wie curl, ipinfo, ipconfig, net view und arp ausführen, um das Netzwerk des Opfers zu erfassen. Hacker rufen Listen geplanter Aufgaben, Prozesse und Verzeichnisse ab. PowerShell nutzen sie, um fortgeschrittene Tasks und Code direkt von Remote-Servern auszuführen und bösartige .NET-Assemblies in den Speicher zu laden. Mit PowerShell erstellen sie Screenshots und starten Audioaufzeichnungen.

Eine zeitgemäße Cyberabwehr muss solche Dienste zentral und detailliert überwachen. Jede dauerhafte Verbindung zu diesen Plattformen, die von nicht verifizierten Binärdateien ausgeht, muss heute als potenzieller Indikator für eine Kompromittierung behandelt werden.

Bitdefender Cyberdefense
(Quelle: Bitdefender)

Prävention durch Erkennen von Nutzungsmustern

Proaktive Cybersicherheitsplattformen begegnen diesen neuen Herausforderungen mit einem Sicherheitsansatz, der präventive Härtung, kontinuierliche Risikoanalyse und die Reduktion unnötiger Angriffsflächen miteinander kombiniert. Sie analysieren kontinuierlich, welche Tools Benutzer tatsächlich benötigen. Sie blockieren alle anderen oder lassen automatisch nur eine eingeschränkte Nutzung zu. Mitarbeiter in Marketing, Vertrieb, Finance oder Human Resource werden diese Dienste zum Beispiel generell nicht benötigen. Diese Einschränkung reduziert potenzielle Angriffswege also erheblich, ohne die Produktivität der Anwender zu beeinträchtigen.

Ergänzt wird dieses präventive Erkennen von Nutzerprofilen durch kontinuierliche Schwachstellen-, Risiko- und Konfigurationsanalysen. Sicherheitslücken, Fehlkonfigurationen oder unsichere Systeme lassen sich dadurch frühzeitig identifizieren, priorisieren und automatisiert absichern.

Gleichzeitig überwachen Präventionsplattformen die digitale Angriffsfläche einer Organisation aus der Perspektive eines Angreifers. Dadurch erkennen sie nicht nur exponierte Systeme und Dienste, sondern auch vergessene Cloud-Instanzen, Schatten-IT oder kompromittierte Zugangsdaten in öffentlichen Breach-Datenbanken.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Frühe und gezielte Erkennung senkt die Gefahrenlage

Der Vorteil dieses präventiven Sicherheitsansatzes liegt nicht nur in einer höheren Schutzwirkung. Unternehmen reduzieren gleichzeitig die Belastung ihrer IT- und Security-Teams – und damit auch die Betriebskosten.

Gerade ressourcenintensive Bereiche wie Schwachstellen-, Patch- und Konfigurationsmanagement lassen sich deutlich vereinfachen und automatisieren. Risiken werden priorisiert und kontextbezogen sichtbar gemacht, statt Security-Teams mit immer neuen Warnmeldungen zu belasten. Angesichts des zunehmenden Fachkräftemangels wird dieser Ansatz für viele Organisationen zu einem entscheidenden Faktor für mehr operative Resilienz.

Jörg

von der Heydt

Regional Director

Bitdefender

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.