Thought Leadership
LOL-Angriffe sind trotz der identischen Abkürzung eher weniger zum Lachen. Living-off-the-Land ist eine bösartige Angriffsvariante, die sich in der betreffenden Umgebung wie ein besonders aggressiver Tumor verhält. In Form von „LOC“-Angriffen ist die Methode inzwischen auch in der Cloud angekommen.
Eine zunehmend von Cyberkriminellen eingesetzte Angriffsmethode ist unter dem (hochironischen) Akronym „LOL“ bekannt. In diesen sogenannten Living-off-the-Land-Szenarien (LOL oder LOTL) stützen sich die Angreifer auf einen beliebigen Satz nativer Tools, die aus der Umgebung des Opfers selbst stammen. „Living-off-the-Land“ meint, dass hier Ressourcen genutzt werden, die ein Angreifer vor Ort vorfindet.
LOL-Angriffe sind besonders schwer zu erkennen. Sie verwenden weder eine Malware noch bösartigen Code, was es erheblich schwieriger macht, Angriffe als solche zu identifizieren. Sie verwenden vielmehr native, interne Anwendungen und Befehle (wie Windows Command Shell/CMD, PowerShell, Windows Management Interface, Schtasks, etc.). Die bösartigen Aktivitäten werden dem regulären Datenverkehr beigemischt und verbleiben so oft monatelang unentdeckt in der Umgebung des Opfers, ohne Spuren oder Artefakte zu hinterlassen.
Das Risiko von LOL-Angriffen in der Cloud
Es kann kaum verwundern, dass Cyberkriminelle ihre Aufmerksamkeit zunehmend auf die Cloud lenken. Dazu bringen sie LOL-Techniken mit, die speziell auf Cloud-Infrastrukturen ausgerichtet sind, daher der Name „Living-off-the-Cloud“-Angriffe. Die Azure Cloud-Plattform von Microsoft registriert beispielsweise rund 1,5 Millionen Angriffetäglich.
Wie funktionieren Living-off-the-Cloud-Angriffe?
Genau wie bei herkömmlichen LOL-Attacken, bei denen die Angreifer ihre bösartigen Aktivitäten hinter legitimen Tools und Traffic verbergen, nutzen immer mehr Cyberkriminelle die Software-as-a-Service- (SaaS) und Infrastructure-as-a-Service-Anwendungen (IaaS) des Opfers selbst. Ziel ist es, die bösartige Aktivitäten wie vertrauenswürdigen Cloud-Datenverkehr aussehen zu lassen.
Millionen von Nutzern und Unternehmen vertrauen auf Dienste und Anwendungen in der Cloud. Der betreffende Traffic wir zumeist nicht geprüft und passiert ganz legitim Firewalls und andere Verteidigungsmaßnahmen. Deshalb sind Living-off-the-Cloud-Angriffe (LOC) gleichermaßen schwer oder gar nicht zu erkennen. Außerdem spielen nicht wenige Cloud-Tools und Dienste eine Schlüsselrolle in Unternehmen. In den meisten Fällen kommt es nicht in Frage, diese Dienste zu blockieren, weil das nicht unerhebliche Auswirkungen auf die alltäglichen Geschäftsabläufe haben würde.
Dennoch, allein in der jüngsten Vergangenheit wurden etliche erfolgreiche LOC-Angriffe gemeldet. Hier nur einige Beispiele:
- Cyberkriminelle haben Online-Speicherdienste wie Dropbox und Google Drive genutzt, um Malware-Payloads einzuschleusen.
- Berichten zufolge haben Angreifer Atlassians Trello-Dienste missbraucht, um eigene Befehle auszuführen, Systeme zu kontrollieren und Daten auszuspionieren.
- Angreifern ist es gelungen, Ngrok zu missbrauchen, einen cloudbasierten Dienst, den Entwickler nutzen, um Code ohne lästiges Domain-Hosting auszutauschen. Hier wurden bösartige Payloads an die Geräte der Opfer gesendet.
Das Risiko von LOC-Angriffen senken
Es ist wie gesagt alles andere als trivial, LOC-Angriffe zu erkennen. Wer die folgenden Empfehlungen beherzigt, kann das Risiko aber deutlich senken:
1. Ganzheitliche Systeme statt Silo-Tools
LOC-Angriffe laufen in mehreren Phasen ab: Sie infiltrieren Netzwerke etwa durch Phishing oder sie verwenden gestohlene Anmeldedaten. Anschließend kompromittieren sie die Systeme, weiten Zugriffsberechtigungen aus und bewegen sich lateral im Netz weiter. Alternativ verhalten sie sich ruhig und warten auf eine günstige Gelegenheit. Dennoch kann man in jeder dieser Phasen einen Angreifer daran hindern, sich weiter im Netz vorwärtszubewegen.
Leider ist es immer noch oft so, dass Sicherheitstools in Silos und fragmentiert bereitgestellt werden. Das erschwert es, den Kontext oder die Telemetrie dieser unterschiedlichen Kontrollmechanismen wirklich zu verstehen. Eine alternative Option ist eine Cloud-native (also direkt über die Cloud bereitgestellte) Single-Pass-Architektur in einer SASE (Secure Access Software Edge)-Lösung. SASE liefert einen Echtzeit-Überblick über das gesamte Ökosystem (von den Endpunkten über die Geräte, die Benutzer und Clouds bis hin zum Netzwerk sowie der Cybersecurity-Makroumgebung). Im Falle eines plötzlich eintretenden, unvorhergesehenen Vorfalls behalten Unternehmen so jederzeit die nahtlose Kontrolle über ihre IT-Umgebung.
2. Den unbefugten Zugang und die unbefugte Nutzung von Anwendungen beschränken
Gewähren Sie Benutzern, Identitäten oder Anwendungen keine allgemeinen Zugriffsrechte. Nur weil ein Benutzer authentifiziert wurde, heißt das nicht, dass er Zugriff auf alle Unternehmens- und Systemressourcen haben sollte. Verfolgen Sie in Sachen Sicherheit einen Zero-Trust-Ansatz, bei dem alle Zugriffsanfragen daraufhin geprüft werden, was angefragt wird, wer die Anfrage stellt und in welchem Kontext sie steht (Uhrzeit, Standort, Gerätekennung, Verhaltensmuster oder an Cloud-Dienste gesendetes Datenvolumen usw.).
Konfigurieren Sie granulare Kontrollen für Ihre Anwendungen. Unternehmen können Ihre Einstellungen beispielsweise so wählen, dass sie nur geschäftliche Dropbox-Instanzen zulassen. Wenn eine andere als die genehmigten Instanzen erkannt wird, werden die jeweiligen Benutzer blockiert. Alternativ können Unternehmen einen offenen Dropbox-Zugang gewähren, aber verhindern, dass Dateien mit proprietären oder vertraulichen Daten wie Sozialversicherungsnummern, personenbezogenen Daten oder Kreditkarteninformationen auf eine Cloud-Entität hochgeladen werden.
3. Mitarbeitende regelmäßig schulen, gerade im Hinblick auf Phishing
Phishing ist nach wie vor einer der am häufigsten eingesetzten Wege, über den sich Angreifer einen ersten Zugang verschaffen. Das gilt auch für LOC-Angriffe. Schulen Sie Ihre Mitarbeitenden regelmäßig, damit sie nichts anklicken, herunterladen oder beantworten, dass sie besser unangetastet lassen sollten. Erläutern Sie, wie Cloud-Dienste missbraucht werden können, und schaffen Sie ein entsprechendes Bewusstsein. Dann ist jeder Einzelne aufmerksam und meldet potenziell anomales Verhalten. Nach Einschätzung der Analysten von Gartner werden bis 2025 95 % des digitalen Arbeitspensums über Cloud-native Plattformen abgewickelt – verglichen mit lediglich 30 % im Jahr 2021. Wenn sie es nicht schon längst ist, wird sich die Cloud-Technologie endgültig zum Mainstream entwickeln. Das macht es unabdingbar, die eigene Architektur, die geltenden Richtlinien und die gesamte Cybersicherheitskultur stärker auf die Cloud zu fokussieren. Nur so haben Unternehmen die Möglichkeit, vorausschauend auf die sich ständig wandelnde, allgegenwärtige und anhaltende Bedrohungslandschaft zu reagieren. Und auf Angriffe, die immer häufiger die Cloud ins Visier nehmen…
Autor: Etay Maor Senior Director of Security Strategy, Cato Networks
www.catonetworks.com
