Warum Angriffe ohne Malware zunehmen

Malware-freie Angriffe verhindern – Living-off-the-Land-Schutzstrategien

Tastenkombi, ClickFix, Trojaner
LinkedInRedditWhatsApp

Mehr als drei Viertel der Cybersicherheitsverantwortlichen geben an, dass Ransomware ihr größtes Problem ist. Angesichts von mehr als 450.000 neuen Malware-Varianten, die täglich identifiziert werden, ist die unerbittliche Herausforderung, Ransomware-Angriffe zu verhindern, unbestreitbar.

Aber damit nicht genug: Ein genauerer Blick auf die sich wandelnde Bedrohungslandschaft zeigt, dass Malware-freie Angriffe ein schnell wachsendes Risiko darstellen. Malware-freie Angriffe machten 2024 bereits 79 Prozent der erkannten Bedrohungen aus, laut dem aktuellen Global Threat Report von CrowdStrike – gegenüber 40 Prozent im Jahr 2019. Diese auch als „Living-off-the-Land“- oder „Fileless“-Angriffe bezeichneten Bedrohungen sind besonders gefährlich und schwer zu stoppen, da sie sich auf legitime Systeme statt auf bösartige Dateien stützen.

Anzeige

Kay Ernst, Manager DACH bei Zero Networks, erklärt Living-off-the-Land-Schutzstrategien:

Malware-freie Angriffe, Fileless-Angriffe oder Living-off-the-land-Angriffe (LotL) sind Cyberangriffe, bei denen Angreifer legitime Tools, Systeme, Dateien oder Anwendungen missbrauchen, um ein Netzwerk zu kompromittieren. Mit anderen Worten: Malware-freie Angriffe nutzen vorhandene Tools und Prozesse in der Umgebung, sodass Angreifer der Erkennung entgehen, sich lateral bewegen können, ohne Alarme auszulösen, und Daten stehlen können, ohne entdeckt zu werden.

Gängige Taktiken

Es gibt nicht nur eine einzige Möglichkeit, einen Malware-freien Angriff durchzuführen – sie sind relativ einfach durchzuführen, da es für Angreifer einfacher denn je ist, die Tools, auf die sich Verteidiger verlassen, als Waffen einzusetzen. Zu den gängigsten Taktiken gehören jedoch unter anderem Social-Engineering-Kampagnen, gestohlene Anmeldedaten und die Ausnutzung von Schwachstellen.

Anzeige

Phishing und andere Social-Engineering-Methoden

Laut dem Verizon-Bericht „2025 Data Breach Investigations Report“ machen Social-Engineering-Angriffe fast ein Viertel aller externen Sicherheitsverletzungen aus – Phishing ist mit 57 Prozent der Vorfälle nach wie vor die häufigste Form von Social Engineering. Social-Engineering-Kampagnen sind ein einfacher Einstiegspunkt für Malware-freie Angriffe. Beispielsweise kann eine Phishing-E-Mail mit missbrauchten Dokumenten Benutzer dazu verleiten, einen Angriff zu ermöglichen.

Gestohlene Anmeldedaten

Die Aussage „Hacker brechen nicht ein, sie loggen sich ein” war noch nie so wahr wie heute.  Drei von vier Angriffen basieren auf gültigen Anmeldedaten und der Missbrauch von Anmeldedaten ist der häufigste erste Angriffsvektor. Unabhängig davon, ob Angreifer Anmeldedaten durch Infostealer, Social Engineering oder eine Vielzahl anderer Taktiken erhalten, reicht ein einziger legitimer Login, um die Tür für einen Malware-freien Angriff zu öffnen.

Missbrauch nativer Tools

Nach dem ersten Zugriff verlassen sich Angreifer bei LotL-Angriffen häufig stark auf Systemtools wie PowerShell und WMI. Angreifer nutzen diese vertrauenswürdigen Tools, um Befehle auszuführen, Konfigurationen zu ändern, Aufgaben zu planen und vieles mehr – ohne dabei Warnmeldungen auszulösen.

Ausnutzung von Schwachstellen

Zero-Day-Exploits haben in den letzten fünf Jahren um 141 Prozent zugenommen, daher ist es kein Geheimnis, dass versteckte Schwachstellen Unternehmen gefährden. Selbst nachdem eine Schwachstelle entdeckt wurde, schafft eine verzögerte Patch-Installation Angreifern die Möglichkeit, Zero-Day-Angriffe ohne bekannte Signatur durchzuführen.

Angriffe auf die Lieferkette

Durch gezielte Angriffe auf vertrauenswürdige kommerzielle Produkte oder sogar Open-Source-Tools in der Lieferkette können Angreifer bösartigen Code in scheinbar legitime Anwendungen einschleusen und Benutzer dazu verleiten, Hintertüren in ihre Netzwerke zu installieren. In der ersten Hälfte des Jahres 2025 dienten Angriffe auf die Lieferkette als erster Angriffsvektor für noch mehr öffentlich bekannt gewordene Datenverletzungen als Ransomware.

Beispiele für Malware-freie Angriffe aus der Praxis

Angesichts der zunehmenden Beliebtheit von Angriffen ohne Malware mangelt es nicht an aktuellen Beispielen aus der Praxis, die dieses Konzept verdeutlichen. Zu den bekanntesten Fällen gehören:

  • SolarWinds: Bei diesem viel beachteten Hack führte die staatlich unterstützte Gruppe APT29 einen Angriff auf die Lieferkette durch, indem sie eine Hintertür in die Orion-Plattform von SolarWinds einschleuste. Die Plattform erschien den Opfern bei der Installation des nächsten Updates weiterhin legitim, verschaffte den Angreifern jedoch einen ersten Zugang. Von dort aus nutzten sie „die Umgebung“ für laterale Bewegungen und die Ausweitung von Berechtigungen, wobei sie sich auf legitime Anmeldedaten und Fernzugriff stützten.
  • Angriffe der Lazarus Group auf Kryptounternehmen: Eine weitere staatlich unterstützte Gruppe, APT38, nahm verschiedene Unternehmen aus der Blockchain-Technologie- und Kryptowährungsbranche ins Visier und nutzte Spear-Phishing-Kampagnen, gestohlene Anmeldedaten und PowerShell-Skripte, um in die Organisationen einzudringen.
  • Astaroth-Banking-Trojaner: Diese Angriffe, die erstmals 2017 durchgeführt wurden, beginnen in der Regel mit einer Phishing-E-Mail, die einen bösartigen Link oder Anhang enthält, der einen nativen Windows-Prozess (wie mshta.exe) verwendet, um einen verschleierten JavaScript-Stub zu starten. Von dort aus lädt das JavaScript zusätzliche Dateien herunter und injiziert die Astaroth-Nutzlast in legitime Windows-Prozesse.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Cybersicherheitstrends: Warum Angriffe ohne Malware zunehmen

Da Malware-freie Angriffe mittlerweile den Großteil der böswilligen Aktivitäten ausmachen, steht außer Frage, dass die Trends in der gesamten Landschaft dazu geführt haben, dass sich diese Bedrohungen ausbreiten konnten.

EDR allein kann Living-off-the-Land-Angriffe nicht stoppen

Seit Jahren setzen Cybersicherheitsteams stark auf erkennungsbasierte Sicherheitsstrategien wie EDR (Endpoint Detection and Response) und vernachlässigen dabei den Schutz. Das Problem bei einer zu starken Abhängigkeit von reaktiven Ansätzen ist, dass Angreifer wissen, wie sie einen Schritt voraus bleiben können. In einem Red Team Assessment Report kam die CISA zu dem Schluss, dass eine übermäßige Abhängigkeit von EDR keinen ausreichenden Schutz bietet, um alle Living-off-the-Land-Angriffe zu stoppen. Mit anderen Worten: Es ist einfach nicht möglich, LotL-Angriffe allein mit EDR zu verhindern.

Maschinenidentitäten schaffen Sicherheitslücken

Maschinenidentitäten wie Dienstkonten, die bekanntermaßen überprivilegiert und unsicher sind, machen mittlerweile über 70 Prozent der vernetzten Identitäten aus. Gleichzeitig werden nur 2,6 Prozent der Workload-Identitätsberechtigungen tatsächlich genutzt. 51 Prozent der Workload-Identitäten sind völlig inaktiv. Versteckte Sicherheitslücken bei Identitäten wie diese schaffen einfache Einfallstore für Angreifer, die sie für Malware-freie Angriffe ausnutzen können.

KI-gestützte Angreifer führen intelligentere Kampagnen in großem Maßstab durch

Mit KI sind Hacker produktiver und effektiver denn je. Beispielsweise benötigen Betrüger etwa 16 Stunden, um manuell eine überzeugende Phishing-E-Mail zu erstellen. Mit Hilfe von KI können Angreifer innerhalb von Minuten hochgradig zielgerichtete Nachrichten entwerfen. Neue Forschungsergebnisse des MIT zeigen, dass 80 Prozent der untersuchten Angriffe KI für alles Mögliche nutzten, von Deepfake-basiertem Social Engineering bis hin zum Knacken von Passwörtern und vielem mehr. Dadurch ist es für Hacker einfacher denn je, sich über Malware-freie Angriffe ersten Zugriff zu verschaffen.

Access-as-a-Service boomt: Identität ist der neue Perimeter

Wie Chris Boehm, Field CTO, betont: „Die meisten Netzwerke wurden nie dafür konzipiert, Identität als Segmentierungsgrenze zu behandeln.“ Die Realität ist, dass identitätsbasierte Angriffe zunehmen. Dieses Wachstum wird teilweise durch eine boomende Access-as-a-Service-Branche angetrieben. Die Werbung für Access Broker stieg 2024 um 50 Prozent gegenüber dem Vorjahr, da Hacker verstärkt Infostealer einsetzten, um wertvolle Daten wie Anmeldedaten zu sammeln.

LotL-Angriffe verhindern: Malware-freie Taktiken stoppen

Malware-freie Angriffe können zwar erkennungsbasierte Tools umgehen, sind aber nicht unaufhaltsam. Der Schlüssel liegt in der Prävention – indem man Angreifern die Möglichkeit nimmt, sich lateral zu bewegen oder ihre Privilegien zu erweitern, sobald sie Zugriff erlangt haben. Diese Härtungsstrategien können Unternehmen dabei helfen, Living-off-the-Land-Taktiken zu neutralisieren, bevor sie zu unsichtbaren Katastrophen werden.

Umfassende Zero-Trust-Mikrosegmentierung durchsetzen

Flache Netzwerke machen es Angreifern leicht, legitime Tools systemübergreifend auszunutzen. Mikrosegmentierung beseitigt dieses Risiko, indem sie sichere Perimeter um jedes Asset herum schafft und strenge, fein abgestimmte Kommunikationsregeln durchsetzt. Anstatt sich auf manuelles Firewall-Management zu verlassen, automatisieren moderne Plattformen die Erstellung und Durchsetzung von Richtlinien, um den Zugriff mit geringsten Privilegien an Veränderungen im Netzwerk anzupassen und so eine echte Zero-Trust-Architektur zu ermöglichen.

„Die automatisierte Mikrosegmentierung hält Schritt mit nahtlosen Anpassungen an Veränderungen in Cloud-, Hybrid- und lokalen Infrastrukturen sowie der dynamischen Erstellung von Richtlinien, die kontinuierlich verfeinert und an ein ständig wachsendes und sich veränderndes Netzwerk angepasst werden – unter Einbeziehung und Schutz neuer Assets und Entfernung stillgelegter Assets.“ – Albert Estevez, Field CTO

Granulare Segmentierung aller Identitäten

Identitäten sind der am häufigsten ausgenutzte Weg für Malware-freie Angriffe. Die Durchsetzung desselben granularen Ansatzes, der für die Mikrosegmentierung von Assets auf der Identitätsebene verwendet wird, bedeutet, dass jedes Konto – ob von Menschen oder Maschinen – auf vorab genehmigte Assets und Anmeldetypen beschränkt ist. Dadurch wird das Risiko von überprivilegierten Administrator- und Dienstkonten beseitigt, sodass gestohlene Anmeldedaten praktisch unbrauchbar werden.

Detaillierte Zugriffsrichtlinien basierend auf dem Netzwerkverhalten

Malware-freie Angriffe gedeihen im Verborgenen, aber wenn Zugriffsrichtlinien genau auf normale Anmeldeaktivitäten, Kontoverhaltensweisen und Zugriffsmuster auf Ressourcen abgestimmt sind, werden alle nicht autorisierten lateralen Bewegungswege standardmäßig blockiert. Durch die Erstellung von Richtlinien auf der Grundlage normaler Kommunikationsmuster für jede Netzwerkressource und Identität können Sicherheitsteams verhindern, dass Angreifer übersehene Berechtigungen oder Fehlkonfigurationen ausnutzen.

Just-in-Time-MFA für privilegierten Zugriff

Oftmals basieren Malware-freie Angriffe auf Administratoranmeldedaten oder Fernverwaltungstools. Durch die Anwendung von Just-in-Time (JIT)-MFA auf der Netzwerkebene, wenn privilegierter Zugriff angefordert wird, können Unternehmen die Gefahr durch kompromittierte Anmeldedaten weiter neutralisieren. Die Ergänzung von JIT-MFA zu identitätsbewusster Mikrosegmentierung verhindert, dass Angreifer privilegierte Ports und Protokolle wie RDP und RPC ausnutzen, ohne den Betrieb zu behindern.

Proaktives Blockieren von Malware-freien Angriffen

Da Cyberangreifer immer besser darin werden, sich zu tarnen, müssen Verteidiger ihre Strategien ändern: Anstatt Malware-freie Angriffe zu erkennen, sollten sie diese mit Zero Networks in Echtzeit blockieren.

Die automatisierte, identitätsbewusste Mikrosegmentierungslösung von Zero Networks kombiniert Identitätssegmentierung, automatisierte Mikrosegmentierung und MFA auf Netzwerkebene. Mithilfe robuster deterministischer Automatisierung erstellt Zero Networks detaillierte, adaptive Zugriffskontrollen für jede Netzwerkressource und Identität, blockiert automatisch laterale Bewegungen und wendet Just-in-Time-MFA auf privilegierte Anmeldungen an.

Dieser mehrschichtige Ansatz blockiert Angreifer auf Schritt und Tritt und verwandelt Malware-freie Angriffe von einer heimlichen Goldgrube in eine automatische Sackgasse. Laut Chris Turek, CIO bei Evercore, schaffen diese kombinierten Fähigkeiten eine „neue Sphäre” von Sicherheitsfunktionen, so sein Fazit: „Die Kombination aus den Netzwerk- und Identitätssegmentierungsfunktionen von Zero definiert die Architektur mit geringsten Privilegien neu und bietet ein hohes Schutzniveau. Sie ermöglicht es Sicherheitsteams, die Segmentierung von Netzwerkgeräten bis hinunter auf die Port- und Protokollebene zu steuern und dann die vollständige Kontrolle über den Benutzeranmeldezugriff nach Anmeldetyp – Netzwerk, lokal, Dienst etc. – zu schichten. Zu jeder dieser Kontrollen lässt sich auch noch eine Multi-Faktor-Authentifizierung hinzufügen.“


Kay Ernst

Kay

Ernst

DACH-Manager

Zero Networks

Anzeige

Artikel zu diesem Thema

Jobsuche
10. Dezember 2025
FlexibleFerret – Wenn die Jobsuche zur Malware-Falle wird

Weitere Artikel

Das erste Smartphone zu Weihnachten? 3 Schutzmaßnahmen, die Eltern kennen sollten
So wird NIS-2 zu Nichts-2
Wie sich das Anmeldeverhalten verändert
So gelingt die Post-Quantum Security
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.