Thought Leadership
Eine aktuelle Analyse von Bitdefender zeigt: Angreifer greifen zunehmend auf Tools zurück, die eigentlich für die tägliche Arbeit von IT-Administratoren und Entwicklern gedacht sind.
Diese sogenannte Living-off-the-Land-Taktik (LOTL) nutzt legitime Systemwerkzeuge, um unentdeckt in Netzwerke einzudringen und sich dort festzusetzen.
Bitdefender untersuchte über 700.000 sicherheitsrelevante Ereignisse aus den vergangenen 90 Tagen. Dabei zeigte sich, dass in rund 84 Prozent der Fälle legitime Windows-Systemtools für weiterführende Angriffe missbraucht wurden. Auch eine separate Untersuchung der Managed-Detection-and-Response-Daten (MDR) kam zu einem ähnlichen Ergebnis: Hier nutzten Angreifer in 85 Prozent der Fälle LOTL-Taktiken.
Bekannte Tools, neue Gefahren
Angreifer bedienen sich dabei bekannter Hilfsprogramme – mit teils überraschender Schwerpunktsetzung. Einige Tools sind längst verdächtig, andere geraten erst jetzt verstärkt ins Visier der Cyberkriminellen:
- netsh.exe: Ursprünglich für die Netzwerkkonfiguration gedacht, wird dieses Tool von Angreifern verwendet, um Firewall-Einstellungen auszuspähen. Es wurde in mehr als einem Drittel der tiefergehenden Attacken eingesetzt.
- powershell.exe: Aufgrund seiner Vielseitigkeit ist dieses Tool in fast allen Unternehmen im Einsatz. Dass es auch bei Angriffen bevorzugt wird, ist wenig verwunderlich. Die Analyse fand auf 73 Prozent aller Endpunkte PowerShell-Aktivitäten – nicht nur von Administratoren, sondern auch durch Drittanbieter-Software.
- reg.exe: Dieses Werkzeug erlaubt Änderungen an der Windows-Registry. Für Angreifer ist es nützlich, um sich dauerhaft im System einzunisten.
- rundll32.exe: Ermöglicht das Laden und Ausführen von DLL-Dateien. Wird häufig bei sogenannten DLL-Sideloading-Angriffen genutzt.
- csc.exe: Der C#-Compiler von Microsoft wird zum Erstellen von schädlicher Software direkt auf dem Zielsystem verwendet.
Die Häufigkeit, mit der bestimmte Tools im Unternehmensalltag verwendet werden, unterscheidet sich regional deutlich. Während z. B. PowerShell in Europa, dem Nahen Osten und Afrika (EMEA) von über 97 Prozent der Unternehmen verwendet wird, liegt die Quote im Asien-Pazifik-Raum bei lediglich 53,3 Prozent. Diese regionalen Unterschiede können Einfluss auf die Erkennung und Abwehr von Angriffen haben.
Versteckte Gefahr durch Entwickler-Tools
Neben klassischen Administrator-Werkzeugen greifen Angreifer zunehmend auch auf Entwickler-Tools zurück – darunter:
- msbuild.exe – die Build Engine von Microsoft
- ngen.exe – der .NET Native Image Generator
- mshta.exe – ein Tool zur Ausführung von HTML-Anwendungen
- pwsh.exe – PowerShell Core
- bitsadmin.exe – ein veraltetes Werkzeug zur Datenübertragung im Hintergrund
Viele dieser Programme finden im normalen IT-Betrieb kaum noch Anwendung – was sie aus Angreiferperspektive umso attraktiver macht: Ihre Nutzung fällt seltener auf.
Da immer mehr legitime Werkzeuge für illegitime Zwecke missbraucht werden, stoßen herkömmliche Sicherheitsstrategien an ihre Grenzen. Statt Tools pauschal zu blockieren, setzen moderne Schutzlösungen auf kontextbezogene Analyse: Sie prüfen die Aktivitäten im Detail, erkennen untypisches Verhalten und verhindern so Missbrauch – ohne reguläre Arbeitsabläufe zu stören.
Vertrautes neu denken
Die Grenze zwischen legitimer Nutzung und Missbrauch verschwimmt zunehmend. Sicherheitsverantwortliche müssen daher umdenken und auf fein abgestimmte Schutzmechanismen setzen, die nicht nur nach bekannten Schadprogrammen suchen, sondern auch unauffällige Werkzeuge mit Argusaugen beobachten. Die Erkenntnisse aus der Bitdefender-Analyse unterstreichen, wie wichtig ein tiefes Verständnis des eigenen IT-Betriebs geworden ist – denn Angreifer kennen die Tools oft genauso gut wie die Administratoren selbst.
