Barracuda full logo

Leben vom Land: CISA gibt Leitlinien zur Erkennung heraus

Themen:
21. März. 2024
|
Tony Burgess

Spezialeinheiten, die tief im feindlichen Territorium operieren, sind darauf trainiert, sich mit dem zu versorgen, was das Land zu bieten hat. Dies bezieht sich nicht nur auf das Sammeln oder Stehlen von Nahrung und Wasser, sondern auch auf die Aneignung, Wiederverwendung und Nutzung der Werkzeuge, Ausrüstungen und Waffen des Feindes, um Missionsziele zu erreichen.

Im Kontext der Cybersicherheit bezeichnet „Living Off the Land“ (LOTL) eine zunehmend verbreitete Cyberangriffstechnik, bei der Angreifer, sobald sie in ein Zielnetzwerk eingedrungen sind, Zugriff auf legitime IT-Verwaltungstools erhalten und diese zur Durchführung böswilliger Aktivitäten nutzen.

Gemeinsame Anleitung von CISA, FBI und anderen

Am 7. Februar dieses Jahres veröffentlichten mehrere Regierungsbehörden ein Dokument mit dem Titel „Joint Guidance: Identifying and Mitigating Living Off the Land Techniques“. Das Dokument wurde gemeinsam von der US Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI) und einer langen Liste anderer US-amerikanischer, australischer, kanadischer, britischer sowie neuseeländischer Sicherheitsbehörden verfasst. Es geht sehr detailliert auf die LOTL-Techniken ein, warum sie immer beliebter werden und warum sie extrem schwer zu entdecken sind.

Das Dokument weist auf drei Hauptgründe für die Wirksamkeit und zunehmende Popularität von LOTL-Techniken hin:

  • Das weit verbreitete Fehlen von Sicherheits- und Netzwerkverwaltungspraktiken, die es Unternehmen ermöglichen würden, anomale und potenziell bösartige Aktivitäten durch legitime Verwaltungstools und -prozesse zu erkennen
  • Die Tatsache, dass es bisher keine konventionelle Liste von Kompromittierungsindikatoren (Indicators of Compromise, IOCs) gibt, die mit LOTL-Aktivitäten in Verbindung gebracht werden
  • Mit LOTL können Bedrohungsakteure Angriffe starten, ohne eigene Tools entwickeln und einsetzen zu müssen, um ihre Ziele zu erreichen.

Darüber hinaus werden organisatorische Strukturen und Praktiken aufgeführt, die die Entdeckung von LOTL-Aktivitäten besonders schwierig machen, selbst für Unternehmen, die sich an bewährte Sicherheitsverfahren halten:

  • Cybersicherheitspersonal arbeitet oft in Silos, getrennt von den IT-Teams.
  • Sicherheitsteams verlassen sich oft in erster Linie auf Endpunkt-Erkennungssysteme, die wahrscheinlich nicht vor LOTL-Aktivitäten warnen.
  • Systemprotokolle werden im Allgemeinen in der Standardkonfiguration belassen, was bedeutet, dass LOTL-Techniken möglicherweise nicht protokolliert werden und die Protokollierungsinformationen möglicherweise nicht detailliert genug sind, um eine Differenzierung und Erkennung zu ermöglichen
  • Die schiere Menge relevanter Protokolldaten im Vergleich zu der geringen Anzahl protokollierter bösartiger Aktivitäten erschwert die Entdeckung zusätzlich.

Von China zu Ihrer lokalen Cybergang

Interessanterweise basiert das Leitliniendokument auf einer früheren Empfehlung der CISA vom Mai 2023 mit dem Titel „People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection“. Und sie wurde zusammen mit einer weiteren Empfehlung mit dem Titel „PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure“ veröffentlicht.

Diese Hinweise konzentrieren sich auf die Aktivitäten von Volt Typhoon (auch bekannt als Insidious Taurus), einer staatlich geförderten chinesischen Cyberkriminalitätsorganisation. Nach Angaben des FBI und anderer Behörden hat diese Gruppe LOTL-Techniken verwendet, um sich unentdeckt in einer Vielzahl kritischer US-Infrastruktursysteme aufzuhalten. Es wird vermutet, dass sie Cyber-Assets vorbereiten, um bereit zu sein, im Falle einer größeren Krise oder eines Konflikts zwischen China und den USA Chaos zu stiften und die Infrastruktur zu beschädigen.

Diese Techniken werden jedoch zunehmend von einer wachsenden Zahl von Cyberkriminellen eingesetzt. In der Zusammenfassung des gemeinsamen Leitfadens heißt es übersetzt: „Die verfassenden Behörden veröffentlichen diesen gemeinsamen Leitfaden für Netzwerkverteidiger (einschließlich Bedrohungsjäger), da die böswillige Verwendung von LOTL-Techniken in der breiteren Cyber-Bedrohungslandschaft immer häufiger auftritt.“

Obwohl sich der ursprüngliche Leitfaden zu LOTL in erster Linie an Organisationen richtete, die kritische Infrastruktursysteme betreiben, ist klar, dass der hier bereitgestellte Leitfaden für alle wichtig ist, die mit Cybersicherheit zu tun haben.

Best Practices zur Eindämmung der LOTL-Aktivität

Der jüngste Ratschlag beginnt mit einer Liste von Maßnahmen, die sofort ergriffen werden sollten, „um die Aktivität von Volt Typhoon abzuschwächen“:

  1. Wenden Sie Patches für mit dem Internet verbundene Systeme an. Priorisieren Sie das Patchen von kritischen Sicherheitslücken in Geräten, die bekanntermaßen häufig von Volt Typhoon ausgenutzt werden.
  2. Implementieren Sie ein phishingresistentes MFA.
  3. Stellen Sie sicher, dass die Protokollierung für Anwendungs-, Zugriffs- und Sicherheitsprotokolle aktiviert ist, und speichern Sie die Protokolle in einem zentralen System.
  4. Planen Sie das „End of Life“ für Technologie über den vom Hersteller unterstützten Lebenszyklus hinaus.

Dabei handelt es sich jedoch nur um eine allererste Reihe von Aktivitäten auf Notfallebene. Der gemeinsame Leitfaden enthält eine Reihe von Best Practices für die Erkennung sowie eine Reihe von Best Practices für die Absicherung von Systemen gegen LOTL-Techniken. In zusammengefasster Form sind das:

Best Practices für die Erkennung:

  1. Implementieren Sie eine detaillierte Protokollierung und fassen Sie die Protokolle an einem zentralen Speicherort zusammen, der einmalig beschreibbar und mehrfach lesbar ist, um das Risiko zu vermeiden, dass Angreifer die Protokolle verändern oder löschen.
  2. Erstellen und pflegen Sie fortlaufend Baselines für Netzwerk-, Benutzer-, Verwaltungs- und Anwendungsaktivitäten und Beschränkungen der geringsten Privilegien.
  3. Entwickeln oder erwerben Sie Automatisierungen (wie Modelle für maschinelles Lernen), um kontinuierlich alle Protokolle zu überprüfen, aktuelle Aktivitäten mit etablierten Verhaltensstandards zu vergleichen und bei bestimmten Anomalien zu warnen.
  4. Verringern Sie die Anzahl der Alarme durch Feinabstimmung über die Priorität (Dringlichkeit und Schweregrad) und überprüfen Sie die Erkennungen kontinuierlich anhand von Trendaktivitäten.
  5. Nutzen Sie die Analyse des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA).

Best Practices für die Härtung:

  1. Wenden Sie sich an die vom Anbieter empfohlenen Richtlinien zur Erhöhung der Sicherheit und konsultieren Sie sie.
  2. Implementieren Sie die Zulassungsliste von Anwendungen und überwachen Sie die Verwendung gängiger LOLBins.
  3. Verbessern Sie die Segmentierung und Überwachung von IT- und OT-Netzwerken.
  4. Implementieren Sie Authentifizierungs- und Autorisierungskontrollen für alle Interaktionen zwischen Mensch und Software sowie zwischen Software und Software, unabhängig vom Standort des Netzwerks.

Der Leitfaden enthält detaillierte und ausführliche Erläuterungen zu all diesen bewährten Verfahren. Viele dieser Praktiken werden Ihnen wahrscheinlich aus allgemeinen Sicherheitsempfehlungen bekannt sein, die Sie vielleicht schon in anderen Zusammenhängen gesehen haben. Aufgrund der besonderen Art von LOTL-Angriffen ist es jedoch besonders wichtig, Kontrollen und Prozesse einzurichten, die Ihnen einen gewissen Vorteil bei der Erkennung solcher Angriffe verschaffen können.

Sicher durch Design

Der letzte Abschnitt des Leitfadens enthält eine Liste von Empfehlungen für Softwarehersteller, um die Anfälligkeit ihrer Produkte für Missbrauch durch LOTL-Techniken zu verringern. Dazu gehören:

  • Minimieren Sie Angriffsflächen, die von Cyber-Bedrohungsakteuren mithilfe von LOTL-Techniken ausgenutzt werden können.
  • Integrieren Sie Sicherheit in die Produktarchitektur.
  • Schreiben Sie die Nutzung von MFA, idealerweise eine phishingresistente MFA, für privilegierte Benutzer vor und machen Sie MFA zu einer Standardfunktion und nicht optional.
  • Bieten Sie hochwertige Protokollierung für Plattformen und Anwendungen ohne zusätzliche Kosten.
  • Reduzieren Sie die Größe der „Absicherungsanleitungen“, die den Produkten beiliegen, und bemühen Sie sich, sicherzustellen, dass die Größe im Laufe der Zeit schrumpft, wenn neue Versionen der Software veröffentlicht werden.
  • Entfernen Sie Standardkennwörter, sodass Kunden sicherere Kennwörter erstellen müssen.
  • Entfernen oder begrenzen Sie die Ausführung von dynamischem Code, der zu leicht von LOTL-Techniken ausgenutzt werden kann.
  • Beseitigen Sie hartcodierte Anmeldeinformationen.

Schützen Sie Ihr Unternehmen

Barracuda bietet eine umfassende Cybersicherheitsplattform, die Ihre E-Mails, Ihr Netzwerk, Ihre Anwendungen und Daten schützt. Besuchen Sie unsere Website, um zu sehen, wie sie funktioniert. 

 

 

 

Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.