Mehr als 80 Prozent der schwerwiegenden Cyberangriffe verwenden legitime Tools

Der Sicherheitsanbieter Bitdefender hat bei einer Analyse von Telemetriedaten seiner Sicherheitslösungen festgestellt, dass bei mehr als 80 Prozent der Cyberangriffe sogenannte Living-off-the-Land-Taktiken (LOTL) zum Einsatz kommen. Dabei nutzen Cyberkriminelle legitime Tools aus der von ihnen angegriffenen Umgebung, um ihre Ziele zu erreichen.

In 84 Prozent der analysierten Fälle der letzten 90 Tage spielten LOTL-Binaries eine Rolle. Eine weitere Überprüfung von Daten der Managed-Detection-and-Response-Dienste von Bitdefender bestätigte dieses Ergebnis: Hier setzten Hacker in 85 Prozent der Fälle LOTL-Taktiken ein.

Die Ergebnisse zeigen laut Bitdefender, dass Cyberkriminelle kontinuierlich und weitverbreitet bekannte und legitime Tools für ihre weiterreichenden Attacken nutzen. Dabei sollen sie mit den Werkzeugen genauso gut vertraut sein wie die IT-Administratoren. Als Beispiele nannte Bitdefender Tools wie powershell.exe, reg.exe, rundll32.exe, wscript.exe und cscript.exe. „Überraschenderweise verwenden die Hacker aber am häufigsten netsh.exe, welches in mehr als einem Drittel der größeren Attacken zum Einsatz kam. So zeigt die Studie, wie eine Datenanalyse Trends aufzeigen kann, die ein menschlicher Beobachter zunächst instinktiv ignorieren würde“, teilte Bitdefender mit.

Die Tools seien bei Hackern wie Administratoren gleichermaßen beliebt. Ausnahmen wie die von den Angreifern gerne genutzten, aber von Administratoren seltener verwendeten Tools wie mshta.exe, pwsh.exe oder bitsadmin.exe bestätigten diese Regel. Hacker verwendeten außerdem unter Entwicklern beliebte Tools, wie etwa csc.ex, msbuild.exe (Microsoft Build Engine) oder ngen.exe (.NET Native Image Generator). Eine Überwachung, die sich nur auf herkömmliche Systemadministrator-Werkzeuge fokussiere, könne den missbräuchlichen Einsatz dieser Tools übersehen.