Die beliebtesten LOLBins unter Cyberkriminellen

Einige Komponenten von Betriebssystemen werden sehr häufig für Cyberangriffe genutzt.

Cyberverbrecher verwenden bereits seit Langem legitime Programme und Komponenten von Betriebssystemen, um Benutzer von Microsoft Windows anzugreifen. Diese Taktik ist unter dem Namen Living off the Land bekannt ist. Damit schlagen die Cyberkriminellen gleich drei Fliegen mit einer Klappe: Die Kosten für die Entwicklung des Malware-Toolkits fallen geringer aus, der digitale Fußabdruck im Betriebssystem wird minimiert und sie können ihre kriminellen Aktivitäten als legitime IT-Aktivitäten tarnen.

Mit anderen Worten geht es hauptsächlich darum, es zu erschweren die bösartigen Aktivitäten zu entdecken. Aus diesem Grund werden die Aktivitäten bei potenziell unsicheren ausführbaren Binärdateien, Skripts und Bibliotheken schon seit Langem von IT-Sicherheitsexperten überwacht. Es gibt inzwischen sogar ein Register: Das LOLBAS-Projekt auf GitHub.

Unsere Kollegen vom MDR-Service, die für Kaspersky Managed Detection and Response zuständig sind und eine große Anzahl an Unternehmen aus diversen Branchen schützen, beobachten diese Taktik oft bei echten Angriffen. In der MDR-Studie Managed Detection and Response Analyst Report werden die Systemkomponenten untersucht, die am häufigsten bei Angriffen auf moderne Unternehmen eingesetzt werden. Lesen Sie weiter und entdecken Sie, was unsere Experten dabei herausgefunden haben.

Den ersten Platz nimmt PowerShell ein

PowerShell, eine objektorientierte Skript- und Programmiersprache für Windows mit eigener Befehlszeilenschnittstelle, ist mit Abstand das meistverwendete legitime Tool bei Cyberverbrechern, trotz aller Bemühungen von Microsoft für mehr Sicherheit und effektivere Kontrolle. Bei den Vorfällen, die unser MDR-Service identifiziert hat, wurde bei 3,3 % versucht einen PowerShell-Exploit durchzuführen. Wird die Studie auf die kritischen Vorfälle eingeschränkt, war PowerShell an einem von fünf Angriffen beteiligt (20,3 %, um genau zu sein).

Der zweite Platz nimmt rundll32.exe ein

Der zweite Platz geht an Windows Host-Prozess (Rundll32). Die Komponente dient der Ausführung von Programmcode, der in DLL-Dateien gespeichert ist. Rundll32.exe war an 2 % aller Vorfälle beteiligt und bei 5,1 % der kritischen Angriffe.

Der dritte Platz wird von mehreren Tools geteilt

Wir haben fünf Tools entdeckt, die bei 1,9 % der Vorfälle verwendet wurden:

  • exe ist Teil von Test Authoring and Execution Framework (TAEF) und dient zum Schreiben und Ausführen von Testautomatisierungen.
  • exe ist ein Tool für die Ausführung von Prozessen auf Remote-Systemen.
  • exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert wird.
  • exe, das Tool von Microsoft Management Console (MMC), das über die Kommandozeile zum Ändern oder Hinzufügen von Schlüsseln im Windows Registry verwendet werden kann.
  • exe ist ein Windows-Skripthost der eine Umgebung bietet, in der Benutzer Skripts in einer Vielzahl von Sprachen ausführen können.

Diese fünf ausführbaren Dateien wurden in 7,2 % der kritischen Vorfälle genutzt.

Die MDR-Experten von Kaspersky haben auch die Verwendung von folgenden Komponenten beobachtet: msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe und shell32.exe.

Weitere Informationen zu den Ergebnissen des Managed Detection and Response Analyst Report finden Sie hier.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.