{"id":27489,"date":"2021-10-01T16:39:23","date_gmt":"2021-10-01T14:39:23","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27489"},"modified":"2021-10-01T16:39:23","modified_gmt":"2021-10-01T14:39:23","slug":"most-used-lolbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/most-used-lolbins\/27489\/","title":{"rendered":"Die beliebtesten LOLBins unter Cyberkriminellen"},"content":{"rendered":"

Cyberverbrecher verwenden bereits seit Langem legitime Programme und Komponenten von Betriebssystemen, um Benutzer von Microsoft Windows anzugreifen. Diese Taktik ist unter dem Namen Living off the Land<\/a> bekannt ist. Damit schlagen die Cyberkriminellen gleich drei Fliegen mit einer Klappe: Die Kosten f\u00fcr die Entwicklung des Malware-Toolkits fallen geringer aus, der digitale Fu\u00dfabdruck im Betriebssystem wird minimiert und sie k\u00f6nnen ihre kriminellen Aktivit\u00e4ten als legitime IT-Aktivit\u00e4ten tarnen.<\/p>\n

Mit anderen Worten geht es haupts\u00e4chlich darum, es zu erschweren die b\u00f6sartigen Aktivit\u00e4ten zu entdecken. Aus diesem Grund werden die Aktivit\u00e4ten bei potenziell unsicheren ausf\u00fchrbaren Bin\u00e4rdateien, Skripts und Bibliotheken schon seit Langem von IT-Sicherheitsexperten \u00fcberwacht. Es gibt inzwischen sogar ein Register: Das LOLBAS-Projekt auf GitHub<\/a>.<\/p>\n

Unsere Kollegen vom MDR-Service, die f\u00fcr Kaspersky Managed Detection and Response<\/a> zust\u00e4ndig sind und eine gro\u00dfe Anzahl an Unternehmen aus diversen Branchen sch\u00fctzen, beobachten diese Taktik oft bei echten Angriffen. In der MDR-Studie Managed Detection and Response Analyst Report<\/a> werden die Systemkomponenten untersucht, die am h\u00e4ufigsten bei Angriffen auf moderne Unternehmen eingesetzt werden. Lesen Sie weiter und entdecken Sie, was unsere Experten dabei herausgefunden haben.<\/p>\n

Den ersten Platz nimmt PowerShell ein<\/h2>\n

PowerShell, eine objektorientierte Skript- und Programmiersprache f\u00fcr Windows mit eigener Befehlszeilenschnittstelle, ist mit Abstand das meistverwendete legitime Tool bei Cyberverbrechern, trotz aller Bem\u00fchungen von Microsoft f\u00fcr mehr Sicherheit und effektivere Kontrolle. Bei den Vorf\u00e4llen, die unser MDR-Service identifiziert hat, wurde bei 3,3 % versucht einen PowerShell-Exploit durchzuf\u00fchren. Wird die Studie auf die kritischen Vorf\u00e4lle eingeschr\u00e4nkt, war PowerShell an einem von f\u00fcnf Angriffen beteiligt (20,3 %, um genau zu sein).<\/p>\n

Der zweite Platz nimmt rundll32.exe ein<\/h2>\n

Der zweite Platz geht an Windows Host-Prozess (Rundll32). Die Komponente dient der Ausf\u00fchrung von Programmcode, der in DLL-Dateien gespeichert ist. Rundll32.exe war an 2 % aller Vorf\u00e4lle beteiligt und bei 5,1 % der kritischen Angriffe.<\/p>\n

Der dritte Platz wird von mehreren Tools geteilt<\/h2>\n

Wir haben f\u00fcnf Tools entdeckt, die bei 1,9 % der Vorf\u00e4lle verwendet wurden:<\/p>\n