  | Diesen Newsletter im Web lesen | |  | Raus aus der US-Cloud: Souveräne SaaS-Angebote +++ Marktübersicht: Chaos Engineering für die Cloud +++ Business Rule Management mit SAP BRF+ +++ Strukturierte Daten für LLMs mit Wissensgraphen +++ Freier Kubernetes-Orchestrierer k0rdent
|
| |
|
| Liebe Leserin, lieber Leser,
|
| auf Ransomware und andere Malware hat man sich in der IT-Sicherheit eingestellt. Aber was, wenn die Cyberganoven nicht mehr auf die klassischen Strategien zur Einschleusung bösartiger Payload setzen? Stattdessen machen sie unauffällige Elemente wie Systemwerkzeuge des Betriebssystems oder Treiber zum Vehikel, um zünftig den Tag der offenen Hintertür zu feiern. Living off the Land, kurz LOTL oder auch LOL, wird diese Methode inzwischen genannt. Unser Titelautor Frank Ully erklärt Details zu dieser Angriffsweise und wie man damit umgeht. Einen Überblick aller Themen des neuen Hefts finden Sie im Inhaltsverzeichnis der iX 05/2025.
| |
|
|
| |
|
|
| | | | LOTL-Angriffe: Die innere Gefahr | |
| |
| |
Frank Ully ist Principal Consultant Cybersecurity & Head of Cyber Operations and Research bei Corporate Trust Business Risk & Crisis Management in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit.
Axel: Cyberattacken ohne Malwareeinsatz sind immer mehr auf dem Vormarsch. Welche Strategien nutzen die Angreifer dabei?
Frank: Angreifer missbrauchen im Betriebssystem mitgelieferte Programme und Bibliotheken oder andere legitime, beispielsweise von Microsoft signierte Anwendungen, oft mit unterwarteten zusätzlichen Funktionen wie dem Herunterladen von Dateien. Eine spezielle Art von missbrauchter, eigentlich gutartiger Software sind Fernwartungstools wie Anydesk oder ScreenConnect. Die sind für Angreifer attraktiv, weil sie nicht umständlich eigene Remotezugriffstrojaner entwickeln müssen.
Diese Angriffstechniken, die unter dem etwas unscharfen Begriff Living off the Land (LOTL, auch LOL) firmieren, können verschiedene präventive Sicherheitsmaßnahmen umgehen und sind auch schwieriger zu erkennen.
Axel: Was unterscheidet dateilose Angriffe von der LOTL-Strategie?
Frank: LOTL und dateilose Angriffe sind verwandt, aber nicht austauschbar: Bei LOTL liegt der Schwerpunkt auf der Quelle der Tools– dem Missbrauch legitimer Systemfunktionalität –, bei dateilosen Angriffen auf der Art der Ausführung, die darauf abzielt, möglichst keine Dateien auf die Festplatte zu schreiben.
Axel: In dem Kontext werden auch Windows-Treiber als Angriffsvehikel genannt – wo liegt hier die Gefahr?
Frank: Angreifer missbrauchen verwundbare Treiber, die auf einem System vorhanden sind oder installieren selbst Treiber mit bekannten Lücken. Da Treiber im Kernel leben, eröffnen Schwachstellen darin ein Einfallstor ins Herz von Windows, durch das Angreifer die höchsten System-Rechte erlangen, Malwarescanner und EDR blenden oder ausschalten und selbst fortgeschrittene Sicherheitsmechanismen wie Secure Boot oder Codesignierung umgehen.
|
| |
|
|
| |
|
| |
|
|
| | Frank Ully (links) im Gespräch mit iX-Redakteur Axel Kannenberg
|
|
| |
|
| |
|
| | Axel: Wenn Antivirensoftware damit ja praktisch unterlaufen ist – wie kann man solche Angriffe überhaupt erkennen?
Frank: Werkzeuge für Endpoint Detection and Response (EDR) können manche der Living-off-the-Land-Angriffe erkennen. Da allerdings legitime Anwendungen missbraucht werden und die EDR-Hersteller Fehlalarme vermeiden, melden sie auch nicht alles. Helfen kann ein Security Information and Event Management (SIEM) mit passenden Erkennungsregeln; das ist allerdings nicht effizient. Einfacher ist die Jagd nach anomalem Verhalten – besonders auf Ebene des Verzeichnisdienstes – und die Suche nach installierten, aber normalerweise nicht von der Organisation genutzten Fernwartungswerkzeugen.
Auch Deception ist ein brauchbarer Ansatz: Kein legitimer Benutzer sollte in einen Honigtopf greifen. Jede Interaktion damit ist mindestens verdächtig, im schlimmsten Fall bösartig. Eine spezielle Variante von Honeytoken können Verteidiger für legitime Tools erstellen, die Angreifer häufig missbrauchen.
Axel: Und mit welchen Ansätzen kann man sich präventiv schützen?
Frank: Anwendungssteuerung (Application Allowlisting) mit AppLocker oder dem neueren App Control for Business, früher Windows Defender Application Control (WDAC), verringert die Angriffsfläche deutlich und kann häufig missbrauchte LOTL-Anwendungen explizit blockieren. Dank öffentlich verfügbarer Projekte oder effizienter Ansätze muss ein Allowlisting-Projekt für Admins nicht so aufwändig sein, wie sie sich das vielleicht in ihren Alpträumen vorstellen, dass sie jedes Herstellerzertifikat einzeln beschnuppern und freigeben müssten. Jede Organisation kann recht effizient Anwendungssteuerung einführen, wenn sie gewisse Kompromisse macht.
Ebenso hilfreich sind die recht unbekannten Regeln zur Attack Surface Reduction (ASR), eigentlich eine kostenpflichtige Funktion von Microsoft Defender for Endpoint, die man etwas unbequemer aber auch ohne teure Lizenzen verwenden kann.
|
| |
|
|
| |
|
| |
|
| | | | Im Heft geschmökert: Empfehlungen der iX-Redaktion | |
| |
|
| |
| | | | Endlich weniger Neustarts für Windows Server! Sicherheitskritische Updates lassen sich mit dem Server 2025 per In-Memory-Patching ohne Reboot einspielen. Diese entscheidende Verbesserung des Updateprozesses lässt sich ganz einfach aktivieren – aber leider wird es kompliziert, denn eine Azure-Anbindung ist Pflicht. Der Artikel entwirrt die Abhängigkeiten von Microsofts Cloud-Produkten und klärt auch darüber auf, ob man ein Abo abschließen muss.
Tilman Wittenhorst, iX-Redakteur
|
| |
|
|
|---|
|
| |
|
| |
|
| | | | Die Zunahme von automatisierten Prozessen und Systeminteraktionen bringen zwar Zeit- und Ressourcenersparnisse mit sich, leider aber auch Sicherheitsrisiken bei der Authentifizierung. Die Klassiker sind hier schlechte Implementierung, zu wenig Kontrolle und zu lange gültige Identifizierungsinformationen. Gut, dass die Non-Profit-Organisation OWASP mit einer neuen Top-10-Liste auf das durch zahlreiche KI-Anwendungen noch beförderte Sicherheitsrisiko aufmerksam macht. Die Top-10-Risiken für nicht-menschliche Identitäten (non-human Identities; NHI) sollten für Systemverantwortliche ebenso zur Pflichtlektüre gehören wie eigentlich alle anderen Top-10-Listen der OWASP.
Ute Roos, iX-Redakteurin
|
| |
|
|
|---|
|
| |
|
| |
|
|
| | | | iX-Workshop vorgestellt: OAuth 2.1 und OpenID Connect für Java-Entwickler | |
| |
| |
In diesem praxisnahen Workshop lernen Java-Entwickler, wie sie mit OAuth 2.0 und OpenID Connect (OIDC) sichere Authentifizierung und Autorisierung in ihre Webanwendungen bringen – zum Beispiel mit Keycloak als Autorisierungsserver. Zunächst geht's in die Grundlagen von OAuth und OIDC ein: Konzepte, Authentifizierungsflüsse, Token, JWTs – alles dabei. Mit Keycloak lernen die Teilnehmer ein konkretes Tool kennen und setzen es direkt ein – von der Einrichtung über die Konfiguration bis zur Integration in Java-Projekte. Und das Beste: In vielen praktischen Übungen wird das Gelernte direkt ausprobiert.
|
| |
| |
|
| |
|
| |
|
|
|
| | | | Weitere Themen in der iX 5/2025 | |
| |
| | Außerdem widmen wir uns im neuen Heft souveränen SaaS-Angeboten als Alternative zu US-Clouds, schauen auf den Security-Ansatz der Threat Intelligence, und zeigen, wie Spoofing-Schutz über DNS vertrauenswürdige E-Mail möglich macht. Alle Themen finden Sie im Inhaltsverzeichnis der iX 05/2025.
Haben Sie Anregungen zum Newsletter oder zum Heft allgemein? Schreiben Sie mir unter axk@ix.de! Einstweilen wünsche ich Ihnen einen Monat ohne unerwünschte Besuche durch vor Vorder- oder Hintertüren, Ihr
|
|
| |
|
| |
 | | Neugierig geworden? Sie erhalten die iX 5/2025 ab dem 24. April im heise Shop und ab dem 25. April am Kiosk:
|
| |
| |
| Diese E-Mail weitergeleitet erhalten?
|
| |
|
| |
|
| |
|
| Sie sind unter folgender Adresse eingetragen: unknown@unknown.invalid - .
Hier können Sie sich von künftigen Zusendungen abmelden.
| |
| Verantwortlich für den Inhalt:
Heise Medien GmbH & Co. KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 [0]511 5352-0
E-Mail: infoservice@heise.de
Registergericht:
Amtsgericht Hannover HRA 26709
|
| | Persönlich haftende Gesellschafterin:
Heise Medien Geschäftsführung GmbH
Registergericht:
Amtsgericht Hannover, HRB 60405
Geschäftsführer: Ansgar Heise, Beate Gerold
|
|
|---|
|
| |
| Herausgeber: Christian Heise, Ansgar Heise
Chefredakteur: Dr. Oliver Diedrich (verantwortlich)
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium als Ganzes oder in Teilen bedarf der schriftlichen Zustimmung des Verlags. Copyright © 2025 Heise Medien GmbH & Co. KG
| |
|
|
|
