Detecting „Living-off-the-Land“ Attacker Techniques in Microsoft Windows

Master-Studiengang Information Security

Dipl.-Ing. Sebastian Demmer, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Das Wettrüsten zwischen Angreifern und Verteidigern von IT-Systemen und Netzwerken ist ein stetiger Teufelskreis. Kaum wird ein weiterer Sicherheitsmechanismus implementiert, werden von Angreifern auch schon Wege gesucht, diesen zu umgehen oder auszuhebeln. Gelingt dies, sind wieder die Verteidiger an der Reihe, um nicht verwundbar zu bleiben. Dabei ist es ein aktueller Trend bei Angreifern, die bereits am System vorhandene Software zu nutzen, um bösartige Aktionen durchzuführen oder Sicherheitsmechanismen zu umgehen. Dies wird als „Living-off-the-Land“ (LoL) bezeichnet.

Durch LoL-Techniken verringert ein Angreifer die Chance entdeckt zu werden, da ausschließlich legitime, bereits auf dem System vorhandene Software verwendet wird; es müssen keine zusätzlichen Programme auf das System geschleust werden.

Die vorliegende Arbeit betrachtet Charakteristika und Funktionalität dieser Angriffstechniken im Kontext des Betriebssystems Microsoft Windows und analysiert öffentlich verfügbare Ressourcen zu deren Erkennung.

Ziel

Das Ziel dieser Arbeit ist, festzustellen, inwieweit es mit frei verfügbarer Software und Open-Source Lösungen möglich ist, den Einsatz von bekannten „Living-off-the-Land“ Techniken zu erkennen.

Es wurde eine Übersicht der bekannten Skripte und ausführbaren Dateien präsentiert, welche ein Angreifer für seine Zwecke missbrauchen kann. Anhand der gewonnenen Erkenntnisse wurde eine Testumgebung aufgebaut, in welcher fünf gängige LoL-Angriffe ausgeführt wurden. Die auftretenden Artefakte wurden aufgezeichnet und anschließend analysiert. 

Ergebnis

Basierend auf öffentlich verfügbaren Ressourcen konnte eine Teststellung zur Erkennung momentan bekannter „Living-off-the-Land“ Techniken in Microsoft Windows aufgebaut werden. Anschließend wurde eine praktische Evaluierung durchgeführt, welche die Vor- und Nachteile der verwendeten Systeme und Erkennungsregeln aufzeigt. Anhand der Analysen konnten mögliche Umgehungsmethoden für die verwendeten Regeln zur Erkennung von Angriffen identifiziert werden, was in den meisten Fällen zur Verbesserung der Regeln genutzt werden konnte.

Abschließend präsentiert die Arbeit generelle Empfehlungen zur Vermeidung und der Erkennung von „Living-off-the-Land“ Techniken.