Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
12August 2025
23 min. lesen

Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt

Odysseus hat Troja nicht mit roher Gewalt durchbrochen.

Er infiltrierte sie von innen – versteckt in einem hölzernen Pferd, das die Trojaner für ein Geschenk hielten. In dieser Nacht tauchten seine Truppen auf und nahmen die Stadt von innen ein.

Es war die perfekte Täuschung: Nutze das, was man dir vertraut, gib keine Warnungen – nur Strategie, Geduld und das Wissen um die blinden Flecken des Feindes.

Die fortschrittlichsten Cyberangriffe von heute folgen dem gleichen Drehbuch. Angreifer nutzen die nativen Tools aus, die sich bereits in Ihren Systemen befinden. Sie bewegen sich leise und bleiben verborgen. Wie Odysseus nutzen sie das, was man ihnen vertraut, um unentdeckt durchzubrechen.

The Wooden Horse, painted by a Florentine artist, Biagio d’Antonio, in the late 15th century.

Vertrauenswürdige Tools, versteckte Bedrohungen

In cybersecurity, living-off-the-land (LOTL) cyberattacks evade detection by using legitimate, built-in system tools like PowerShell or WMI.

Diese Tools laden bösartige Payloads herunter, bewegen sich seitlich und exfiltrieren Daten – und das alles neben dem normalen Netzwerkverkehr. Es wird keine Malware installiert und keine verdächtigen Dateien abgelegt, weshalb diese Angriffe oft monatelang unbemerkt bleiben.

LOTL attacks now account for the majority of modern cyber intrusions. A 2025 analysis of over 700,000 incidents found that 84% of major attacks involved LOTL techniques.

Warum sind sie so effektiv? Auf Betriebssystemen sind leistungsstarke Tools für Administratoren vorinstalliert, und Angreifer verwandeln sie in Waffen. Sobald sie drinnen sind, verwenden sie dieselben Tools, um sich anzupassen, den Zugang zu erhalten und ihre Reichweite leise zu erweitern.

Eine Analyse von über 700.000 Vorfällen aus dem Jahr 2025 ergab, dass 84 % der größeren Angriffe LOTL-Techniken betrafen.

Das macht es schwieriger, Angriffe von Living off the Land zu entdecken – und viel schwieriger zu stoppen.

While many LOTL attacks occur on Windows, using trusted tools and executing code in memory can also apply to macOS and Linux.  

Unter macOS können Angreifer native Dienste wie AppleScript und den Befehl launchd ausnutzen, um Befehle beizubehalten und auszuführen. Unter Linux konnten sie sich auf Bash, SSH, Cron-Jobs und In-Memory-Ausführung verlassen, um ohne Dateien auf die Festplatte zu schreiben und die herkömmliche Erkennung zu umgehen.

Beispiel für Systemtools, die in Windows verfügbar sind
Beispiel für Systemtools, die in Windows verfügbar sind

Hat der jüngste SharePoint-ToolShell-Exploit "vom Land gelebt"?

In July 2025, Microsoft disclosed active exploitation of two SharePoint zero-day vulnerabilities (CVE202553770 and CVE202553771), collectively known as ToolShell.

The flaws — Linen Typhoon, Violet Typhoon, and Storm2603 — affected internet-facing on-premises servers and were exploited by state-backed actors.

These threat groups used vulnerabilities to execute remote code, steal machine keys, escalate privileges, and deploy ransomware, including Warlock and LockBit variants, across hundreds of vulnerable systems.

Michael Adjei, Director of Systems Engineering bei Illumio, teilt seine Sicht auf die Besonderheiten der ToolShell-Exploits: "Es ist nicht nur die Verwendung nativer Tools – es ist die Art und Weise, wie Angreifer vom ersten Zugriff zur lateralen Bewegung übergingen, ohne herkömmliche Alarme auszulösen. Dieser Vorfall unterstreicht eine wichtige Realität: Wenn Verteidiger nur nach Malware Ausschau halten, sind sie bereits im Rückstand."

Ransomware + Living off the Land: eine wirkungsvolle Kombination

Another powerful example of this stealthy approach is Medusa ransomware.

In February 2024, the FBI and CISA issued a joint advisory (#StopRansomware: Medusa Ransomware) warning of its growing threat to critical infrastructure. More than 300 organizations have already been hit, including hospitals, financial institutions, schools, and government services.  

Medusa verlässt sich nicht auf auffällige Zero-Days oder offensichtliche Malware. Stattdessen fügt es sich ein – mit vertrauenswürdigen Tools wie PowerShell, WMI, RDP, SSH und Fernzugriffssoftware wie ScreenConnect , um sich in hybriden Umgebungen zu bewegen und eine Entdeckung zu vermeiden.

Moderne Ransomware stürzt nicht durch die Haustür – sie fügt sich wie ein Spion ein.

Warum die NSA bei LOTL Alarm schlug

In 2024, the NSA, CISA, and international partners released a joint advisory warning of the surge in LOTL intrusions.

Auslöser dafür war nicht ein einzelner Verstoß, sondern ein beunruhigender Trend: Fortschrittliche Bedrohungsakteure, einschließlich staatlich geförderter Gruppen, nutzten zunehmend native Tools, um kritische Infrastrukturen heimlich zu infiltrieren.

The tipping point? Campaigns like Volt Typhoon, where attackers burrowed into U.S. communications, energy, and transportation systems without deploying traditional malware.

Die Empfehlung war klar: LOTL-Techniken waren zu einer bevorzugten Strategie für nationalstaatliche Angreifer geworden, und die Verteidiger mussten sich sofort anpassen.

SolarWinds: eine Meisterklasse in LOTL

One of the earlier and most damaging examples of LOTL tradecraft happened in 2020, when threat actors quietly inserted malware into a routine Orion update from SolarWinds.

When customers installed it, attackers gained access to some of the most sensitive networks in the world, including U.S. government agencies and Fortune 500 companies.

Durch die Verwendung nativer Windows-Tools und die Nachahmung normaler Orion-Aktivitäten entzogen sich die Angreifer monatelang der Erkennung. Die Malware wird nur bei hochwertigen Zielen aktiviert. Im Inneren gab es eine weit verbreitete Datenexfiltration, und sie verwischten ihre Spuren.  

The White House later attributed the attack to Russian intelligence.

Um LOTL zu stoppen, muss man sehen, was andere verpassen

Diese Angriffe beruhen nicht auf Malware und missbrauchen die legitimen Tools, die sich bereits in Ihrem Netzwerk befinden. Sicherheitsteams benötigen Einblick in die normale Kommunikation von Systemen, damit sie ungewöhnliches Verhalten erkennen und Bedrohungen in Echtzeit unter Quarantäne stellen können.  

Zu den wichtigsten Abwehrmaßnahmen gehören:

  • Erkennung von lateralen Bewegungen: Die Transparenz der System-zu-System-Kommunikation ist unerlässlich, um Angreifer zu erkennen, die sich in Umgebungen bewegen.
  • Erkennung verhaltensbasierter Bedrohungen: Analysen, die eine abnormale Verwendung nativer Tools identifizieren, helfen dabei, Aktivitäten zu erkennen, die sich in den normalen Betrieb einfügen.
  • Priorisierung von Warnungen: Das Herausfiltern von Routineverhalten und das Aufzeigen verdächtiger Muster ist von entscheidender Bedeutung, wenn Angreifer vertrauenswürdige Prozesse verwenden.
  • Schnelle Eindämmung: Die Möglichkeit, kompromittierte Assets schnell zu isolieren – ohne auf Malware-Signaturen warten zu müssen – kann LOTL-Techniken stoppen, bevor sie sich ausbreiten.

In einer Welt, in der Angreifer vom Land leben, müssen Verteidiger die Macht haben, zu sehen und zu kontrollieren, wie ihre Umgebung genutzt wird.

Erfahren Sie, wie Illumio Insights LOTL-Bedrohungen stoppt, bevor sie sich ausbreiten. Starten Sie Ihre KOSTENLOSE TESTVERSION Heute.

Verwandte Themen

Eindämmung von Ransomware

Verwandte Artikel

Hinter den Kulissen der Ermittlungen: Jagd auf Hacker durch die "Foundational Four"
Eindämmung von Ransomware

Hinter den Kulissen der Ermittlungen: Jagd auf Hacker durch die "Foundational Four"

Lernen Sie wichtige Fragen, Taktiken und Tools kennen, um bösartige Aktivitäten aufzudecken, das Verhalten von Angreifern zu verfolgen und kritische Daten in der heutigen komplexen Bedrohungslandschaft zu schützen.

Mehr lesen
AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion
Eindämmung von Ransomware

AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion

Nehmen Sie am 21. September um 9 Uhr PST an einem kostenlosen Webinar von Illumio mit Amazon Web Services (AWS) teil.

Mehr lesen
Wie Brooks Illumio einsetzt, um die Ausbreitung von Ransomware zu stoppen
Eindämmung von Ransomware

Wie Brooks Illumio einsetzt, um die Ausbreitung von Ransomware zu stoppen

Erfahren Sie, warum sich Brooks für Illumio Zero Trust Segmentation entschieden hat, um die Zuverlässigkeit seines Einzelhandels- und E-Commerce-Geschäfts zu gewährleisten.

Mehr lesen
Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt
Eindämmung von Ransomware

Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Erfahren Sie, wie Medusa Ransomware funktioniert und warum sie für kritische Infrastrukturen weltweit so gefährlich ist.

Mehr lesen
Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen
Cyber-Resilienz

Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen

Erfahren Sie, wie Cyberangriffe auf kritische Infrastrukturen im Jahr 2025 zunehmen werden, da die globalen Spannungen zunehmen und staatlich unterstützte Gruppen Versorgungsunternehmen, das Gesundheitswesen und vieles mehr ins Visier nehmen.

Mehr lesen
Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise
Cyber-Resilienz

Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Erfahren Sie wichtige Lehren aus der ICBC-Cyberkrise, bei der zwei große Sicherheitsverletzungen – Ransomware in den USA und ein Datendiebstahl in London – systemische Schwachstellen im globalen Banking aufdeckten.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren