Illustration Absmeier foto freepik

Netsh.exe unter Cyberkriminellen am beliebtesten, gefolgt von powershell.exe und reg.exe

Eine Auswertung von 700.000 sicherheitsrelevanten Ereignissen aus den Telemetriedaten der Bitdefender-GravityZone-Plattform belegt, dass Angreifer für ihre tiefergehenden Attacken legitime Admin- und Entwicklertools nutzen. In 84 Prozent der analysierten Fälle der letzten 90 Tage nutzten sie Living-off-the-Land-Binaries (LOTL). Eine überprüfende Analyse von Daten der Managed-Detection-and-Response-Dienste (MDR) von Bitdefender bestätigt dieses Ergebnis: Hier setzten die Hacker in 85 Prozent der Fälle LOTL-Taktiken ein.

Die Ergebnisse zeigen, dass Cyberkriminelle kontinuierlich und weitverbreitet bekannte und legitime Tools für ihre weiterreichenden Attacken nutzen. Dabei sind sie mit den Werkzeugen genauso gut vertraut wie die IT-Administratoren. Tools wie etwa powershell.exe, wscript.exe und cscript.exe sind daher schon seit geraumer Zeit verdächtig. Überraschenderweise verwenden die Hacker aber am häufigsten netsh.exe, welches in mehr als einem Drittel der größeren Attacken zum Einsatz kam. So zeigt die Studie, wie eine Datenanalyse Trends aufzeigen kann, die ein menschlicher Beobachter zunächst instinktiv ignorieren würde.

Zu den beliebtesten Tools, die Hacker für ihre Angriffe missbrauchen, gehören:

netsh.exe: Normalerweise nutzen Administratoren diese Kommandozeilen-Utility, um Netzwerkkonfigurationen – und damit Firewalls, Schnittstellen sowie das Routing – zu verwalten. Dass Hacker dieses Tool zum Ausspionieren von Firewall-Konfigurationen nutzen, ist im Nachhinein ein naheliegender Sachverhalt.
powershell.exe: Der Gebrauch des ausführbaren Kommandozeilen-Tools samt Skriptsprache eröffnet Eindringlingen zahlreiche Möglichkeiten. Sich mit PowerShell zu tarnen, ist zudem effektiv: Das Tool, das für manche den Ruf eines Schweizer Messers der IT hat, kommt in 96 Prozent der untersuchten Unternehmen legitim zum Einsatz.

Dabei wird dieses Tool großflächiger verwendet, als vermutet. Erwartungsgemäß sollten vor allem Administratoren zu PowerShell greifen. Erstaunlicherweise konnte die Analyse aber auf 73 Prozent aller Endpunkte PowerShell-Aktivitäten nachweisen. Ein Grund: Nicht nur Administratoren nutzen PowerShell, sondern auch Applikationen von Drittanbietern. Powershell.exe verwenden im Asien-Pazifik-Raum nur 53 % der Unternehmen, in der EMEA-Region dagegen 97 Prozent.

reg.exe: Damit können Hacker Registry-Einträge abfragen, ändern, hinzufügen oder entfernen. Eindringlinge nutzen reg.exe häufig, um sich einen persistenten Zugang zu Opfernetzen zu verschaffen. Reg.exe ist vor allem in der APAC-Region in vielen Unternehmen als legitimes Tool im Einsatz.
csc.exe: Dieser Microsoft C#-Compiler kompiliert C#-Quellcode in ausführbare .exe-Dateien oder in dynamische Programmbibliotheken (Dynamik Link Libraries – DLL).
rundll32.exe: Die System-Utility lädt aus DLL-Dateien exportierte Funktionen und führt sie aus. Sie wird oft für DLL-Sideloading-Attacken verwendet.

Die Tools sind bei Hackern wie Administratoren gleichermaßen beliebt. Ausnahmen wie die von den Angreifern gerne genutzten, aber von Administratoren seltener verwendeten Tools wie mshta.exe, pwsh.exe oder bitsadmin.exe bestätigen diese Regel. Hacker verwenden außerdem unter Entwicklern beliebte Tools, wie etwa csc.ex, msbuild.exe (Microsoft Build Engine) oder ngen.exe (.NET Native Image Generator). Eine Überwachung, die sich nur auf herkömmliche Systemadministrator-Werkzeuge fokussiert, kann den missbräuchlichen Einsatz dieser Tools übersehen.

Legitimen und illegitimen Einsatz von Tools unterscheiden

Weil Hacker verstärkt legitime Tools für ihre unlauteren Absichten zweckentfremden, benötigen IT-Verantwortliche innovative Ansätze, um bösartigem Tool-Einsatz granular zu erkennen. Dazu analysieren fortschrittliche Technologien alle Aktivitäten der Tools. Moderne Abwehrlösungen wie Bitdefender GravityZone Proactive Hardening and Attack Surface Reduction (PHASR) blockieren daher PowerShell nicht pauschal. Sie lassen die Ausführung regulärer Skipts zu, unterbinden aber das Ausführen verschlüsselter Kommandos oder die Manipulation kritischer Systemkonfigurationen.

[1] Weitere Informationen zu den Bitdefender-Labs -Ergebnissen hier: https://www.bitdefender.com/en-us/blog/businessinsights/700000-security-incidents-analyzed-living-off-land-tactics . Bitdefender arbeitet an einer erweiterten Studie zum Thema.

Grundlegende Erläuterungen zu LOTL-Taktiken in Englisch hier. https://techzone.bitdefender.com/en/tech-explainers/living-of-the-land-attacks.html

Was sind Living-off-the-Land-Binaries und wie kann man sich dagegen wehren?

Living-off-the-Land-Binaries (LOLBins) sind legitime Systemprogramme, die von Angreifern für Cyberattacken missbraucht werden. Statt eigene Malware einzuschleusen, nutzen sie vorhandene Windows-Tools wie PowerShell oder rundll32.exe, um unauffällig Schadcode auszuführen.

Wie kann man sich dagegen schützen?

Anwendungs-Whitelisting: Nur genehmigte Programme dürfen ausgeführt werden.

Überwachung und Logging: Verdächtige Aktivitäten von Systemprozessen frühzeitig erkennen.

Einschränkung von Skriptsprachen: PowerShell und andere Skript-Tools sollten nur für autorisierte Nutzer verfügbar sein.

Verhaltensbasierte Erkennung: Statt nur bekannte Malware zu blockieren, sollten Sicherheitslösungen ungewöhnliches Verhalten analysieren.

Das LOLBAS-Projekt dokumentiert bekannte LOLBins, um Sicherheitsexperten bei der Abwehr zu helfen. Mehr Details findest du hier. https://www.dr-datenschutz.de/living-off-the-land-binaries-wie-angreifer-unentdeckt-bleiben/

1467 Artikel zu „Cyberattacken „

Trends 2025 | News | Trends Security | Trends Infrastruktur | Infrastruktur | Logistik

KRITIS: Unzureichend geschützt vor Cyberattacken in der Lieferkette

2. Mai 2025

Branchen, die als wesentlich für das Funktionieren der Gesellschaft und der Wirtschaft gelten, befinden sich in einem Wettrüsten, da Bedrohungsakteure – Cyberkriminelle und staatlich geförderte Hackergruppen – auf digitale Schwachstellen der mit ihnen verbundenen Lieferanten abzielen, so die neue Studie Cyber Priority von DNV Cyber [1]. Gerade in Europa werden die Regularien zur Cybersicherheit durch…