Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Living Off the Land (LOTL)-Angriffe: Leitfaden zur Erkennung und Prävention
Cybersecurity 101/Endpunktsicherheit/Living Off the Land (LOTL)

Living Off the Land (LOTL)-Angriffe: Leitfaden zur Erkennung und Prävention

Living Off the Land (LOTL)-Angriffe nutzen native Betriebssystem-Tools wie PowerShell und WMI, um Sicherheitskontrollen zu umgehen. Dieser Leitfaden behandelt Angriffsphasen, reale Kampagnen und Abwehrstrategien.

CS-101_Endpoint.svg
Inhaltsverzeichnis
Was sind Living Off the Land (LOTL)-Angriffe?
Techniken und Tools hinter Living Off the Land-Angriffen
Häufige LOLBins und ihre missbräuchliche Verwendung
Wie Living Off the Land-Angriffe funktionieren
Phase 1: Initialer Zugriff
Phase 2: Ausführung
Phase 3: Erkundung und Zugangsdatenzugriff
Phase 4: Laterale Bewegung
Phase 5: Persistenz und Auswirkungen
Warum Living Off the Land-Angriffe erfolgreich sind
Reale LOTL-Kampagnen: Staaten und Ransomware-Operatoren
Herausforderungen bei der Abwehr von Living Off the Land-Angriffen
Wie man Living Off the Land-Angriffe erkennt
Verhaltenssignale, die überwacht werden sollten
Wichtige Logquellen
Häufige Fehler bei der LOTL-Abwehr
Wie man Living Off the Land-Angriffe verhindert
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist Sandboxing in der Cybersicherheit? Bedrohungen erkennen
  • EDR vs. CDR: Unterschiede bei Erkennung und Reaktion
  • XDR vs. SIEM vs. SOAR: Die Unterschiede verstehen
  • Effektive Endpunkt-Sicherheitsrichtlinien im Jahr 2025
Autor: SentinelOne
Aktualisiert: May 8, 2026

Was sind Living Off the Land (LOTL)-Angriffe?

Ein Angreifer befindet sich über einen längeren Zeitraum in Ihrem Netzwerk. Keine maßgeschneiderte Malware. Keine verdächtigen ausführbaren Dateien. Jede Aktion nutzt Tools, die Ihr Betriebssystem standardmäßig mitliefert. Dies ist die dokumentierte Realität von Volt Typhoon, einem staatlich unterstützten Bedrohungsakteur der VR China, der laut einer CISA-Warnung Zugriff auf kritische US-Infrastrukturen wie Kommunikations-, Energie-, Transport- und Wassersysteme aufrechterhielt – unter Verwendung nativer Systemtools und gültiger Zugangsdaten.

Living off the land, oder LOTL, bezeichnet ein Angreiferverhalten, das native Tools und Prozesse missbraucht, die bereits auf dem Zielsystem vorhanden sind. Angreifer nutzen diese vertrauenswürdigen, vorinstallierten Binärdateien, bekannt als Living Off the Land Binaries oder LOLBins, um sich in normale Systemaktivitäten einzufügen, unauffällig zu agieren und Sicherheitskontrollen zu umgehen. Die im März 2025 veröffentlichte CISA-Empfehlung definiert diesen Ansatz als eine Methode, die es Bedrohungsakteuren ermöglicht, „auf die Entwicklung und Bereitstellung eigener Tools zu verzichten“ und gleichzeitig die Wahrscheinlichkeit zu verringern, entdeckt oder blockiert zu werden.

LOTL kommt unter Windows, Linux, macOS, in Cloud- und hybriden Umgebungen zum Einsatz. Unter macOS wird das entsprechende Konzept als „Living Off the Orchard“ oder LOOBins bezeichnet. Die Technik erstreckt sich über den gesamten Angriffslebenszyklus – von der initialen Ausführung über Persistenz, laterale Bewegung, Zugang zu Zugangsdaten bis hin zur Datenexfiltration. Für Verteidiger bedeutet das: Verhaltensbasierte Sichtbarkeit und starke Kontrolle über vertrauenswürdige Tools sind wichtiger als Signaturen für bekannte schädliche Dateien.

Statt Malware zu schreiben, die von Sicherheitstools anhand von Signaturen erkannt und isoliert werden kann, nutzen Angreifer PowerShell, WMI, certutil und andere Tools, die IT-Teams täglich verwenden. Ihr Antivirus vertraut ihnen. Ihre Allowlists genehmigen sie. Ihr SIEM erwartet sie. Die eigenen Red Teams der CISA „verwenden häufig öffentlich bekannte LOTL-Techniken für Ausführung, Persistenz, laterale Bewegung, Erkennung und Zugang zu Zugangsdaten, wobei Netzwerkverteidiger ihre Aktivitäten selten entdecken“, so die  Leitlinie 2025. Um zu verstehen, warum dies so effektiv ist, muss man sich die spezifischen Techniken und Tools ansehen, auf die Angreifer setzen.

Techniken und Tools hinter Living Off the Land-Angriffen

LOTL-Angriffe basieren auf einem gemeinsamen Satz von Bausteinen. Das Verständnis dieser Komponenten hilft, routinemäßige Administration von aktiven Angriffen zu unterscheiden.

  • Living Off the Land Binaries (LOLBins): Dies sind native, vom Betriebssystem signierte ausführbare Dateien, die von Angreifern zweckentfremdet werden. Das  LOLBAS Project, direkt von CISA referenziert, katalogisiert Windows-LOLBins, während  GTFOBins Unix/Linux abdeckt und LOOBins macOS.
  • Gültige Zugangsdaten: LOTL funktioniert selten ohne gestohlene oder kompromittierte Konten. Volt Typhoon nutzte kompromittierte Domain-Admin-Zugangsdaten für RDP-Lateralbewegungen in den Netzwerken der Opfer.
  • Dateilose Ausführung: Payloads werden im Speicher oder über bestehende Software ausgeführt, ohne ausführbare Dateien auf die Festplatte zu schreiben. Das hilft Angreifern, Antivirussignaturen zu umgehen. Eine von SANS dokumentierte Technik nutzt PowerShells Get-Clipboard in Kombination mit Invoke-Expression, um Code auszuführen, der  IOCs vermeidet.
  • System Binary Proxy Execution: Unter  MITRE T1218 klassifiziert, werden vertrauenswürdige, signierte Binärdateien verwendet, um schädliche Payloads auszuführen. Die Binärdatei ist legitim, oft von Microsoft signiert, aber die gestartete Payload ist es nicht.
  • Befehls- und Skriptinterpreter: PowerShell (T1059.001), Windows Command Shell (T1059.003) und Unix-Shells (T1059.004) bieten Angreifern vollständige Skriptfähigkeiten über Tools, auf die Ihr Unternehmen angewiesen ist.

Jede dieser Techniken konzentriert sich auf eine kleine Gruppe von Binärdateien, die in Kampagnen immer wieder auftauchen.

Häufige LOLBins und ihre missbräuchliche Verwendung

Die folgende Tabelle ordnet die am häufigsten missbrauchten LOLBins ihrem eigentlichen Zweck und der Angreifernutzung zu.

BinärdateiLegitimer ZweckMissbrauch durch AngreiferMITRE ID
PowerShellSystemadministration, AutomatisierungCodeausführung im Speicher, Zugangsdaten-Erfassung

T1059.001

WMI / WMICRemote-Systemverwaltung, InventarisierungRemote-Prozessa usführung, Persistenz

T1047

certutil.exeZertifikatsverwaltungDateidownloads, Base64-Kodierung/-Dekodierung

T1105

rundll32.exeLaden von DLL-FunktionenProxy-Ausführung schädlicher DLLs

T1218.011

mshta.exeAusführen von HTML-AnwendungenAusführung schädlicher HTA-Payloads von entfernten URLs

T1218.005

netsh.exeNetzwerkkonfigurationPortweiterleitung, Änderung von Firewallregeln

T1090.001

Diese Komponenten werden zu Angriffsketten kombiniert, die schwer zu erkennen sind, wenn Ihre Tools hauptsächlich auf bekannte schlechte Signaturen oder Binärreputation setzen. Der nächste Schritt ist das Verständnis, wie Angreifer sie miteinander verknüpfen.

Wie Living Off the Land-Angriffe funktionieren

Eine typische LOTL-Angriffskette verläuft in Phasen, wobei jede Phase native Tools nutzt, die zum System gehören.

Phase 1: Initialer Zugriff

Der Angreifer verschafft sich Zugang über eine Phishing-E-Mail, eine ausgenutzte Schwachstelle oder kompromittierte Zugangsdaten. Volt Typhoon nutzte öffentlich erreichbare Netzwerkgeräte aus. Die „Nearest Neighbor“-Kampagne von APT28  verwendete WLAN in der Nähe des Ziels für den Erstzugriff.

Phase 2: Ausführung

Statt eine eigene Binärdatei abzulegen, ruft der Angreifer native Interpreter auf. PowerShell führt Code im Speicher aus. WMI startet Prozesse remote. Die Black Basta-Ransomware-Operation nutzte  WMI über Cobalt Strike, um Payloads im Netzwerk der Opfer zu verteilen und native Systemtools für laterale Ausführung zu verketten.

Phase 3: Erkundung und Zugangsdatenzugriff

Tools wie ntdsutil extrahieren Active Directory-Datenbanken. CISA dokumentierte, dass Volt Typhoon den Befehl ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" ausführte, um  Zugangsdaten zu extrahieren. PowerShell fragt Ereignisprotokolle ab. net localgroup administrators zeigt Privilegiengrenzen auf.

Phase 4: Laterale Bewegung

RDP-Sitzungen nutzen gültige Admin-Zugangsdaten. SMB überträgt Dateien zwischen Hosts. netsh erstellt Portproxy-Regeln zur Weiterleitung von Datenverkehr. Jeder Schritt nutzt ein Tool, das Ihr IT-Team aus legitimen Gründen einsetzen könnte.

Phase 5: Persistenz und Auswirkungen

Geplante Aufgaben, WMI-Subscriptions und Registry-Änderungen sichern den Zugriff. Bei Ransomware-Operationen ist der Verschlüsseler oft das einzige nicht-native Tool in der Kette, das erst eingesetzt wird, nachdem der Angreifer mit LOLBins alle Ziele kartiert, erreicht und vorbereitet hat.

Der gesamte Prozess lässt sich mehreren  ATT&CK-Taktiken zuordnen – von Ausführung über Umgehung von Abwehrmaßnahmen, Persistenz, Zugangsdatenzugriff, Command and Control bis hin zu  lateraler Bewegung. Die Aufteilung von LOTL in Phasen verdeutlicht, warum Sicherheitskontrollen so oft versagen: Der eigentliche Vorteil des Angreifers liegt darin, dass Ihre Umgebung diesen Tools vertraut.

Warum Living Off the Land-Angriffe erfolgreich sind

LOTL-Angriffe sind erfolgreich, weil sie architektonische Annahmen in Ihrer Sicherheitsarchitektur und Ihren Betriebsabläufen ausnutzen.

  • Von Haus aus vertrauenswürdig. LOLBins besitzen gültige Dateihashes und digitale Signaturen des Betriebssystemherstellers. CISA stellt fest, dass diese „vertrauenswürdigen Attribute Netzwerkverteidiger in die Irre führen können“ und sie für alle Nutzer als sicher erscheinen lassen.
  • Unsichtbar für Signaturen. Eine peer-reviewte Studie in Cybersecurity dokumentiert einen spezifischen Bypass: Angreifer fügen Sonderzeichen in Befehlszeilencode ein, die der Windows-Interpreter zur Laufzeit entfernt, sodass der ausgeführte Befehl von der Regelbewertung abweicht.
  • Versteckt im Standard-Logging. CISA bestätigt, dass LOTL-Techniken gezielt  „Aktivitäten in Logs minimieren“. Bei Standard-Logging unter Windows fehlen Ihnen Befehlszeilenargumente, PowerShell-Scriptblock-Inhalte und Prozessherkunftsketten.
  • Verstärkt durch Alarmmüdigkeit. Breite LOLBin-Regeln erzeugen viele Fehlalarme. Die CISA-Warnung zu russischen GRU-Angriffen weist darauf hin, dass  „mehr Heuristiken benötigt werden“, um LOTL-Binärdateien effektiv zu erkennen, ohne von Fehlalarmen überflutet zu werden. Wenn Analysten den Alarmen nicht mehr vertrauen, gewinnen LOTL-Operatoren mehr Spielraum.
  • Verlängert durch Verweildauer. Volt Typhoon blieb über einen längeren Zeitraum aktiv. Jeder Tag ohne Identifikation ist ein weiterer Tag für Aufklärung, Zugangsdaten-Diebstahl und Vorbereitung.

Diese Bedingungen machen LOTL selbst in ausgereiften Umgebungen schwer auffindbar. Reale Kampagnen zeigen, wie sich diese Vorteile in der Praxis auswirken.

Reale LOTL-Kampagnen: Staaten und Ransomware-Operatoren

Das Verständnis, wie echte Angreifer LOLBins miteinander verketten, macht die Bedrohung greifbar.

  • Volt Typhoon (VR China) hielt über einen längeren Zeitraum Zugriff auf US-Kommunikations-, Energie-, Transport- und Wassersysteme. Dokumentierte Tools sind wmic, ntdsutil, netsh, PowerShell und RDP, alle dokumentiert im  Volt Typhoon-Profil.
  • APT28 / Fancy Bear (Russland/GRU) führte die  Nearest Neighbor-Kampagne über mehrere Jahre durch, nutzte reg save zum Extrahieren von SAM-Hives, vssadmin für NTDS.dit-Extraktion, netsh portproxy für interne Proxys und PowerShell für Zugangsdatenzugriff und Datenkomprimierung vor der Exfiltration.
  • FIN7 verwendet PowerShell mit eigener Verschleierung, POWERTRASH, eine modifizierte PowerSploit, rundll32.exe für DLL-Ausführung und gültige Konten laut  FIN7-Profil bei Finanzzielen.

Das Muster in diesen Kampagnen ist konsistent: vertrauenswürdige Tools, gültige Zugangsdaten und minimaler Eigen-Code. Dieses Muster zeigt auch die spezifischen Herausforderungen für Verteidiger auf.

Herausforderungen bei der Abwehr von Living Off the Land-Angriffen

Selbst Organisationen mit ausgereiften Sicherheitsprogrammen haben Schwierigkeiten mit LOTL, da die Techniken Lücken ausnutzen, für die traditionelle Tools nicht entwickelt wurden.

  • Kontextverlust im großen Maßstab. Derselbe PowerShell-Befehl kann routinemäßige Administration oder aktiven Angriff bedeuten. In ICS/OT-Umgebungen dokumentiert SANS die Extremform: Angreifer  änderten HMIs und programmierten Controller mit Standard-Engineering-Workflows um.
  • Strukturelle SIEM-Schwächen. SIEMs scheitern bei LOTL durch Lücken in der Logabdeckung, wie fehlende Befehlszeilenargumente in Standardkonfigurationen, Regelanfälligkeit, wie statisches Pattern-Matching bei Verhaltensweisen, die keinem bekannten schädlichen Muster entsprechen, und Fehlalarm-Paralyse.
  • Sichtbarkeitslücken in Cloud- und Hybridumgebungen. SANS stellt fest, dass Angreifer inzwischen Cloud-Tools missbrauchen, um administrative Rechte zu erlangen und sich zwischen Cloud-Umgebungen lateral zu bewegen. Wenn Ihre Abwehr nur Windows-Endpunkte abdeckt, reicht das nicht aus.
  • Konvergenz von Staaten und Ransomware.  MITRE ATT&CK-Mapping zeigt, dass staatliche Akteure wie Volt Typhoon und APT28 sowie Ransomware-Operatoren wie Black Basta und FIN7 inzwischen nahezu identische Techniken nutzen: PowerShell, RDP, WMI, ntdsutil und System Binary Proxy Execution. Sie können Ihre Abwehr nicht nach Angreifer-Typ trennen.

Diese Herausforderungen wirken sich direkt auf den Alltag aus. Sie zu überwinden beginnt mit dem Wissen, wie LOTL-Aktivität in Ihrer Telemetrie aussieht.

Wie man Living Off the Land-Angriffe erkennt

LOTL-Aktivität weist keine klassischen Kompromissindikatoren auf. Die Erkennung erfordert einen Fokuswechsel von „was läuft“ zu „wie und warum läuft es“ – mit Verhaltenskontext statt Dateireputation.

Verhaltenssignale, die überwacht werden sollten

CISAs  gemeinsame Leitlinie 2025 empfiehlt Heuristiken wie Tageszeit, Benutzerrolle und Prozessherkunft, um bösartige von routinemäßiger LOLBin-Nutzung zu unterscheiden. Wichtige Signale sind:

  • PowerShell oder cmd.exe, gestartet durch Office-Anwendungen (Word, Excel, Outlook)
  • ntdsutil oder vssadmin, ausgeführt von Nicht-Administratorkonten
  • certutil für Dateidownloads statt Zertifikatsverwaltung
  • netsh zum Erstellen von Portproxy-Regeln oder Ändern von Firewallkonfigurationen außerhalb von Wartungsfenstern
  • rundll32.exe lädt DLLs aus temporären oder benutzerbeschreibbaren Verzeichnissen
  • Erstellung geplanter Aufgaben oder  WMI-Subscriptions außerhalb von Wartungsfenstern

SANS empfiehlt einen  flexiblen Baseline-Ansatz mit PowerShell-Regulärausdrücken auf Eventlog-Feldern, wobei Regeln iterativ verfeinert werden, während Sie die Normalmuster Ihrer Umgebung kennenlernen. Diese Signale werden jedoch nur sichtbar, wenn die richtige Telemetrie Ihre Analyse speist.

Wichtige Logquellen

Standard-Logging-Konfigurationen erfassen die meisten LOTL-Aktivitäten nicht. CISA  priorisiert die Aktivierung folgender Quellen:

  • PowerShell ScriptBlock- und Modul-Logging
  • Befehlszeilen-Prozesserstellungsüberwachung (Event ID 4688 mit Argumenten)
  • Sysmon für Prozess-, Netzwerk- und Dateievents
  • WMI-Aktivitätsprotokollierung (Event IDs 5857–5861)

Aggregieren Sie diese Logs zentral und schreibgeschützt und wenden Sie User and Entity Behavior Analytics (UEBA) an, um Anomalien gegenüber etablierten Baselines sichtbar zu machen.

Selbst mit der richtigen Telemetrie machen Teams oft vermeidbare Fehler, die ihre Erkennungsfähigkeit schwächen.

Häufige Fehler bei der LOTL-Abwehr

Sicherheitsteams, die die LOTL-Bedrohung erkennen, schwächen ihre Abwehr dennoch durch wiederkehrende operative Lücken.

  1. Globale Allow-Policies für LOLBins. Die Annahme, dass legitime IT-Tools global sicher sind, vergrößert die  Angriffsfläche. Die CISA-Leitlinie 2025 warnt ausdrücklich davor.
  2. Standard-Logging-Konfigurationen verwenden. Ohne aktiviertes PowerShell ScriptBlock Logging, Module Logging, Befehlszeilen-Prozessüberwachung und WMI-Aktivitätsprotokollierung fehlt Ihnen die Telemetrie, die LOTL-Analysen erfordern.
  3. Fehlende Alarme mit fehlender Kompromittierung gleichsetzen. Stille bedeutet nicht Sicherheit.
  4. IT-Incident-Response-Playbooks auf ICS/OT anwenden. SANS warnt, dass IT-Kontrollen  in Industrieumgebungen Schaden anrichten können.
  5. Tools als Ersatz für Analystenkompetenz. Tools unterstützen, können aber Analystenkompetenz bei der LOTL-Kontextbewertung nicht ersetzen. Regeln ohne Investition in Threat Hunting führen zu Lärm, nicht zu Abwehr.

Diese Fehler zu vermeiden beginnt mit Kontrollen, die Sichtbarkeit erhöhen, Missbrauch von Vertrauen reduzieren und Analysten mehr Kontext bieten.

Wie man Living Off the Land-Angriffe verhindert

Prävention konzentriert sich darauf, die Angriffsfläche zu verkleinern, die LOTL ausnutzt: zu großzügiger Tool-Zugriff, schwache Authentifizierung und unzureichende Einschränkungen für Skriptumgebungen.

  • Zentralisiertes, detailliertes Logging aktivieren. CISAs oberste Priorität ist umfassendes Logging, das in einem Out-of-Band-, schreibgeschützten Speicher aggregiert wird. Ohne detaillierte Telemetrie zu PowerShell, Prozesserstellung und WMI-Aktivität gibt es für Verhaltensanalysen keine Grundlage.
  • Anwendungs-Allowlisting einsetzen. Verwenden Sie AppLocker oder Windows Defender Application Control (WDAC), um die Ausführung von LOLBins nach Benutzer, Pfad und Herausgeber einzuschränken. Blockieren oder beschränken Sie mshta.exe, psexec.exe, certutil.exe, wmic.exe und rundll32.exe außer für genehmigte Administratorkonten. Beginnen Sie im Überwachungsmodus, bevor Sie erzwingen.
  • PowerShell Constrained Language Mode erzwingen. CLM beschränkt erweiterte Skriptfunktionen und blockiert .NET-Methoden wie [Convert]::FromBase64String(), während grundlegende Cmdlet-Funktionalität erhalten bleibt. Kombinieren Sie dies mit der AllSigned-Ausführungsrichtlinie und Just Enough Administration (JEA).
  • Phishing-resistente MFA implementieren. CISA nennt dies als  sofortige Priorität zum Schutz vor LOTL. Erzwingen Sie MFA insbesondere für RDP, VPN und Remote Monitoring and Management (RMM)-Zugänge gemäß  CISA RMM-Leitlinie.
  • Zero Trust-Architektur einführen. CISA und NSA empfehlen Zero Trust als langfristige Strategie. LOTL ist erfolgreich, weil Perimeter-Abwehr internen Tools und authentifizierten Sitzungen implizit vertraut.  Zero Trust beseitigt dieses implizite Vertrauen durch Mikrosegmentierung, Least-Privilege-Zugriff und kontinuierliche Verifizierung.

Diese Maßnahmen erhöhen die Kosten für LOTL-Angreifer. Um sie maschinell durchzusetzen, benötigen Sie eine Plattform, die auf Verhaltenskontext basiert.

Schützen Sie Ihren Endpunkt

Erfahren Sie, wie die KI-gestützte Endpunktsicherheit von SentinelOne Ihnen helfen kann, Cyber-Bedrohungen in Echtzeit zu verhindern, zu erkennen und darauf zu reagieren.

Demo anfordern

Wichtige Erkenntnisse

Living Off the Land-Angriffe missbrauchen vertrauenswürdige, native Systemtools, um signaturbasierte Abwehrmechanismen zu umgehen. Staaten und Ransomware-Operatoren nutzen inzwischen ähnliche LOTL-Techniken unter Windows, Linux, in Cloud- und OT-Umgebungen. 

Um sie zu stoppen, benötigen Sie detailliertes Logging, Verhaltensbaselines, Anwendungskontrolle, Zero Trust-Architektur und verhaltensbasierte  AI-Cybersicherheit, die böswillige Absicht von legitimer Tool-Nutzung unterscheidet. Plattformen, die vollständige Angriffsketten autonom korrelieren, wie Singularity, ersetzen den manuellen Untersuchungsaufwand, den LOTL ausnutzt.

FAQs

Ein Living Off the Land-Angriff ist eine Klasse von Angreiferverhalten, bei der native, vorinstallierte Systemtools und vertrauenswürdige Binärdateien anstelle von maßgeschneiderter Malware verwendet werden, um Ziele zu erreichen. 

Durch die Nutzung bereits vorhandener und auf dem Zielsystem zugelassener Tools wie PowerShell, WMI und certutil verschmelzen Angreifer mit normalen administrativen Aktivitäten und vermeiden die Auslösung signaturbasierter Sicherheitskontrollen.

LOTL konzentriert sich auf die Herkunft von Tools und missbraucht legitime, vorinstallierte System-Binärdateien. Fileless Malware konzentriert sich auf die Ausführungsmethode und vermeidet das Schreiben von Dateien auf die Festplatte. Häufig gibt es Überschneidungen: Ein Angreifer kann eine fileless PowerShell-Nutzlast mit einer nativen OS-Binärdatei ausführen. 

Allerdings können fileless Angriffe auch benutzerdefinierte Tools verwenden, und LOTL kann das Schreiben von Dateien auf die Festplatte über vertrauenswürdige, signierte Binärdateien beinhalten, wie sie unter MITRE ATT&CK T1218 kategorisiert sind.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) und cmd.exe (T1059.003) treten häufig in dokumentierten Kampagnen auf. Angreifer bevorzugen diese Binärdateien, da sie vorinstalliert, digital vom Betriebssystemanbieter signiert sind und in der Lage sind, Code auszuführen, Dateien herunterzuladen oder Prozesse zu starten, ohne Alarme auszulösen. 

Das LOLBAS Project pflegt den maßgeblichen Katalog für Windows, während GTFOBins Linux und LOOBins macOS abdeckt.

Herkömmliche Antivirenlösungen, die auf Signaturen basieren, können dies nicht, da LOLBins gültige Betriebssystemanbieter-Hashes und digitale Signaturen tragen. Verhaltensbasierter, KI-gestützter Endpunktschutz kann dies, indem Prozessbeziehungen, Befehlszeilenargumente und Abweichungen von etablierten Baselines in Echtzeit verfolgt werden. 

Ihre Plattform muss Prozessketten über Endpunkte, Identitätssysteme und Netzwerktelemetrie korrelieren, um LOTL-Verhalten zu erkennen. Ohne diese bereichsübergreifende Sichtbarkeit erscheinen einzelne LOTL-Ereignisse unauffällig.

Beginnen Sie mit dem Verhaltenskontext, nicht mit Binärnamen. Suchen Sie nach PowerShell, die von Office-Anwendungen gestartet wird, ntdsutil-Ausführung durch Nicht-Admin-Konten oder certutil, das für Dateidownloads verwendet wird. CISA empfiehlt den Einsatz zusätzlicher Heuristiken wie Tageszeit, Benutzerrolle und Prozessabstammung, um die Ergebnisse zu filtern. 

SANS befürwortet einen flexiblen Baseline-Ansatz unter Verwendung von regulären Ausdrücken, die auf Ereignisprotokollfelder angewendet werden. Verfeinern Sie die Regeln iterativ, während Sie die normalen Muster Ihrer Umgebung kennenlernen.

Maßgeschneiderte Malware hinterlässt eindeutige Artefakte, die Threat-Intelligence-Teams identifizieren, zuordnen und Signaturen dafür erstellen können. LOTL reduziert dieses Risiko, da jeder Befehl ein Tool verwendet, das zum System gehört. 

CISA bestätigt, dass PRC-Akteure LOTL gezielt einsetzen, um „mit normalen System- und Netzwerkaktivitäten zu verschmelzen, eine Identifizierung durch Netzwerkschutzmaßnahmen zu vermeiden und die Menge der in gängigen Protokollierungskonfigurationen erfassten Aktivitäten zu begrenzen.“

Erfahren Sie mehr über Endpunktsicherheit

MSSP vs. MDR: Was soll man wählen?Endpunktsicherheit

MSSP vs. MDR: Was soll man wählen?

Mehr lesen
Endpoint Security für Unternehmen: Ein kurzer ÜberblickEndpunktsicherheit

Endpoint Security für Unternehmen: Ein kurzer Überblick

Entdecken Sie die Grundlagen der Endpunktsicherheit für Unternehmen. Erfahren Sie, wie Sie Unternehmensgeräte vor Cyberbedrohungen schützen, den Datenschutz gewährleisten und die Netzwerksicherheit mit praktischen Lösungen aufrechterhalten können.

Mehr lesen
Was ist ein Endpunkt in der Cybersicherheit?Endpunktsicherheit

Was ist ein Endpunkt in der Cybersicherheit?

Endpunkte sind Zugänge zu sensiblen Daten und damit bevorzugte Ziele für Cyberangriffe. Eine wirksame Endpunktsicherheit umfasst Tools wie Antivirenprogramme, Firewalls und Verschlüsselung, um Bedrohungen zu erkennen und abzuwehren.

Mehr lesen
5 Anbieter von Endpoint Protection im Jahr 2025Endpunktsicherheit

5 Anbieter von Endpoint Protection im Jahr 2025

Entdecken Sie die 5 Endpunktschutzanbieter für 2025. Erfahren Sie, wie sie Angriffe mit KI, Echtzeitüberwachung und einheitlichen Plattformen bekämpfen. Erfahren Sie Auswahltipps und wichtige Vorteile für jede Branche.

Mehr lesen
Endpunktsicherheit, die Bedrohungen schneller und in größerem Umfang stoppt, als es menschlich möglich ist.

Endpunktsicherheit, die Bedrohungen schneller und in größerem Umfang stoppt, als es menschlich möglich ist.

Eine intelligente Plattform für überragende Transparenz und unternehmensweite Prävention, Erkennung und Reaktion über Ihre gesamte Angriffsfläche, von Endpunkten und Servern bis hin zu mobilen Geräten.

Sichern Sie den Endpunkt
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch