LOTL steht für „Living off the Land“ und beschreibt eine Technik in der IT-Sicherheit, bei der Angreifer legitime, bereits auf dem System vorhandene Werkzeuge und Funktionen verwenden, um ihre Ziele zu erreichen – z. B. für Angriffe, Ausbreitung, Datenexfiltration oder Persistenz.
Anstatt eigene Malware einzuschleusen, nutzen LOTL-Angriffe vorhandene Tools wie PowerShell, WMI oder legitime Admin-Tools – was sie besonders schwer zu erkennen macht.
Was bedeutet Living off the Land genau?
LOTL-Angriffe zielen darauf ab, sich unauffällig innerhalb eines Systems oder Netzwerks zu bewegen, indem ausschließlich vertrauenswürdige (systemeigene oder bereits installierte) Tools verwendet werden. Dadurch umgehen sie häufig klassische Sicherheitsmechanismen wie Signatur-basierte Virenscanner oder einfache Whitelisting-Strategien.
Typische Beispiele für LOTL-Tools
| Tool / Technik | Beschreibung / Zweck im Angriff |
|---|---|
| PowerShell | Skriptausführung, Datenexfiltration, Remote-Steuerung |
| WMI (Windows Management Instrumentation) | Systemabfragen, Prozessstart, persistente Backdoors |
| PsExec | Ausführung von Befehlen auf Remote-Systemen |
| CertUtil | Download und Dekodierung von Malware |
| RDP / SMB / FTP | Seitliche Bewegung im Netzwerk |
| MSHTA / rundll32.exe | Code-Ausführung über legitime Systemprozesse |
Ziele und Vorteile für Angreifer
-
Unentdeckt bleiben: Weniger auffällig, da keine unbekannten Tools genutzt werden
-
Umgehung von Schutzsystemen: Antivirus, EDR und Firewalls können umgangen werden
-
Schneller Zugriff: Viele Tools sind auf Zielsystemen bereits verfügbar
-
Persistenz: Oft schwer zu entfernen, da keine externen Dateien im Spiel sind
Abwehrstrategien gegen LOTL
-
Verhaltensbasierte Erkennung (z. B. EDR/XDR) statt nur Signaturen
-
Harte PowerShell-Einschränkungen (z. B. Constrained Language Mode)
-
Anwendungskontrolle (Application Whitelisting)
-
Protokollierung und Anomalieerkennung
-
Least Privilege-Prinzip: Minimale Rechtevergabe für Nutzer und Dienste
LOTL („Living off the Land“) ist eine raffinierte Angriffsstrategie, bei der Angreifer auf vorhandene, vertrauenswürdige Tools zurückgreifen, um unerkannt zu operieren. Für Unternehmen bedeutet das: klassische Schutzmaßnahmen reichen oft nicht aus – moderne, verhaltensbasierte Sicherheitslösungen und präventive Architekturentscheidungen sind entscheidend.