Immer häufiger missbrauchen Cyberkriminelle legitime Systemtools, um Dateien zu stehlen oder Endpunkte zu kompromittieren. In diesem Whitepaper erfahren Sie, wie solche sogenannten „Living Off the Land“-Angriffe (LOTL) funktionieren und wie Sie sich dagegen schützen können.
Inhalt:
Windows bietet eine ganze Reihe von Systemtools, mit denen Administratoren Konfigurations- und Wartungsarbeiten vereinfachen und automatisieren können. Dazu zählen beispielsweise Programme wie Cmd.exe, PowerShell.exe, runddll32.exe oder auch die Windows Management Instrumentation Command Line (WMIC).
Diese mächtigen Tools werden jedoch immer häufiger von Cyberkriminellen genutzt, um Daten zu stehlen, Systeme zu übernehmen oder sich im Netzwerk auszubreiten. Das Perfide an solchen sogenannten Living-Off-the-Land-Angriffen (LOTL): Sie lösen in Virenscannern und anderen Sicherheitslösungen keinen Alarm aus, da die eingesetzte Software als legitim erscheint.
Dieses Whitepaper erklärt detailliert, wie die verschiedenen Systemtools funktionieren, wie sie legitim eingesetzt werden und wie sie missbraucht werden können. Darüber hinaus enthält es wertvolle Handreichungen für Abwehrmaßnahmen.
Lesen Sie unter anderem:
- Welche Systemtools von Cyberkriminellen am häufigsten für LOTL-Angriffe genutzt werden.
- Wie Sie solche Angriffe erkennen.
- Warum auch Linux- und MacOS-Systeme anfällig für LOTL-Angriffe sind.
Originalauszug aus dem Dokument:
WMI/WMIC.exe
Windows Management Instrumentation Command-Line (WMIC.exe) ist ein Dienstprogramm, das mit Windows 2000 eingeführt wurde und in Windows XP Pro und Server 2003 standardmäßig enthalten ist. Es wurde im Hinblick auf eine skriptfreundliche Systemverwaltung entwickelt.
Rechtmäßige Nutzung von WMI/WMIC.exe
WMIC bietet Befehlszeilenzugriff auf WMI für Remote-Systemverwaltung, automatisierte Aufgaben und den Abruf detaillierter Systeminformationen, wodurch die Lücke zwischen Befehlszeilen- und objektorientierter Verwaltung geschlossen wurde, bevor PowerShell das Tool der Wahl wurde. Obwohl WMIC.exe veraltet ist , wird diese Schnittstelle von Anwendungen bestimmter Anbieter für die Systemverwaltung, Remote-Verwaltung, Automatisierung und Diagnose weiter verwendet. Beispiele hierfür sind SCCM für die Hardwareinventur, Dell Command Monitor für Hardwareinteraktionen, SolarWinds Network Performance Monitor für Leistungskennzahlen und Lansweeper für die Ressourcenverwaltung. Beispiel:
Microsoft System Center Configuration Manager (SCCM) nutzt WMIC umfassend für Hardwareinventur, Softwareerkennung und Zustandsüberwachung. Dabei werden WMIC-Befehle ausgeführt, um während der Inventurzyklen detaillierte Systeminformationen zu sammeln. Ein Beispiel dafür, wie die Verwendung aussehen kann, ist nachfolgend gezeigt