Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt

Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
August 12, 2025
23 min. lesen

Odysseus hat Troja nicht mit roher Gewalt durchbrochen.

Er infiltrierte sie von innen – versteckt in einem hölzernen Pferd, das die Trojaner für ein Geschenk hielten. In dieser Nacht tauchten seine Truppen auf und nahmen die Stadt von innen ein.

Es war die perfekte Täuschung: Nutze das, was man dir vertraut, gib keine Warnungen – nur Strategie, Geduld und das Wissen um die blinden Flecken des Feindes.

Die fortschrittlichsten Cyberangriffe von heute folgen dem gleichen Drehbuch. Angreifer nutzen die nativen Tools aus, die sich bereits in Ihren Systemen befinden. Sie bewegen sich leise und bleiben verborgen. Wie Odysseus nutzen sie das, was man ihnen vertraut, um unentdeckt durchzubrechen.

Das hölzerne Pferd, gemalt von einem florentinischen Künstler, Biagio d'Antonio, im späten 15. Jahrhundert.

Vertrauenswürdige Tools, versteckte Bedrohungen

In der Cybersicherheit entgehen LOTL-Cyberangriffe ( Living-off-the-Land ) der Erkennung, indem legitime, integrierte Systemtools wie PowerShell oder WMI verwendet werden.

Diese Tools laden bösartige Payloads herunter, bewegen sich seitlich und exfiltrieren Daten – und das alles neben dem normalen Netzwerkverkehr. Es wird keine Malware installiert und keine verdächtigen Dateien abgelegt, weshalb diese Angriffe oft monatelang unbemerkt bleiben.

LOTL-Angriffe machen heute den Großteil der modernen Cyberangriffe aus. Eine Analyse von über 700.000 Vorfällen aus dem Jahr 2025 ergab, dass 84 % der größeren Angriffe LOTL-Techniken betrafen.

Warum sind sie so effektiv? Auf Betriebssystemen sind leistungsstarke Tools für Administratoren vorinstalliert, und Angreifer verwandeln sie in Waffen. Sobald sie drinnen sind, verwenden sie dieselben Tools, um sich anzupassen, den Zugang zu erhalten und ihre Reichweite leise zu erweitern.

Eine Analyse von über 700.000 Vorfällen aus dem Jahr 2025 ergab, dass 84 % der größeren Angriffe LOTL-Techniken betrafen.

Das macht es schwieriger, Angriffe von Living off the Land zu entdecken – und viel schwieriger zu stoppen.

Während viele LOTL-Angriffe unter Windows auftreten, kann die Verwendung vertrauenswürdiger Tools und das Ausführen von Code im Speicher auch für macOS und Linux gelten.  

Unter macOS können Angreifer native Dienste wie AppleScript und den Befehl launchd ausnutzen, um Befehle beizubehalten und auszuführen. Unter Linux konnten sie sich auf Bash, SSH, Cron-Jobs und In-Memory-Ausführung verlassen, um ohne Dateien auf die Festplatte zu schreiben und die herkömmliche Erkennung zu umgehen.

Beispiel für Systemtools, die in Windows verfügbar sind
Beispiel für Systemtools, die in Windows verfügbar sind

Hat der jüngste SharePoint-ToolShell-Exploit "vom Land gelebt"?

Im Juli 2025 enthüllte Microsoft die aktive Ausnutzung von zwei Zero-Day-Schwachstellen in SharePoint (CVE202553770 und CVE202553771), die zusammen als ToolShell bekannt sind.

Die Schwachstellen – Linen Typhoon, Violet Typhoon und Storm2603 – betrafen mit dem Internet verbundene lokale Server und wurden von staatlich unterstützten Akteuren ausgenutzt.

Diese Bedrohungsgruppen nutzten Schwachstellen, um Remote-Code auszuführen, Maschinenschlüssel zu stehlen, Berechtigungen zu eskalieren und Ransomware, einschließlich Warlock - und LockBit-Varianten , auf Hunderten von anfälligen Systemen einzusetzen.

Michael Adjei, Director of Systems Engineering bei Illumio, teilt seine Sicht auf die Besonderheiten der ToolShell-Exploits: "Es ist nicht nur die Verwendung nativer Tools – es ist die Art und Weise, wie Angreifer vom ersten Zugriff zur lateralen Bewegung übergingen, ohne herkömmliche Alarme auszulösen. Dieser Vorfall unterstreicht eine wichtige Realität: Wenn Verteidiger nur nach Malware Ausschau halten, sind sie bereits im Rückstand."

Ransomware + Living off the Land: eine wirkungsvolle Kombination

Ein weiteres starkes Beispiel für diesen heimlichen Ansatz ist Medusa ransomware.

Im Februar 2024 gaben das FBI und die CISA eine gemeinsame Empfehlung (#StopRansomware: Medusa Ransomware) heraus, in der sie vor der wachsenden Bedrohung kritischer Infrastrukturen warnten. Mehr als 300 Organisationen sind bereits betroffen, darunter Krankenhäuser, Finanzinstitute, Schulen und Behörden.  

Medusa verlässt sich nicht auf auffällige Zero-Days oder offensichtliche Malware. Stattdessen fügt es sich ein – mit vertrauenswürdigen Tools wie PowerShell, WMI, RDP, SSH und Fernzugriffssoftware wie ScreenConnect , um sich in hybriden Umgebungen zu bewegen und eine Entdeckung zu vermeiden.

Moderne Ransomware stürzt nicht durch die Haustür – sie fügt sich wie ein Spion ein.

Warum die NSA bei LOTL Alarm schlug

Im Jahr 2024 veröffentlichten die NSA, die CISA und internationale Partner eine gemeinsame Warnung, in der sie vor dem Anstieg des LOTL-Eindringens warnten.

Auslöser dafür war nicht ein einzelner Verstoß, sondern ein beunruhigender Trend: Fortschrittliche Bedrohungsakteure, einschließlich staatlich geförderter Gruppen, nutzten zunehmend native Tools, um kritische Infrastrukturen heimlich zu infiltrieren.

Der Wendepunkt? Kampagnen wie Volt Typhoon, bei denen sich Angreifer in die Kommunikations-, Energie- und Transportsysteme der USA eingruben, ohne herkömmliche Malware einzusetzen.

Die Empfehlung war klar: LOTL-Techniken waren zu einer bevorzugten Strategie für nationalstaatliche Angreifer geworden, und die Verteidiger mussten sich sofort anpassen.

SolarWinds: eine Meisterklasse in LOTL

Eines der früheren und schädlichsten Beispiele für LOTL-Handel ereignete sich im Jahr 2020, als Bedrohungsakteure heimlich Malware in ein routinemäßiges Orion-Update von SolarWinds einfügten.

Als Kunden es installierten, erhielten Angreifer Zugang zu einigen der sensibelsten Netzwerke der Welt, darunter US-Regierungsbehörden und Fortune-500-Unternehmen.

Durch die Verwendung nativer Windows-Tools und die Nachahmung normaler Orion-Aktivitäten entzogen sich die Angreifer monatelang der Erkennung. Die Malware wird nur bei hochwertigen Zielen aktiviert. Im Inneren gab es eine weit verbreitete Datenexfiltration, und sie verwischten ihre Spuren.  

Das Weiße Haus schrieb den Angriff später dem russischen Geheimdienst zu.

Um LOTL zu stoppen, muss man sehen, was andere verpassen

Diese Angriffe beruhen nicht auf Malware und missbrauchen die legitimen Tools, die sich bereits in Ihrem Netzwerk befinden. Sicherheitsteams benötigen Einblick in die normale Kommunikation von Systemen, damit sie ungewöhnliches Verhalten erkennen und Bedrohungen in Echtzeit unter Quarantäne stellen können.  

Zu den wichtigsten Abwehrmaßnahmen gehören:

  • Erkennung von lateralen Bewegungen: Die Transparenz der System-zu-System-Kommunikation ist unerlässlich, um Angreifer zu erkennen, die sich in Umgebungen bewegen.
  • Erkennung verhaltensbasierter Bedrohungen: Analysen, die eine abnormale Verwendung nativer Tools identifizieren, helfen dabei, Aktivitäten zu erkennen, die sich in den normalen Betrieb einfügen.
  • Priorisierung von Warnungen: Das Herausfiltern von Routineverhalten und das Aufzeigen verdächtiger Muster ist von entscheidender Bedeutung, wenn Angreifer vertrauenswürdige Prozesse verwenden.
  • Schnelle Eindämmung: Die Möglichkeit, kompromittierte Assets schnell zu isolieren – ohne auf Malware-Signaturen warten zu müssen – kann LOTL-Techniken stoppen, bevor sie sich ausbreiten.

In einer Welt, in der Angreifer vom Land leben, müssen Verteidiger die Macht haben, zu sehen und zu kontrollieren, wie ihre Umgebung genutzt wird.

Erfahren Sie, wie Illumio Insights LOTL-Bedrohungen stoppt, bevor sie sich ausbreiten. Starten Sie Ihre KOSTENLOSE TESTVERSION Heute.

Verwandte Themen

Ransomware Containment

Verwandte Artikel

So stoppen Sie die Clop Ransomware-Angriffe mit Illumio
Ransomware Containment

So stoppen Sie die Clop Ransomware-Angriffe mit Illumio

Erfahren Sie, wie die Clop-Ransomware-Variante funktioniert und wie Illumio Ihrem Unternehmen helfen kann, den Angriff durch Mikrosegmentierung einzudämmen.

Read more
3 Schritte, um die Verbreitung von Ransomware zu stoppen
Ransomware Containment

3 Schritte, um die Verbreitung von Ransomware zu stoppen

Erfahren Sie, wie Sie die Ausbreitung von Ransomware verhindern können, indem Sie Verbindungen einschränken, die Transparenz erhöhen und die Reaktionszeit verbessern.

Read more
Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken

Erfahren Sie mehr über 5 Ransomware-Techniken mit dem .Net-Software-Framework.

Read more
Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt
Ransomware Containment

Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Erfahren Sie, wie Medusa Ransomware funktioniert und warum sie für kritische Infrastrukturen weltweit so gefährlich ist.

Read more
Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen
Cyber Resilience

Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen

Erfahren Sie, wie Cyberangriffe auf kritische Infrastrukturen im Jahr 2025 zunehmen werden, da die globalen Spannungen zunehmen und staatlich unterstützte Gruppen Versorgungsunternehmen, das Gesundheitswesen und vieles mehr ins Visier nehmen.

Read more
Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise
Cyber Resilience

Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Erfahren Sie wichtige Lehren aus der ICBC-Cyberkrise, bei der zwei große Sicherheitsverletzungen – Ransomware in den USA und ein Datendiebstahl in London – systemische Schwachstellen im globalen Banking aufdeckten.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more