Wie Threat Deception Angriffe mit legitimen Tools aufdeckt
Noel Funke • 25. September 2025
Cyberkriminelle setzen zunehmend auf „Living-off-the-Land“-Techniken und missbrauchen legitime Tools wie PowerShell oder WMIC für ihre Zwecke. Klassische Abwehrmechanismen stoßen dabei an ihre Grenzen. Threat Deception imitiert gezielt digitale Assets wie Backups, lockt Angreifer in isolierte Systeme und ermöglicht so, ihre Methoden frühzeitig zu erkennen und die Verteidigung zu stärken.
Cyberkriminelle haben es nicht mehr länger nur auf die Produktivdaten abgesehen. Sie suchen nach den Backups, um dort die dort gesicherten Daten zu exfiltrieren, zu korrumpieren oder zu verschlüsseln und den Unternehmen ihre Rückversicherung für eine Recovery zu entziehen. Dafür setzen Hacker nur noch selten eine Malware ein, sondern missbrauchen legitime Admin-Tools für Living-off-the-Land-Techniken (LOTL). So bereiten sie, vor Entdeckung geschützt, ihre Angriffe vor. Schon 2022 führten Hacker laut Crowdstrike etwa 71 Prozent der Angriffe ohne Schadsoftware aus – mit steigender Tendenz.
Hacker nutzen alle Optionen und Wege, um unentdeckt in Netzwerke einzudringen. Dabei kommen häufig Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen. (Bild: Art_spiral - stock.adobe.com)
Wie Hacker unsere Sicherheitslösungen austricksen
Wird ein Windows System über einen Native Restore Point neu gestartet, kann es sein, dass Angreifer Hinweise auf ihre Aktivität vertuschen wollen. Eine Threat-Deception-Lösung kann dies erkennen.(Bild: Commvault)
Spionage durch Hacker.(Bild: Commvault)
Legitime Tools für kriminelle Zwecke
Anstelle von Malware verwenden Hacker zulässige IT-Werkzeuge wie PowerShell oder die Windows Management Instrumentation Command Line (WMIC) für bösartige Aktionen, ohne dabei einen Alarm zu generieren. Derart zweckentfremdete Dual Use Tools sind ein großes Problem für die Abwehr. Denn IT-Administratoren können auf diese Alltagswerkzeuge nicht verzichten. Zugleich müssen sie zuverlässig erkennen, ob ein legitimer Einsatz vorliegt, oder ob sich Hacker als vertrauenswürdige Aktivitäten tarnen.
PowerShell zum Beispiel erschließt eine breite Palette von missbräuchlichen Funktionalitäten. Auf Windows-Systemen vorinstalliert, können Anwender Befehle unmittelbar aus dem Speicher ausführen, per Fernzugriff Systeme und Daten auskundschaften und sich seitwärts durch Netzwerke bewegen. Cyberkriminelle können diese Möglichkeiten nutzen und profitieren dabei von der durchaus berechtigten hohen Legitimitätsvermutung, die für das Tool gilt. Denn nur rund sieben Prozent der PowerShell-Aktivitäten werden laut Analysen von Sicherheitsforschern zunächst als verdächtig kategorisiert, wobei 99,98 Prozent letztlich als legitim eingestuft werden. Für das Erkennen der verbleibenden 0,02 Prozent bedarf es sehr detaillierter Kontextinformationen.
Nicht weniger beliebt ist bei den Hackern die Windows Management Instrumentation Command Line (WMIC). Damit können sie Geräte aus der Ferne steuern und Befehle auf Systemebene ausführen. So greifen Angreifer Informationen ab, manipulieren Prozesse und vergrößern ihren Aktionsradius im Netzwerk.
Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken. (©Sergey Nivens - stock.adobe.com)
Standard-Apps als Angriffsmittel
4 Tipps zur Bekämpfung von „Living-off-the-Land“-Angriffe
Unter dem Radar traditioneller Sicherheitstools
Hacker nutzen auch innovative Tarntechniken, um Systeme noch tiefer zu infiltrieren und ihre Spuren zu verbergen. Dafür verwenden sie beispielsweise DLL-Sideloading, um schädlichen Code über legitime Systemdateien zu laden, wie etwa msra.exe.
Zudem setzen Angreifer darauf, Wiederherstellungspunkte bei den Native Restore Points in Microsoft System Restore zu löschen. Dank dieser in Windows integrierten Recovery-Funktion können sie Spuren ihrer Aktivitäten verwischen. Angreifer entfernen Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) ihrer Angriffe, was die Erkennung und die forensische Analyse erheblich erschwert.
Attacken mithilfe von legitimen Werkzeugen sind für herkömmliche Abwehrtechnologien wie eine Endpoint Detection and Response (EDR) nur schwer zu erkennen, da EDR zunächst nach Signaturen oder geläufigen Verhaltensmustern Ausschau hält, um Bedrohungen zu erkennen. Durch immer neue Versionen von Dual-Use-Tools oder im Zuge von Betriebssystem-Updates ist es zudem kaum möglich, alle etwaigen neuen Attacken zu identifizieren. Nachdem LOTL-Techniken zulässige Werkzeuge und Vorgänge für sich nutzen, kann man irreguläre und reguläre Aktivitäten kaum auseinanderhalten. So können Hacker ihre Aktivitäten oft lange unerkannt durchführen. Legitime Tools strenger zu regulieren ist keine Lösung, den sie führt zu einer Inflation an Fehlalarmen.
LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com)
LotL-Angriffe erkennen und abwehren
Threat Deception bewegt Hacker zum Angriff, um ihre Methoden besser untersuchen zu können und bösartiges Verhalten zu definieren. Hier wird eine CustomShellHost.exe in die harmlose explorer.exe auf einem Threat Deception Sensor unbenannt.(Bild: Commvault)
Erwischt: Von einem gehackten Endpunkt aus werden Benutzer mit einem WMI-Kommando auf einem Full-System-Sensor remote angelegt.(Bild: Commvault)
Wird ein Windows System über einen Native Restore Point neu gestartet, kann es sein, dass Angreifer Hinweise auf ihre Aktivität vertuschen wollen. Eine Threat-Deception-Lösung kann dies erkennen.(Bild: Commvault)
Spionage durch Hacker.(Bild: Commvault)
Mit Threat Deception Angreifer in die Falle locken
Getarnte LOTL-Angriffe erfordern andere Schutzansätze. Während herkömmliche Sicherheitstechnologien nach einer möglichst schnellen Erkennung auf Angriffe reagieren, ist Threat Deception eine proaktive Methode, Hacker aus der Reserve zu locken und ihre Absichten zu erkennen: Sie legt digitale Köder aus, damit Angreifer in ungefährlicher Umgebung sich zu erkennen geben, anstatt auf produktiven Systemen Schaden zu erzeugen.
Damit dies gelingt, setzt sie sogenannte Decoys, Nachbildungen von IT-Assets wie Nutzersysteme, Server oder Datenbanken ein. Damit Hacker sich verleiten lassen, diese Köder anzusteuern, sind sie taktisch geschickt im System ausgelegt. Findet beispielsweise eine zweifelhafte Interaktion statt, aktiviert diese das Decoy. Es speichert die Aktionen des Hackers und verzeichnet Informationen wie benutzte Befehle, IP-Adressen und Zielobjekte. Die zum Unternehmensnetz gehörenden Systeme bleiben unterdessen unberührt.
Jetzt Newsletter abonnieren
Täglich die wichtigsten Infos zur IT-Sicherheit
Geschäftliche E-Mail
Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.
Aufklappen für Details zu Ihrer Einwilligung
Eine Threat-Deception-Infrastruktur besteht aus folgenden Elementen:
Köder-Token (Lures), die als Bits oder Informationsfragmente über das Netzwerk bis hin zur Perimeter-Grenze verteilt sind, verleiten Angreifer bei ihrer Informationssuche zu verräterischen Aktionen, ohne dass ein Schaden entstehen kann. Zudem lenken sie den bösartigen Netzverkehr zu den verschiedenen Threat-Deception-Sensoren.
Bedrohungssensoren sind realitätsgetreu nachgebaute Lockvögel, die tatsächlich existierende Assets und Abläufe nachbilden. Ohne großen Ressourcenbedarf imitieren sie verschiedene Dienste auf TCP/IP-Layer in produktiven Umgebungen. Sie liefern präzise Alarme zu tatsächlichen Interaktionen von Cyberkriminellen. Für die IT-Abwehr sind die Sensoren ausgefiltert, um Fehlalarme zu vermeiden.
Systemsensoren, die ein vollständiges System mit Betriebssystem emulieren, stellen Proxy-Dienste bereit, welche die Cyberkriminellen versuchen, für sich zu nutzen. Diese Sensoren verwickeln die Hacker in eine Kette von Scheininteraktionen und -erfolgen. Es existieren verschiedene Sensoren für Windows, Web Server, SQL oder auch für Active-Directory-Dienste.
Bei der Steganografie wird meist nicht bemerkt, dass sich in Datenordnern noch weitere, verschlüsselte Informationen verbergen. (Bild: Mego-studio - stock.adobe.com)
So vertuschen Hacker ihre Aktivitäten
Eine derart mehrdimensional aufgebaute Täuschungskulisse geht dabei über einen gewöhnlichen Honeypot hinaus, der als einfachere Attrappe eines digitalen Assets und Sammelbecken für bösartige Zugriffe Informationen über Angreifer und ihre Angriffsmethoden für die Analyse und Abwehr sammelt. Auch wenn die Grenzen zwischen den Begriffen fließend sind und viele Anbieter oder Dienstleister unterschiedliche Honeypots anbieten: Ein Honeypot-System dagegen ist ein einzelnes, spezifisches, oft isoliertes Täuschungselement, sozusagen eine punktuelle Honigfalle. Threat Deception ist ein strategischer Ansatz, um Angreifer zu täuschen. Sie bietet eine wirksamere Grundlage für die Abwehr als traditionelle Honeypots, weil die Sensoren auch umfangreicher, flexibler und integrierter agieren als traditionelle Honeypots. Threat Deception ist zum Beispiel kein bloßes Sammelbecken, sondern verwendet die oben beschriebenen Köder, um Angreifer in Richtung der Sensoren zu lenken. Falsche File Shares simulieren einen Server, Fake-Credential-Zugangsdaten sind eine vermeintliche Beute, die Hacker im Glauben lassen kann, bereits ein wichtiges Etappenziel erreicht zu haben.
Hacker für eine wirksame Erkennung demaskieren
Mit Threat Deception haben Unternehmen ein effektives Tool, um Attacken in einer isolierten Umgebung zu analysieren und deren Übergreifen auf produktive Systeme zu erkennen. In der Folge kann die Abwehr auch Angriffe auf Backups schneller stoppen. Zusätzlich tragen die die Informationen, welche die Decoys sammeln, dazu bei, vorhandene Schwachstellen zu beheben und künftigen Attacken vorzubeugen.
Hacker nutzen alle Optionen und Wege, um unentdeckt in Netzwerke einzudringen. Dabei kommen häufig Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen. (Bild: Art_spiral - stock.adobe.com)
Wie Hacker unsere Sicherheitslösungen austricksen
Threat Deception bewegt Hacker zum Angriff, um ihre Methoden besser untersuchen zu können und bösartiges Verhalten zu definieren. Hier wird eine CustomShellHost.exe in die harmlose explorer.exe auf einem Threat Deception Sensor unbenannt.(Bild: Commvault)
Erwischt: Von einem gehackten Endpunkt aus werden Benutzer mit einem WMI-Kommando auf einem Full-System-Sensor remote angelegt.(Bild: Commvault)Wird ein Windows System über einen Native Restore Point neu gestartet, kann es sein, dass Angreifer Hinweise auf ihre Aktivität vertuschen wollen. Eine Threat-Deception-Lösung kann dies erkennen.(Bild: Commvault)
Spionage durch Hacker.(Bild: Commvault)
Legitime Tools für kriminelle Zwecke
Anstelle von Malware verwenden Hacker zulässige IT-Werkzeuge wie PowerShell oder die Windows Management Instrumentation Command Line (WMIC) für bösartige Aktionen, ohne dabei einen Alarm zu generieren. Derart zweckentfremdete Dual Use Tools sind ein großes Problem für die Abwehr. Denn IT-Administratoren können auf diese Alltagswerkzeuge nicht verzichten. Zugleich müssen sie zuverlässig erkennen, ob ein legitimer Einsatz vorliegt, oder ob sich Hacker als vertrauenswürdige Aktivitäten tarnen.
PowerShell zum Beispiel erschließt eine breite Palette von missbräuchlichen Funktionalitäten. Auf Windows-Systemen vorinstalliert, können Anwender Befehle unmittelbar aus dem Speicher ausführen, per Fernzugriff Systeme und Daten auskundschaften und sich seitwärts durch Netzwerke bewegen. Cyberkriminelle können diese Möglichkeiten nutzen und profitieren dabei von der durchaus berechtigten hohen Legitimitätsvermutung, die für das Tool gilt. Denn nur rund sieben Prozent der PowerShell-Aktivitäten werden laut Analysen von Sicherheitsforschern zunächst als verdächtig kategorisiert, wobei 99,98 Prozent letztlich als legitim eingestuft werden. Für das Erkennen der verbleibenden 0,02 Prozent bedarf es sehr detaillierter Kontextinformationen.
Nicht weniger beliebt ist bei den Hackern die Windows Management Instrumentation Command Line (WMIC). Damit können sie Geräte aus der Ferne steuern und Befehle auf Systemebene ausführen. So greifen Angreifer Informationen ab, manipulieren Prozesse und vergrößern ihren Aktionsradius im Netzwerk.
Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken. (©Sergey Nivens - stock.adobe.com)
Standard-Apps als Angriffsmittel
4 Tipps zur Bekämpfung von „Living-off-the-Land“-Angriffe
Unter dem Radar traditioneller Sicherheitstools
Hacker nutzen auch innovative Tarntechniken, um Systeme noch tiefer zu infiltrieren und ihre Spuren zu verbergen. Dafür verwenden sie beispielsweise DLL-Sideloading, um schädlichen Code über legitime Systemdateien zu laden, wie etwa msra.exe.
Zudem setzen Angreifer darauf, Wiederherstellungspunkte bei den Native Restore Points in Microsoft System Restore zu löschen. Dank dieser in Windows integrierten Recovery-Funktion können sie Spuren ihrer Aktivitäten verwischen. Angreifer entfernen Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) ihrer Angriffe, was die Erkennung und die forensische Analyse erheblich erschwert.
Attacken mithilfe von legitimen Werkzeugen sind für herkömmliche Abwehrtechnologien wie eine Endpoint Detection and Response (EDR) nur schwer zu erkennen, da EDR zunächst nach Signaturen oder geläufigen Verhaltensmustern Ausschau hält, um Bedrohungen zu erkennen. Durch immer neue Versionen von Dual-Use-Tools oder im Zuge von Betriebssystem-Updates ist es zudem kaum möglich, alle etwaigen neuen Attacken zu identifizieren. Nachdem LOTL-Techniken zulässige Werkzeuge und Vorgänge für sich nutzen, kann man irreguläre und reguläre Aktivitäten kaum auseinanderhalten. So können Hacker ihre Aktivitäten oft lange unerkannt durchführen. Legitime Tools strenger zu regulieren ist keine Lösung, den sie führt zu einer Inflation an Fehlalarmen.
LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com)
LotL-Angriffe erkennen und abwehren
Threat Deception bewegt Hacker zum Angriff, um ihre Methoden besser untersuchen zu können und bösartiges Verhalten zu definieren. Hier wird eine CustomShellHost.exe in die harmlose explorer.exe auf einem Threat Deception Sensor unbenannt.(Bild: Commvault)
Erwischt: Von einem gehackten Endpunkt aus werden Benutzer mit einem WMI-Kommando auf einem Full-System-Sensor remote angelegt.(Bild: Commvault)
Wird ein Windows System über einen Native Restore Point neu gestartet, kann es sein, dass Angreifer Hinweise auf ihre Aktivität vertuschen wollen. Eine Threat-Deception-Lösung kann dies erkennen.(Bild: Commvault)
Spionage durch Hacker.(Bild: Commvault)
Mit Threat Deception Angreifer in die Falle locken
Getarnte LOTL-Angriffe erfordern andere Schutzansätze. Während herkömmliche Sicherheitstechnologien nach einer möglichst schnellen Erkennung auf Angriffe reagieren, ist Threat Deception eine proaktive Methode, Hacker aus der Reserve zu locken und ihre Absichten zu erkennen: Sie legt digitale Köder aus, damit Angreifer in ungefährlicher Umgebung sich zu erkennen geben, anstatt auf produktiven Systemen Schaden zu erzeugen.
Damit dies gelingt, setzt sie sogenannte Decoys, Nachbildungen von IT-Assets wie Nutzersysteme, Server oder Datenbanken ein. Damit Hacker sich verleiten lassen, diese Köder anzusteuern, sind sie taktisch geschickt im System ausgelegt. Findet beispielsweise eine zweifelhafte Interaktion statt, aktiviert diese das Decoy. Es speichert die Aktionen des Hackers und verzeichnet Informationen wie benutzte Befehle, IP-Adressen und Zielobjekte. Die zum Unternehmensnetz gehörenden Systeme bleiben unterdessen unberührt.
Jetzt Newsletter abonnieren
Täglich die wichtigsten Infos zur IT-Sicherheit
Geschäftliche E-Mail
Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.
Aufklappen für Details zu Ihrer Einwilligung
Eine Threat-Deception-Infrastruktur besteht aus folgenden Elementen:
Köder-Token (Lures), die als Bits oder Informationsfragmente über das Netzwerk bis hin zur Perimeter-Grenze verteilt sind, verleiten Angreifer bei ihrer Informationssuche zu verräterischen Aktionen, ohne dass ein Schaden entstehen kann. Zudem lenken sie den bösartigen Netzverkehr zu den verschiedenen Threat-Deception-Sensoren.
Bedrohungssensoren sind realitätsgetreu nachgebaute Lockvögel, die tatsächlich existierende Assets und Abläufe nachbilden. Ohne großen Ressourcenbedarf imitieren sie verschiedene Dienste auf TCP/IP-Layer in produktiven Umgebungen. Sie liefern präzise Alarme zu tatsächlichen Interaktionen von Cyberkriminellen. Für die IT-Abwehr sind die Sensoren ausgefiltert, um Fehlalarme zu vermeiden.
Systemsensoren, die ein vollständiges System mit Betriebssystem emulieren, stellen Proxy-Dienste bereit, welche die Cyberkriminellen versuchen, für sich zu nutzen. Diese Sensoren verwickeln die Hacker in eine Kette von Scheininteraktionen und -erfolgen. Es existieren verschiedene Sensoren für Windows, Web Server, SQL oder auch für Active-Directory-Dienste.
Bei der Steganografie wird meist nicht bemerkt, dass sich in Datenordnern noch weitere, verschlüsselte Informationen verbergen. (Bild: Mego-studio - stock.adobe.com)
So vertuschen Hacker ihre Aktivitäten
Eine derart mehrdimensional aufgebaute Täuschungskulisse geht dabei über einen gewöhnlichen Honeypot hinaus, der als einfachere Attrappe eines digitalen Assets und Sammelbecken für bösartige Zugriffe Informationen über Angreifer und ihre Angriffsmethoden für die Analyse und Abwehr sammelt. Auch wenn die Grenzen zwischen den Begriffen fließend sind und viele Anbieter oder Dienstleister unterschiedliche Honeypots anbieten: Ein Honeypot-System dagegen ist ein einzelnes, spezifisches, oft isoliertes Täuschungselement, sozusagen eine punktuelle Honigfalle. Threat Deception ist ein strategischer Ansatz, um Angreifer zu täuschen. Sie bietet eine wirksamere Grundlage für die Abwehr als traditionelle Honeypots, weil die Sensoren auch umfangreicher, flexibler und integrierter agieren als traditionelle Honeypots. Threat Deception ist zum Beispiel kein bloßes Sammelbecken, sondern verwendet die oben beschriebenen Köder, um Angreifer in Richtung der Sensoren zu lenken. Falsche File Shares simulieren einen Server, Fake-Credential-Zugangsdaten sind eine vermeintliche Beute, die Hacker im Glauben lassen kann, bereits ein wichtiges Etappenziel erreicht zu haben.
Hacker für eine wirksame Erkennung demaskieren
Mit Threat Deception haben Unternehmen ein effektives Tool, um Attacken in einer isolierten Umgebung zu analysieren und deren Übergreifen auf produktive Systeme zu erkennen. In der Folge kann die Abwehr auch Angriffe auf Backups schneller stoppen. Zusätzlich tragen die die Informationen, welche die Decoys sammeln, dazu bei, vorhandene Schwachstellen zu beheben und künftigen Attacken vorzubeugen.
Wir sprechen heute mit Grep, einem ehemaligen Mitglied von Hellcat. Er hackt Firmen wie Dell und Sony, wurde durch Baguette-Lösegelder berühmt und erzählt uns von seinem Weg zum meist gehassten Hacker in der Bubble.
Wir sprechen mit einem Reverse Engineer über Cracking und Software im Wert von Millionen welche täglich geknackt wird. Wie schaffen es Hacker:innen, selbst die fortschrittlichsten Schutzmaßnahmen zu umgehen?
