20.03.2025 –, Blue Stage (Stage 2)
Immer mehr Angreifer, sowohl Nationalstaaten als auch Cyberkriminelle, verzichten soweit möglich auf den Einsatz von Schadsoftware. Stattdessen nutzen sie vorhandene Werkzeuge, die vom Betriebssystem mitgeliefert werden oder von dessen Hersteller digital signiert sind. Diese Technik ist seit einigen Jahren bekannt als „Living of the Land“ – abgekürzt LOTL; Varianten davon sind LOLbins und LOLBAS.
Inzwischen nutzen Angreifer auch legitime Werkzeuge zur Fernwartung wie Anydesk oder TeamViewer in bösartiger Absicht.
Dadurch sinkt die Wahrscheinlichkeit, dass Antiviren- oder auch EDR-Software Alarm schlägt. Alternative Methoden zum Entdecken eines Einbruchs gewinnen an Bedeutung. Auch werden Präventionsmaßnahmen wie Inventarisierung und Application Allowlisting wichtiger – die richtig angegangen nicht viel Aufwand bedeuten müssen.
Dieser Vortrag zeigt den Stand der Sicherheitsforschung und des Angreifervorgehens 2025 rund um das Thema „Living off the Land“, stellt verwandte Bereiche wie „Living off the Foreign Land“ (LOFL) vor – und wie sich Organisationen jeweils effizient davor schützen.
Frank Ully ist Principal Consultant Cybersecurity & Leiter CORE (Cyber Operations and Research) bei Corporate Trust. Seit mehr als zehn Jahren beschäftigt er sich beruflich mit Informationssicherheit, zuletzt mit Fokus auf relevanten Entwicklungen in der offensiven IT-Security. Sein Wissen teilt er regelmäßig in Vorträgen, Webinaren, Schulungen und Artikeln, etwa in der Fachzeitschrift iX oder bei der heise academy. Damit hilft er Organisationen, Angreifer zu verstehen und sich effizient gegen sie zu verteidigen – auf dem neuesten Stand der Technik. Seine aktuellen Schwerpunkte sind On-Premises Active Directory und die Sicherheit öffentlicher Clouds.
Er studierte Technische Redaktion an der Hochschule Karlsruhe und leitete danach die Abteilung Unternehmenskommunikation und Dokumentation eines Berliner Softwareherstellers. Später betreute er dort Anwendersysteme und war für die IT-Sicherheit verantwortlich. Berufsbegleitend absolvierte er den Master Security Management an der Technischen Hochschule Brandenburg und zertifizierte sich zum Offensive Security Certified Expert (OSCE) sowie Offensive Security Certified Professional (OSCP). Er arbeitete als Penetration Tester und Security Consultant bei einer internationalen Beratungsgesellschaft in München; später war er dort Chief Technical Officer und Head of Research.