Living-off-the-Land-Angriffe (LotL) und KI-gestützte Angriffswerkzeuge haben die Messlatte für Täuschung höher gelegt. Solche Fälschungen schnell zu erkennen, sei eine der besten Chancen, einen Angriff zu unterbrechen, bevor er realen Schaden anrichtet, argumentiert Corelight.
de Hory unterhielt ein komplexes Netzwerk aus Kunsthändlern und Vertretern in vielen Ländern und Städten, um seine Bilder zu verkaufen; als Käufer misstrauisch wurden, nutzte er verschiedene Pseudonyme. Ähnliches geschieht laut Corelight heute mit günstigen KI-Agenten. Diese erzeugen nicht nur glaubwürdige falsche Identitäten für Betrug, sondern produzieren auch Exploit-Code zum Abgreifen von Geheimnissen und Skripte zur Infektion von Endgeräten. Selbstlernende Agenten beobachten das Netzwerkverhalten und passen ihren eigenen Datenverkehr fortlaufend an, um Anomalieerkennung zu täuschen: Sie verlagern C2-Verkehr in Schübe, die mit legitimen Lastspitzen zusammenfallen.
In der Software-Lieferkette schieben bösartige KI-Agenten Schadcode als scheinbar harmloses Update unter und verschleiern so Ursprung und Ursache der Angriffe. Microsoft-Forscher beobachteten dies beim Wurm Shai Hulud v2: Angreifer manipulierten Hunderte Software-Pakete zu einem koordinierten Ökosystem, um Entwickler-Zugangsdaten und API-Geheimnisse abzugreifen, und verbreiteten ihn zusätzlich über vertrauenswürdige interne Netzwerkfreigaben – getarnt als legitime Software-Updates. Lieferkettenangriffe gibt es seit Jahren – man denke an SolarWinds –, doch KI-Agenten lassen sie schneller erstellen und verteilen.
Auch die cloudbasierte Täuschung hat sich beschleunigt. Seit Jahren setzen Angreifer auf gefälschte Login-Seiten und nachgeahmte Cloud-Repositories, die Design und Markenauftritt echter Dienste imitieren. KI-gestützte Werkzeuge können die Erstellung solcher überzeugenden Fälschungen weiter beschleunigen und in größerem Umfang ermöglichen.
Beim Verschleiern von Netzwerkverkehr nutzen Angreifer IP-Tunnel, um bösartige Aktivität in legitim wirkendem Verkehr zu verbergen, oder bewusst nicht zusammenpassende Anfragen und Antworten, um der Erkennung zu entgehen. So lassen sich auch Schutzmechanismen deaktivieren, woraufhin Angreifer monatelang unbemerkt im Firmennetz verharren. Hinzu kommen App-Stores, die seit Jahren mit gefälschten Apps voller Malware zu kämpfen haben – etwa ein jüngeres Beispiel eines Werkzeugs zur visuellen Suche, das einen Exploit zur Fernausführung verbirgt.
Weiter spinnen Angreifer ähnlich aussehende Server, Domains und Dienste unter eigener Kontrolle auf, die vertrauenswürdige Infrastruktur imitieren. Aktuelle Microsoft-Forschung zeigt Bedrohungsakteure, die Nutzer mit gefälschten Teams-Besprechungsnachrichten auf Seiten zum Abgreifen von Zugangsdaten lockten, die als echte Login-Seiten getarnt waren. Solche gefälschten Server können dazu dienen, sensible Daten zu kompromittieren und abzuziehen und damit später eine Ransomware-Kampagne zu starten.
Im Kern jeder Phishing-Kampagne steht die Fälschung – etwa durch gefälschte E-Mail-Adressen, die zur eigenen Domain zu gehören scheinen, in Wahrheit aber auf Homoglyphen- oder Homographen-Angriffen beruhen und legitime Domains mit ähnlich aussehenden Ersatzzeichen vortäuschen.
de Hory flog schließlich auf, als Experten mehrere Werke verglichen und die stilistischen Fingerabdrücke erkannten, die er nicht verbergen konnte. Genauso könne Network Detection and Response (NDR) Angreifer fassen, indem sie auf Verhaltensmuster und Anomalien achtet. Corelight verweist auf seine Open NDR Platform, deren mehrschichtiger Erkennungsansatz Verhaltens- und Anomalieerkennung kombiniert.
