Was sind eigentlich LOLBins – und warum sind sie so gefährlich?

Cyberkriminelle setzen zunehmend auf eine besonders perfide Methode: Anstatt eigene Schadsoftware zu entwickeln oder zu installieren, zweckentfremden sie legitime Programme, die bereits auf den Zielsystemen vorhanden sind. Diese Technik ist unter dem Begriff Living Off the Land bekannt – und im Zentrum stehen dabei sogenannte LOLBins.

Der Begriff LOLBins steht für Living Off the Land Binaries – also systemeigene Werkzeuge, die eigentlich für administrative Aufgaben gedacht sind. Beispiele sind PowerShell, certutil oder mshta. Das Heimtückische daran: Diese Tools sind Teil des Betriebssystems, gelten als vertrauenswürdig und werden regelmäßig von IT-Fachkräften genutzt. Genau das macht sie so schwer zu erkennen und noch schwerer zu blockieren, ohne den normalen Geschäftsbetrieb zu beeinträchtigen.

Sie sind besonders besorgniserregend, da sie bereits installiert sind, als vertrauenswürdig gelten und häufig für normale IT-Aufgaben verwendet werden, sodass sie nur schwer zu erkennen oder zu blockieren sind, ohne den Betrieb zu stören.

Sicherheitsbeauftragte können sich auf das Projekt „Living Off The Land Binaries, Scripts and Libraries“ (LOLBAS) beziehen, das eine Liste bekannter LOLBins auf GitHub führt. Dieser Bericht ist eine gekürzte Version einer Entwicklung, die wir bei Cisco Talos Incident Response immer häufiger beobachten: Anstatt eigene Tools zu entwickeln, nutzen Angreifer bekannte, legitime Software – allerdings für ganz andere Zwecke.

Bei Cisco Talos, dem Bedrohungsanalyse-Team von Cisco, wird dieser Trend in der Incident Response immer deutlicher sichtbar. Angreifer nutzen verstärkt vorhandene Bordmittel – mit dem Ziel, sich unauffällig im System zu bewegen, Daten zu stehlen oder Schadcode nachzuladen.

Eine zentrale Anlaufstelle für Sicherheitsteams bietet das Open-Source-Projekt LOLBAS (Living Off The Land Binaries, Scripts and Libraries). Es dokumentiert bekannte LOLBins und hilft dabei, deren Missbrauch zu erkennen.

Die Erkenntnis: Nicht alles, was legitim aussieht, ist auch harmlos.

Nicht nur LOLBins: Angreifer setzen zunehmend auf ein breiteres Toolset

Zwar zählen LOLBins weiterhin zu den bevorzugten Werkzeugen vieler Angreifer, doch aktuelle Vorfälle aus der Incident Response von Cisco Talos im Jahr 2024 zeigen: Cyberkriminelle greifen mittlerweile auf ein deutlich breiteres Arsenal zurück. Neben den systemeigenen Bordmitteln kommen vermehrt auch kommerzielle und Open-Source-Werkzeuge zum Einsatz.

Der Grund liegt auf der Hand: Professionelle Angreifer passen ihre Werkzeuge flexibel an das jeweilige Ziel an. Kommerzielle Tools lassen sich unauffällig in bestehende IT-Umgebungen integrieren, während Open-Source-Lösungen oft leicht modifizierbar sind und eine große Auswahl bieten. So können Bedrohungsakteure genau die Werkzeuge einsetzen, die ihre operativen Ziele am effizientesten unterstützen – sei es für laterale Bewegung, Datenexfiltration oder Persistenz im System.

Der Trend zeigt: Die Toolwahl der Angreifer wird strategischer – und für Verteidiger damit umso schwerer vorhersehbar.

Nehmen wir zum Beispiel DonPAPI. Hierbei handelt es sich um ein Open-Source-Tool, das in mehreren aktuellen Talos-IR-Einsätzen beobachtet wurde und das das Entladen von Anmeldedaten auf mehreren Windows-Computern aus der Ferne automatisiert. Es lokalisiert und ruft durch die Windows Data Protection API (DPAPI) geschützte Anmeldedaten ab, ein Vorgang, der auch als „DPAPI-Dumping“ bezeichnet wird. DonPAPI sucht nach bestimmten Dateien, darunter WLAN-Schlüssel, RDP-Passwörter und in Webbrowsern gespeicherte Anmeldedaten, um die Authentifizierung zu erleichtern und sich lateral zu bewegen, um andere Assets in der Umgebung zu identifizieren.

Aus Sicht der Identität stellen Open-Source-Tools wie DonPAPI aufgrund ihrer breiten Verfügbarkeit in Code-Repositorys wie GitHub und ihrer einfachen Installation ein erhebliches Risiko für Unternehmen dar.

Legitimes Tool, verdächtige Absicht

So sieht das in der Praxis aus, anhand der drei am häufigsten verwendeten Tools, die in Cisco Talos‘ „2024 Year in Review“ beobachtet wurden:

Legitime Tools, missbraucht für Angriffe

Viele der heute in Ransomware- und APT-Kampagnen genutzten Tools wurden ursprünglich für legitime Zwecke entwickelt. Beispiele wie HRSword, REMCOS RAT oder Cobalt Strike sind längst fester Bestandteil moderner Angriffsketten – auch bei den von Cisco Talos untersuchten Fällen im Jahr 2025.

Ein wachsender Trend ist der Missbrauch von RMM-Software (Remote Monitoring and Management). Angreifer nutzen dieselben Tools wie IT-Teams – etwa ScreenConnect oder AnyDesk –, um sich unauffällig Zugang zu verschaffen. In manchen Fällen bringen sie sogar ganze Toolkits mit und testen systematisch, welches Programm unbemerkt bleibt.

Das perfide daran: Wird ein solches Tool bereits im Unternehmen genutzt, fällt es kaum auf. Die Frage lautet dann nicht mehr was ausgeführt wird, sondern warum – und von wem.

Der Schlüssel zur Erkennung: Kontext

Ein Fall aus dem Talos-Team zeigt, worauf es ankommt: Nur weil ein Alarm ausgelöst wurde und das Team wusste, welche Prozesse auf dem betroffenen Rechner üblich sind, konnte ein Angriff frühzeitig gestoppt werden.

Die wichtigsten Faktoren für solche Erfolge:

• Asset-Management: Überblick über installierte Software und privilegierte Konten.

• Verhaltensbaselines: Was ist im Normalbetrieb üblich?

• Kontinuierliche Überwachung: Abweichungen und bekannte Taktiken frühzeitig erkennen.

• Bedrohungsinformationen: Aktuelle Trends, z. B. DonPAPI, in die Überwachung einbeziehen.

Denn manchmal ist der einzige Unterschied zwischen Routine und Angriff ein Analyst, der um 2:13 Uhr fragt: „Warum läuft dieses Tool gerade jetzt?“

---