Die Sophos Counter Threat Unit hat eine Angriffskette analysiert, in der Angreifer den legitimen DFIR‑Agenten Velociraptor als Teil einer Living‑off‑the‑Land‑(LotL)‑Taktik missbrauchen. Kern der Methode: Software‑Auslieferung über signierte Windows‑Komponenten, Zwischenhosting via Cloudflare Workers und die Aktivierung legitimer Tunneling‑Funktionen für Remote Access und Remote Code Execution (RCE) – ohne „lauten“ Schadcode.
Angriffskette: msiexec, Cloudflare Workers und VS Code Tunneling
Laut Sophos nutzten die Täter Windows msiexec, um ein MSI‑Paket von einem über Cloudflare Workers betriebenen Domain‑Staging zu laden. Das MSI installierte anschließend Velociraptor, dessen Agent mit einer zweiten Domain in derselben Cloudflare‑Infrastruktur kommunizierte.
Nach der Etablierung der Kontrolle luden die Angreifer per kodierter PowerShell Visual Studio Code vom gleichen Staging nach und starteten es mit aktivierten Tunneling‑Funktionen. Das verschafft unauffälligen Fernzugriff und RCE über legitime Kanäle. In der Infrastruktur fanden sich zudem Hinweise auf Cloudflare‑Tunneling sowie die legitime Remote‑Admin‑Software Radmin. Teilweise wurde msiexec erneut eingesetzt, um weitere Komponenten nachzuladen.
LotL-Weiterentwicklung: DFIR-Werkzeuge im Fadenkreuz
Der Missbrauch von Velociraptor als Dual‑Use‑Tool verdeutlicht die Evolution von LotL‑Techniken: Neben klassischen RMM‑Lösungen rücken zunehmend DFIR‑Werkzeuge in den Fokus. Solche Tools sind oft signiert und in IT‑Umgebungen „erwartet“, wodurch Telemetrie und Netzwerkverkehr eher als vertrauenswürdig eingestuft werden – ein Detektionsnachteil für Verteidiger.
Warum die Erkennung schwerer wird
Die Kampagne mappt direkt auf MITRE ATT&CK, u. a. Signed Binary Proxy Execution: Msiexec (T1218.007). Der Missbrauch legitimer Tunnel umgeht Egress‑Kontrollen, da Verbindungen zu bekannten Cloud‑Anbietern häufig erlaubt sind. Behörden wie CISA warnen seit Längerem vor der Zweckentfremdung legitimer RMM/Administrations‑Tools und empfehlen strengere Nutzungs‑ und Monitoring‑Policies.
Risiken, Indikatoren und forensische Spuren
Die Hauptrisiken umfassen stillen Perimeter‑Bypass, dauerhaften Fernzugriff, Privilegieneskalation und Folgetäteraktionen bis hin zu Ransomware‑Einsatz. Unautorisierte Velociraptor‑Installationen sollten als Frühindikator für weitere Schritte gewertet werden.
Relevante Indicators of Compromise (IoCs) sind u. a.: ungewöhnliche msiexec‑Verbindungen zu Cloudflare Workers, unerwartete Velociraptor‑Aktivität, VS Code‑Starts mit Tunnel‑Parametern sowie kodierte PowerShell‑Kommandos im Kontext derselben Prozesskette.
Empfehlungen und Branchenreaktion
Sophos rät, jegliche nicht genehmigte Nutzung von Velociraptor konsequent zu untersuchen. Rapid7 – der Maintainer von Velociraptor – veröffentlichte ergänzend Erkennungs‑ und Härtungsempfehlungen und betont: Jedes Sicherheitswerkzeug kann bei mangelnden Kontrollen missbraucht werden.
Praktische Maßnahmen für Unternehmen: striktes Least‑Privilege für Installation/Start von DFIR‑ und RMM‑Tools; Verifikation von Installationspaketen und Quellenkontrolle; Überwachung von msiexec‑Kindprozessen und PowerShell mit anomalen Parametern; Egress‑Filtering und Monitoring zu Tunneling‑Diensten; dedizierte Detection‑Rules für Velociraptor‑Events (unbekannte C2‑Server, atypische Konfigurationen, Abweichungen von Standard‑Artifacts). Ergänzend sind Script Block Logging und PowerShell Transcription in Windows zu aktivieren sowie Application‑Allowlisting für Administrations‑Tools umzusetzen.
Organisationen sollten vertrauenswürdige Tools nicht als „sichere Zone“ betrachten. Wer Policies für DFIR/RMM aktualisiert, ausgehenden Traffic granular kontrolliert, PowerShell‑ und Installationsaktivitäten umfassend protokolliert und spezifische Regeln für Velociraptor etabliert, reduziert das Risiko einer unbemerkten Persistenz – und damit die Wahrscheinlichkeit einer Eskalation bis zu Ransomware und operativen Ausfällen. Jetzt prüfen, wo legitime Werkzeuge in Ihrer Umgebung eingesetzt werden, Sichtbarkeit erhöhen und Detektionslücken schließen.
