Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat.
În majoritatea atacurilor cibernetice, malware-ul infectează computerul victimei și acționează ca stație de andocare a atacatorului. Găsirea și eliminarea acestei stații de andocare este relativ ușoară cu antimalware. Dar există o altă metodă de atac în care criminalul cibernetic nu are nevoie să instaleze programe malware.
În schimb, un atacator execută un script care utilizează resursele de pe dispozitiv pentru atacul cibernetic. Și cel mai rău dintre toate, un atac Living off the Land (LotL) poate rămâne nedetectat pentru o lungă perioadă de timp. Cu toate acestea, prevenirea, găsirea și neutralizarea acestor atacuri este posibilă.
Ce este un atac LotL?
Un atac LofL este un fel de atac fără fișiere în care un hacker folosește programele deja pe un dispozitiv în loc să folosească malware. Această metodă de utilizare a programelor native este mai subtilă și face ca descoperirea atacului să fie mai puțin probabilă.
Unele programe native pe care hackerii le folosesc adesea pentru atacurile LotL includ consola de linie de comandă, PowerShell, consola de registru Windows și linia de comandă Windows Management Instrumentation. Hackerii folosesc, de asemenea, gazde de script bazate pe Windows și pe consolă (WScript.exe și CScript.exe). Instrumentele vin cu fiecare computer Windows și sunt necesare pentru executarea sarcinilor administrative normale.
Cum se întâmplă atacurile LotL?
Deși atacurile LotL sunt fără fișiere, hackerii încă se bazează pe trucuri familiare de inginerie socială pentru a găsi pe cine să ținți. Multe atacuri au loc atunci când un utilizator vizitează un site web nesigur, deschide un e-mail de phishing sau folosește o unitate USB infectată. Aceste site-uri web, e-mailuri sau dispozitive media conțin kitul de atac care conține scriptul fără fișiere.
În urmatoarele etapa de hacking, kitul scanează programele de sistem pentru vulnerabilități și execută scriptul pentru a compromite programele vulnerabile. De aici încolo, atacatorul poate accesa computerul de la distanță și poate fura date sau poate crea uși din spate pentru vulnerabilități folosind doar programe de sistem.
Ce să faci dacă ești victima unui atac care trăiește din teren
Deoarece atacurile LotL folosesc programe native, este posibil ca antivirusul dumneavoastră să nu detecteze atacul. Dacă sunteți un utilizator avansat de Windows sau sunteți cunoscător în tehnologie, puteți utiliza auditarea din linia de comandă pentru a detecta atacatorii și a-i elimina. În acest caz, veți căuta jurnalele de proces care par suspecte. Începeți cu procesele de auditare cu litere și numere aleatorii; comenzi de gestionare a utilizatorilor în locuri ciudate; execuții de scripturi suspecte; conexiuni la adrese URL sau adrese IP suspecte; și porturi vulnerabile, deschise.
Opriți Wi-Fi
Dacă vă bazați pe antimalware pentru protecția dispozitivului dvs., ca majoritatea oamenilor, este posibil să nu observați că s-a făcut rău decât mult mai târziu. Dacă aveți dovezi că ați fost piratat, primul lucru de făcut este să vă deconectați computerul de la internet. În acest fel, hackerul nu poate comunica cu dispozitivul. De asemenea, trebuie să deconectați dispozitivul infectat de la alte dispozitive dacă face parte dintr-o rețea mai largă.
Cu toate acestea, oprirea rețelei Wi-Fi și izolarea dispozitivului infectat nu este suficientă. Deci, încercați să opriți routerul și să deconectați cablurile ethernet. De asemenea, poate fi necesar să opriți dispozitivul în timp ce faceți următorul lucru pentru a gestiona atacul.
Resetați parolele contului
Va trebui să presupuneți că conturile dvs. online au fost compromise și să le schimbați. Este important să faceți acest lucru pentru a preveni sau opri furtul de identitate înainte ca hackerul să provoace daune grave.
Începeți cu schimbarea parolei pentru conturile care vă dețin activele financiare. Apoi, treceți la conturi de serviciu și de rețele sociale, mai ales dacă aceste conturi nu au autentificare cu doi factori activat. Puteți folosi și un manager de parole pentru a crea parole sigure. De asemenea, luați în considerare activarea 2FA în contul dvs. dacă platforma îl acceptă.
Eliminați unitatea și faceți copii de rezervă ale fișierelor
Dacă aveți cunoștințele necesare, scoateți hard disk-ul de pe computerul infectat și conectați-l ca hard disk extern la un alt computer. Efectuați o scanare aprofundată a hard disk-ului pentru a găsi și elimina orice lucru rău intenționat de pe vechiul computer. Apoi, continuați să copiați fișierele importante pe o altă unitate curată, amovibilă. Dacă aveți nevoie de ajutor tehnic, nu vă fie teamă să obțineți asistență.
Ștergeți vechea unitate
Acum că aveți o copie de rezervă a fișierelor importante, este timpul să ștergeți vechea unitate. Returnați vechea unitate pe computerul infectat și efectuați o ștergere profundă.
Efectuați o instalare curată a Windows
O instalare curată șterge totul de pe computer. Pare o măsură exagerată, dar este necesară datorită naturii atacurilor LotL. Nu există nicio modalitate de a spune în câte programe native un atacator a compromis sau a ascuns ușile din spate. Cel mai sigur pariu este să ștergi totul curat și instalați curat sistemul de operare.
Instalați corecții de securitate
Sunt șanse ca fișierul de instalare să rămână în urmă când vine vorba de actualizări de securitate. Deci, după instalarea unui sistem de operare curat, scanați și instalați actualizări. De asemenea, luați în considerare eliminarea bloatware-ului— nu sunt rele, dar este ușor să uiți de ele până când observi că ceva stăpânește resursele sistemului.
Cum să preveniți atacurile LotL
Cu excepția cazului în care au acces direct la computerul tău, hackerii au nevoie în continuare de o modalitate de a-și livra sarcina utilă. Phishingul este cel mai comun mod în care hackerii găsesc pe cine să pirateze. Alte moduri includ Hack-uri Bluetooth și atacuri de tip om-in-the-middle. În orice fel, sarcina utilă este deghizată în fișiere legitime, cum ar fi un fișier Microsoft Office care conține scripturi scurte și executabile pentru a evita detectarea. Deci, cum preveniți aceste atacuri?
Păstrați-vă software-ul actualizat
Sarcina utilă în atacurile LotL se bazează în continuare pe vulnerabilitățile unui program sau ale sistemului dvs. de operare pentru a fi executate. Configurarea dispozitivului și a programelor să descarce și să instaleze actualizări de securitate imediat ce acestea devin disponibile poate transforma încărcătura utilă într-o eroare.
Setați politicile de restricție software
Menținerea software-ului actualizat este un început bun, dar peisajul securității cibernetice se schimbă rapid. Este posibil să pierdeți o fereastră de actualizare pentru a opri vulnerabilitățile înainte ca atacatorii să le exploateze. Ca atare, este mai bine să restricționați modul în care programele pot executa comenzi sau pot folosi resursele sistemului în primul rând.
Aveți două opțiuni aici: să puneți pe lista neagră sau pe lista albă a programelor. Lista albă este atunci când acordați o listă de programe acces la resursele sistemului în mod implicit. Alte programe existente și noi sunt restricționate implicit. În schimb, lista neagră este atunci când faci o listă de programe care nu pot accesa resursele sistemului. În acest fel, alte programe existente și noi pot accesa resursele sistemului în mod implicit. Ambele opțiuni au avantajele și dezavantajele lor, așa că va trebui decide care este cel mai bun Pentru dumneavoastră.
Nu există glonț de argint pentru atacurile cibernetice
Natura atacurilor Living off the Land înseamnă că majoritatea oamenilor nu vor ști că au fost piratați până când ceva nu merge grav. Și chiar dacă ești expert din punct de vedere tehnic, nu există o singură modalitate de a spune dacă un adversar s-a infiltrat în rețeaua ta. Este mai bine să evitați atacurile cibernetice în primul rând luând măsuri de precauție sensibile.
