Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską.
W większości cyberataków złośliwe oprogramowanie infekuje komputer ofiary i działa jak stacja dokująca atakującego. Znalezienie i usunięcie tej stacji dokującej jest stosunkowo łatwe dzięki oprogramowaniu antymalware. Istnieje jednak inna metoda ataku, w przypadku której cyberprzestępca nie musi instalować złośliwego oprogramowania.
Zamiast tego osoba atakująca wykonuje skrypt, który wykorzystuje zasoby urządzenia do cyberataku. A co najgorsze, atak Living off the Land (LotL) może pozostać niewykryty przez długi czas. Jednak zapobieganie, wykrywanie i neutralizowanie tych ataków jest możliwe.
Co to jest atak LotL?
Atak LofL to rodzaj ataku bezplikowego, w którym haker używa programów znajdujących się już na urządzeniu zamiast złośliwego oprogramowania. Ta metoda wykorzystania natywnych programów jest bardziej subtelna i sprawia, że wykrycie ataku jest mniej prawdopodobne.
Niektóre natywne programy, których hakerzy często używają do ataków LotL, obejmują konsolę wiersza poleceń, PowerShell, konsolę rejestru systemu Windows i wiersz poleceń Instrumentacji zarządzania Windows. Hakerzy używają również hostów skryptów opartych na systemie Windows i konsolach (WScript.exe i CScript.exe). Narzędzia są dostarczane z każdym komputerem z systemem Windows i są niezbędne do wykonywania normalnych zadań administracyjnych.
Jak przebiegają ataki LotL?
Chociaż ataki LotL są bezplikowe, hakerzy nadal polegają na znane sztuczki socjotechniczne aby dowiedzieć się, do kogo kierować reklamy. Wiele ataków ma miejsce, gdy użytkownik odwiedza niebezpieczną witrynę, otwiera wiadomość e-mail phishingową lub korzysta z zainfekowanego dysku USB. Te strony internetowe, wiadomości e-mail lub urządzenia multimedialne zawierają zestaw ataku zawierający skrypt bez plików.
W następnym etap hakowania, zestaw skanuje programy systemowe w poszukiwaniu luk w zabezpieczeniach i wykonuje skrypt w celu skompromitowania zagrożonych programów. Od tego momentu atakujący może uzyskać zdalny dostęp do komputera i wykraść dane lub stworzyć luki w zabezpieczeniach za pomocą samych programów systemowych.
Co zrobić, jeśli jesteś ofiarą ataku na życie z ziemi
Ponieważ ataki LotL wykorzystują natywne programy, Twój program antywirusowy może nie wykryć ataku. Jeśli jesteś zaawansowanym użytkownikiem systemu Windows lub jesteś obeznany z technologią, możesz użyć audytu wiersza poleceń, aby wykryć atakujących i ich usunąć. W takim przypadku będziesz szukać dzienników procesów, które wydają się podejrzane. Zacznij od audytu procesów z losowymi literami i cyframi; polecenia zarządzania użytkownikami w dziwnych miejscach; podejrzane wykonania skryptów; połączenia z podejrzanymi adresami URL lub adresami IP; i wrażliwe, otwarte porty.
Wyłącz Wi-Fi
Jeśli, jak większość ludzi, polegasz na oprogramowaniu antymalware do ochrony swojego urządzenia, możesz zauważyć, że wyrządzono szkodę znacznie później. Jeśli masz dowody, że zostałeś zhakowany, pierwszą rzeczą do zrobienia jest odłączenie komputera od Internetu. W ten sposób haker nie może komunikować się z urządzeniem. Musisz także odłączyć zainfekowane urządzenie od innych urządzeń, jeśli jest częścią szerszej sieci.
Jednak wyłączenie Wi-Fi i odizolowanie zainfekowanego urządzenia nie wystarczy. Spróbuj więc wyłączyć router i odłączyć kable ethernetowe. Może być również konieczne wyłączenie urządzenia podczas wykonywania następnej czynności związanej z atakiem.
Zresetuj hasła do kont
Musisz założyć, że twoje konta internetowe zostały naruszone i zmienić je. Wykonanie tej czynności jest ważne, aby zapobiec kradzieży tożsamości lub ją zatrzymać, zanim haker wyrządzi poważne szkody.
Zacznij od zmiany hasła do rachunków, na których trzymasz swoje aktywa finansowe. Następnie przejdź do kont służbowych i mediów społecznościowych, zwłaszcza jeśli tych kont nie ma uwierzytelnianie dwuskładnikowe włączony. Możesz także użyć menedżera haseł do tworzenia bezpiecznych haseł. Rozważ także włączenie 2FA na swoim koncie, jeśli platforma to obsługuje.
Usuń dysk i wykonaj kopię zapasową plików
Jeśli masz odpowiednią wiedzę, wyjmij dysk twardy z zainfekowanego komputera i podłącz go jako zewnętrzny dysk twardy do innego komputera. Wykonaj dogłębne skanowanie dysku twardego, aby znaleźć i usunąć złośliwe oprogramowanie ze starego komputera. Następnie przejdź do kopiowania ważnych plików na inny czysty dysk wymienny. Jeśli potrzebujesz pomocy technicznej, nie bój się jej uzyskać.
Wyczyść stary dysk
Teraz, gdy masz kopię zapasową ważnych plików, nadszedł czas, aby wyczyścić stary dysk. Przywróć stary dysk do zainfekowanego komputera i wykonaj głębokie czyszczenie.
Wykonaj czystą instalację systemu Windows
Czysta instalacja usuwa wszystko z komputera. Brzmi to jak przesada, ale jest konieczna ze względu na charakter ataków LotL. Nie ma sposobu, aby stwierdzić, w ilu natywnych programach osoba atakująca naruszyła zabezpieczenia lub ukryła backdoory. Najbezpieczniej jest wytrzeć wszystko do czysta i czysta instalacja systemu operacyjnego.
Zainstaluj poprawki bezpieczeństwa
Istnieje prawdopodobieństwo, że plik instalacyjny będzie opóźniony, jeśli chodzi o aktualizacje zabezpieczeń. Dlatego po zainstalowaniu czystego systemu operacyjnego wyszukaj i zainstaluj aktualizacje. Rozważ też usuwanie programów typu bloatware— nie są złe, ale łatwo o nich zapomnieć, dopóki nie zauważysz, że coś blokuje zasoby systemowe.
Jak zapobiegać atakom LotL
O ile nie mają bezpośredniego dostępu do twojego komputera, hakerzy nadal potrzebują sposobu na dostarczenie swojego ładunku. Phishing to najczęstszy sposób, w jaki hakerzy znajdują osoby, które mogą się zhakować. Inne sposoby obejmują hacki Bluetooth i ataki typu man-in-the-middle. W każdym razie ładunek jest ukryty w legalnych plikach, takich jak plik Microsoft Office zawierający krótkie, wykonywalne skrypty, aby uniknąć wykrycia. Jak więc zapobiegać tym atakom?
Aktualizuj swoje oprogramowanie
Ładunek w atakach LotL nadal opiera się na lukach w zabezpieczeniach programu lub systemu operacyjnego. Ustawienie urządzenia i programów do pobierania i instalowania aktualizacji zabezpieczeń, gdy tylko staną się dostępne, może zmienić ładunek w niewypał.
Ustaw zasady ograniczeń oprogramowania
Aktualizowanie oprogramowania to dobry początek, ale krajobraz cyberbezpieczeństwa szybko się zmienia. Możesz przegapić okno aktualizacji, aby stłumić luki, zanim atakujący je wykorzystają. W związku z tym lepiej jest przede wszystkim ograniczyć sposób, w jaki programy mogą wykonywać polecenia lub korzystać z zasobów systemowych.
Masz tutaj dwie opcje: do czarnej listy lub do białej listy programów. Biała lista polega na domyślnym przyznaniu liście programów dostępu do zasobów systemowych. Inne istniejące i nowe programy są domyślnie ograniczone. I odwrotnie, czarna lista polega na utworzeniu listy programów, które nie mają dostępu do zasobów systemowych. W ten sposób inne istniejące i nowe programy mogą domyślnie uzyskiwać dostęp do zasobów systemowych. Obie opcje mają swoje zalety i wady, więc będziesz musiał zdecydować, który jest najlepszy dla Ciebie.
Nie ma złotego środka na cyberataki
Charakter ataków Living off the Land oznacza, że większość ludzi nie będzie wiedziała, że padli ofiarą ataku hakerskiego, dopóki coś nie pójdzie poważnie. A nawet jeśli jesteś technicznie doświadczony, nie ma jednego sposobu, aby stwierdzić, czy przeciwnik zinfiltrował Twoją sieć. Lepiej unikać cyberataków w pierwszej kolejności, podejmując rozsądne środki ostrożności.
