Bralci, kot ste vi, pomagajo podpirati MUO. Ko opravite nakup prek povezav na našem spletnem mestu, lahko zaslužimo partnersko provizijo.

Pri večini kibernetskih napadov zlonamerna programska oprema okuži žrtvin računalnik in deluje kot napadalčeva priklopna postaja. Iskanje in odstranjevanje te priklopne postaje je razmeroma preprosto z zaščito pred zlonamerno programsko opremo. Obstaja pa še ena metoda napada, pri kateri kiberkriminalcu ni treba namestiti zlonamerne programske opreme.

Namesto tega napadalec izvede skript, ki za kibernetski napad uporabi vire v napravi. In kar je najslabše, napad Living off the Land (LotL) lahko ostane dolgo časa neodkrit. Vendar je te napade mogoče preprečiti, odkriti in nevtralizirati.

Kaj je napad LotL?

Napad LofL je nekakšen napad brez datotek, pri katerem heker uporablja programe, ki so že v napravi, namesto zlonamerne programske opreme. Ta metoda uporabe domačih programov je bolj subtilna in zmanjša verjetnost odkrivanja napada.

Nekateri izvorni programi, ki jih hekerji pogosto uporabljajo za napade LotL, vključujejo konzolo ukazne vrstice, PowerShell, konzolo registra Windows in ukazno vrstico Windows Management Instrumentation. Hekerji uporabljajo tudi gostitelje skriptov, ki temeljijo na sistemu Windows in na konzoli (WScript.exe in CScript.exe). Orodja so priložena vsakemu računalniku z operacijskim sistemom Windows in so potrebna za izvajanje običajnih skrbniških nalog.

Kako se zgodijo napadi LotL?

Čeprav so napadi LotL brez datotek, se hekerji še vedno zanašajo na znani triki socialnega inženiringa najti koga ciljati. Veliko napadov se zgodi, ko uporabnik obišče nevarno spletno mesto, odpre lažno e-pošto ali uporabi okužen pogon USB. Ta spletna mesta, e-poštna sporočila ali medijske naprave vsebujejo komplet za napad, ki nosi skript brez datotek.

V naslednjem stopnja hekanja, komplet pregleda sistemske programe za ranljivost in izvede skript za ogrožanje ranljivih programov. Od tu naprej lahko napadalec oddaljeno dostopa do računalnika in ukrade podatke ali ustvari stranska vrata ranljivosti samo s sistemskimi programi.

Kaj storiti, če ste žrtev napada, ki živi od zemlje

Ker napadi LotL uporabljajo izvorne programe, vaš protivirusni program morda ne bo zaznal napada. Če ste napredni uporabnik sistema Windows ali ste tehnično podkovani, lahko uporabite nadzor ukazne vrstice, da zavohate napadalce in jih odstranite. V tem primeru boste iskali dnevnike procesov, ki se zdijo sumljivi. Začnite z revizijskimi procesi z naključnimi črkami in številkami; ukazi za upravljanje uporabnikov na čudnih mestih; sumljive izvedbe skriptov; povezave do sumljivih URL-jev ali naslovov IP; in ranljiva, odprta vrata.

Izklopite Wi-Fi

Če se za zaščito svoje naprave kot večina ljudi zanašate na zaščito pred zlonamerno programsko opremo, boste morda opazili, da je bila škoda storjena veliko kasneje. Če imate dokaze, da so vam vdrli, morate najprej izklopiti računalnik iz interneta. Na ta način heker ne more komunicirati z napravo. Prav tako morate odklopiti okuženo napravo od drugih naprav, če je del širšega omrežja.

Vendar izklop Wi-Fi-ja in izolacija okužene naprave nista dovolj. Zato poskusite izklopiti usmerjevalnik in odklopiti ethernet kable. Morda boste morali tudi izklopiti napravo, medtem ko naredite naslednjo stvar za obvladovanje napada.

Ponastavi gesla računa

Domnevati boste morali, da so bili vaši spletni računi ogroženi, in jih spremeniti. To je pomembno za preprečitev ali zaustavitev kraje identitete, preden heker povzroči resno škodo.

Začnite s spremembo gesla za račune, na katerih so vaša finančna sredstva. Nato pojdite na službene račune in račune v družabnih medijih, še posebej, če teh računov nimate dvofaktorsko avtentikacijo omogočeno. Za ustvarjanje varnih gesel lahko uporabite tudi upravitelja gesel. Razmislite tudi o omogočanju 2FA v svojem računu, če ga platforma podpira.

Odstranite pogon in varnostno kopirajte svoje datoteke

Če imate ustrezno znanje, odstranite trdi disk iz okuženega računalnika in ga povežite kot zunanji trdi disk z drugim računalnikom. Izvedite temeljit pregled trdega diska, da poiščete in odstranite vse zlonamerne programe iz starega računalnika. Nato nadaljujte s kopiranjem pomembnih datotek na drug čisti, izmenljivi pogon. Če potrebujete tehnično pomoč, naj vas ne bo strah poiskati pomoči.

Obrišite stari disk

Zdaj, ko imate varnostno kopijo pomembnih datotek, je čas, da očistite stari pogon. Vrnite stari pogon v okuženi računalnik in izvedite globoko brisanje.

Izvedite čisto namestitev sistema Windows

Čista namestitev izbriše vse v vašem računalniku. Sliši se kot pretiran ukrep, vendar je potreben zaradi narave napadov LotL. Ni načina, da bi ugotovili, koliko domačih programov je napadalec ogrozil ali skril zadnja vrata. Najbolj varno je, da vse pobrišete in očistite čista namestitev operacijskega sistema.

Namestite varnostne popravke

Verjetno bo namestitvena datoteka zaostala, ko gre za varnostne posodobitve. Torej, po namestitvi čistega operacijskega sistema poiščite in namestite posodobitve. Poleg tega upoštevajte odstranjevanje napihnjenih programov— niso slabi, vendar je nanje enostavno pozabiti, dokler ne opazite, da nekaj zajeda vaše sistemske vire.

Kako preprečiti napade LotL

Če nimajo neposrednega dostopa do vašega računalnika, hekerji še vedno potrebujejo način za dostavo svojega tovora. Lažno predstavljanje je najpogostejši način, kako hekerji najdejo koga vdreti. Drugi načini vključujejo Bluetooth vdori in napadi človeka v sredini. Vsekakor je koristni tovor prikrit v legitimnih datotekah, kot je datoteka Microsoft Office, ki vsebuje kratke izvršljive skripte, da se prepreči odkrivanje. Torej, kako preprečiti te napade?

Posodabljajte svojo programsko opremo

Obremenitev pri napadih LotL se pri izvedbi še vedno zanaša na ranljivosti v programu ali vašem operacijskem sistemu. Nastavitev vaše naprave in programov za prenos in namestitev varnostnih posodobitev takoj, ko so na voljo, lahko koristni tovor spremeni v neumnost.

Nastavite pravilnike o omejitvah programske opreme

Posodabljanje programske opreme je dober začetek, vendar se krajina kibernetske varnosti hitro spremeni. Morda boste zamudili okno za posodobitev za zatiranje ranljivosti, preden jih napadalci izkoristijo. Zato je bolje omejiti, kako lahko programi sploh izvajajo ukaze ali uporabljajo sistemske vire.

Tukaj imate dve možnosti: programe na črni ali beli seznam. Seznam dovoljenih je, ko seznamu programov privzeto dodelite dostop do sistemskih virov. Drugi obstoječi in novi programi so privzeto omejeni. Nasprotno, črni seznam je, ko naredite seznam programov, ki ne morejo dostopati do sistemskih virov. Na ta način lahko drugi obstoječi in novi programi privzeto dostopajo do sistemskih virov. Obe možnosti imata svoje prednosti in slabosti, zato boste morali odločite se, kateri je najboljši zate.

Za kibernetske napade ni najboljšega

Narava napadov Living off the Land pomeni, da večina ljudi ne bo vedela, da so bili vdrli, dokler ne gre kaj resno narobe. In tudi če ste tehnično podkovani, ne morete ugotoviti, ali se je nasprotnik infiltriral v vaše omrežje. Kibernetskim napadom se je bolje izogniti z razumnimi previdnostnimi ukrepi.