Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор.
При повечето кибератаки зловреден софтуер заразява компютъра на жертвата и действа като докинг станция на нападателя. Намирането и премахването на тази докинг станция е сравнително лесно с антизловреден софтуер. Но има друг метод за атака, при който киберпрестъпникът не трябва да инсталира зловреден софтуер.
Вместо това нападателят изпълнява скрипт, който използва ресурсите на устройството за кибератаката. И най-лошото от всичко е, че атака на Living off the Land (LotL) може да остане незабелязана за дълго време. Предотвратяването, намирането и неутрализирането на тези атаки обаче е възможно.
Какво е LotL атака?
LofL атаката е вид безфайлова атака, при която хакер използва програмите, които вече са на устройство, вместо да използва зловреден софтуер. Този метод за използване на собствени програми е по-фин и прави откриването на атаката по-малко вероятно.
Някои собствени програми, които хакерите често използват за LotL атаки, включват конзолата на командния ред, PowerShell, конзолата на системния регистър на Windows и командния ред на Windows Management Instrumentation. Хакерите също използват хостове за скриптове, базирани на Windows и конзола (WScript.exe и CScript.exe). Инструментите идват с всеки компютър с Windows и са необходими за изпълнение на нормални административни задачи.
Как се случват LotL атаките?
Въпреки че LotL атаките са без файлове, хакерите все още разчитат на познати трикове за социално инженерство за да намерите към кого да се насочите. Много атаки се случват, когато потребител посети опасен уебсайт, отвори фишинг имейл или използва заразено USB устройство. Тези уебсайтове, имейли или медийни устройства съдържат комплекта за атака, носещ безфайловия скрипт.
В следващите етап на хакване, комплектът сканира системните програми за уязвимости и изпълнява скрипта за компрометиране на уязвими програми. Оттук нататък атакуващият може да получи отдалечен достъп до компютъра и да открадне данни или да създаде задни врати за уязвимост, като използва само системни програми.
Какво да направите, ако сте жертва на нападение, живеещо извън земята
Тъй като LotL атаките използват собствени програми, вашата антивирусна програма може да не открие атаката. Ако сте опитен потребител на Windows или познавате технологиите, можете да използвате проверка на командния ред, за да надушите нападателите и да ги премахнете. В този случай ще търсите регистрационни файлове на процеси, които изглеждат подозрителни. Започнете с процеси на одит с произволни букви и цифри; команди за управление на потребителите на странни места; подозрителни скриптови изпълнения; връзки към подозрителни URL или IP адреси; и уязвими, отворени портове.
Изключете Wi-Fi
Ако разчитате на антизлонамерен софтуер за защита на вашето устройство като повечето хора, може да не забележите, че вредата е нанесена много по-късно. Ако имате доказателства, че сте били хакнати, първото нещо, което трябва да направите, е да изключите компютъра си от интернет. По този начин хакерът не може да комуникира с устройството. Трябва също така да изключите заразеното устройство от други устройства, ако е част от по-широка мрежа.
Изключването на вашия Wi-Fi и изолирането на заразеното устройство обаче не е достатъчно. Така че опитайте да изключите рутера и да изключите Ethernet кабелите. Може също да се наложи да изключите устройството, докато правите следващото нещо, за да управлявате атаката.
Нулирайте паролите на акаунта
Ще трябва да приемете, че вашите онлайн акаунти са били компрометирани и да ги промените. Това е важно, за да се предотврати или спре кражбата на самоличност, преди хакерът да причини сериозни щети.
Започнете с промяна на паролата за акаунтите, които държат вашите финансови активи. След това преминете към работни и социални медийни акаунти, особено ако тези акаунти нямат двуфакторна автентификация активиран. Можете също да използвате мениджър на пароли, за да създавате сигурни пароли. Също така, помислете за активиране на 2FA в акаунта си, ако платформата го поддържа.
Премахнете вашия диск и архивирайте вашите файлове
Ако имате необходимите познания, премахнете твърдия диск от заразения компютър и го свържете като външен твърд диск към друг компютър. Извършете задълбочено сканиране на твърдия диск, за да намерите и премахнете всичко злонамерено от стария компютър. След това продължете да копирате вашите важни файлове на друго чисто, преносимо устройство. Ако имате нужда от техническа помощ, не се страхувайте да я получите.
Изтрийте стария диск
Сега, когато имате резервно копие на вашите важни файлове, е време да изтриете старото устройство. Върнете старото устройство на заразения компютър и извършете дълбоко изтриване.
Направете чиста инсталация на Windows
Чистата инсталация изтрива всичко на вашия компютър. Звучи като прекомерна мярка, но е необходима поради естеството на LotL атаките. Няма начин да се каже колко естествени програми е компрометирал нападателят или е скрил задни вратички. Най-безопасният залог е да избършете всичко чисто и чиста инсталация на операционната система.
Инсталирайте корекции за сигурност
Коефициентите са, че инсталационният файл ще изостане, когато става въпрос за актуализации на защитата. Така че, след като инсталирате чиста операционна система, сканирайте за и инсталирайте актуализации. Освен това помислете премахване на bloatware— не са лоши, но е лесно да забравите за тях, докато не забележите, че нещо пречи на системните ви ресурси.
Как да предотвратим LotL атаки
Освен ако нямат директен достъп до вашия компютър, хакерите все още се нуждаят от начин да доставят полезния си товар. Фишингът е най-честият начин, по който хакерите намират кого да хакнат. Други начини включват Bluetooth хакове и атаки тип човек по средата. По какъвто и да е начин полезният товар е маскиран в легитимни файлове, като например файл на Microsoft Office, съдържащ кратки изпълними скриптове, за да се избегне откриването. И така, как да предотвратите тези атаки?
Поддържайте софтуера си актуализиран
Полезният товар при LotL атаките все още разчита на уязвимости в програма или вашата операционна система за изпълнение. Настройването на вашето устройство и програми да изтеглят и инсталират актуализации за защита веднага щом станат достъпни, може да превърне полезния товар в глупост.
Задайте правила за ограничаване на софтуера
Поддържането на вашия софтуер актуализиран е добро начало, но пейзажът на киберсигурността се променя бързо. Може да пропуснете прозорец за актуализиране, за да потушите уязвимостите, преди нападателите да ги използват. Поради това е по-добре да се ограничи как програмите могат да изпълняват команди или да използват системни ресурси на първо място.
Тук имате две възможности: да поставите програми в черен списък или в бял списък. Белият списък е, когато предоставите на списък с програми достъп до системните ресурси по подразбиране. Други съществуващи и нови програми са ограничени по подразбиране. Обратно, черен списък е, когато правите списък с програми, които нямат достъп до системните ресурси. По този начин други съществуващи и нови програми могат да имат достъп до системните ресурси по подразбиране. И двата варианта имат своите плюсове и минуси, така че ще трябва преценете кое е най-добро за теб.
Няма Silver Bullet за кибератаки
Естеството на атаките Living off the Land означава, че повечето хора няма да разберат, че са били хакнати, докато нещо не се обърка сериозно. И дори да сте технически подкован, няма един начин да разберете дали противник е проникнал във вашата мрежа. По-добре е да избягвате кибератаките на първо място, като вземете разумни предпазни мерки.
