Čitatelji poput vas podržavaju MUO. Kada kupite putem poveznica na našoj stranici, možemo zaraditi partnersku proviziju.
U većini kibernetičkih napada zlonamjerni softver inficira žrtvino računalo i djeluje kao napadačeva priključna stanica. Pronalaženje i uklanjanje ove priključne stanice relativno je lako uz antimalware. Ali postoji još jedna metoda napada gdje kibernetički kriminalac ne treba instalirati zlonamjerni softver.
Umjesto toga, napadač izvršava skriptu koja koristi resurse na uređaju za kibernetički napad. I što je najgore od svega, napad Living off the Land (LotL) može ostati neprimijećen dugo vremena. Međutim, spriječiti, pronaći i neutralizirati ove napade je moguće.
Što je LotL napad?
LofL napad je vrsta napada bez datoteka gdje haker koristi programe koji su već na uređaju umjesto da koristi zlonamjerni softver. Ova metoda korištenja izvornih programa je suptilnija i čini otkrivanje napada manje vjerojatnim.
Neki izvorni programi koje hakeri često koriste za LotL napade uključuju konzolu naredbenog retka, PowerShell, konzolu Windows registra i naredbeni redak Windows Management Instrumentation. Hakeri također koriste hostove za skripte temeljene na sustavu Windows i konzoli (WScript.exe i CScript.exe). Alati dolaze sa svakim Windows računalom i neophodni su za izvršavanje uobičajenih administrativnih zadataka.
Kako se događaju LotL napadi?
Iako su LotL napadi bez datoteka, hakeri se i dalje oslanjaju na poznati trikovi društvenog inženjeringa pronaći koga ciljati. Mnogi se napadi događaju kada korisnik posjeti nesigurnu web stranicu, otvori phishing e-poštu ili koristi zaraženi USB pogon. Ove web stranice, e-poruke ili medijski uređaji sadrže komplet za napad koji nosi skriptu bez datoteka.
U sljedećem faza hakiranja, komplet skenira sistemske programe u potrazi za ranjivostima i izvršava skriptu za kompromitiranje ranjivih programa. Odavde napadač može daljinski pristupiti računalu i ukrasti podatke ili stvoriti stražnja vrata ranjivosti koristeći samo sistemske programe.
Što učiniti ako ste žrtva napada koji živi od zemlje
Budući da LotL napadi koriste izvorne programe, vaš antivirus možda neće otkriti napad. Ako ste napredni korisnik Windowsa ili ste tehnički potkovani, možete koristiti reviziju naredbenog retka da nanjušite napadače i uklonite ih. U ovom slučaju, tražit ćete zapisnike procesa koji se čine sumnjivima. Započnite s procesima revizije s nasumičnim slovima i brojevima; naredbe za upravljanje korisnicima na čudnim mjestima; sumnjiva izvršavanja skripti; veze na sumnjive URL-ove ili IP adrese; i ranjive, otvorene luke.
Isključite Wi-Fi
Ako se kao većina ljudi oslanjate na zaštitu od zlonamjernog softvera za svoj uređaj, možda ćete tek mnogo kasnije primijetiti da je šteta učinjena. Ako imate dokaze da ste bili hakirani, prvo što trebate učiniti je isključiti svoje računalo s interneta. Na ovaj način haker ne može komunicirati s uređajem. Također morate odspojiti zaraženi uređaj od drugih uređaja ako je dio šire mreže.
Međutim, nije dovoljno isključiti Wi-Fi i izolirati zaraženi uređaj. Stoga pokušajte isključiti usmjerivač i odspojiti ethernet kabele. Možda ćete također trebati isključiti uređaj dok radite sljedeću stvar za upravljanje napadom.
Ponovno postavljanje lozinki računa
Morat ćete pretpostaviti da su vaši mrežni računi ugroženi i promijeniti ih. To je važno za sprječavanje ili zaustavljanje krađe identiteta prije nego što haker napravi ozbiljnu štetu.
Počnite s promjenom lozinke za račune na kojima se nalaze vaša financijska sredstva. Zatim prijeđite na posao i račune na društvenim mrežama, osobito ako ti računi nemaju dvofaktorska autentifikacija omogućeno. Možete koristiti i upravitelj lozinki za stvaranje sigurnih lozinki. Također razmislite o omogućavanju 2FA na svom računu ako to platforma podržava.
Uklonite svoj pogon i napravite sigurnosnu kopiju svojih datoteka
Ako imate odgovarajuće znanje, uklonite tvrdi disk iz zaraženog računala i spojite ga kao vanjski tvrdi disk na drugo računalo. Izvršite dubinsko skeniranje tvrdog diska kako biste pronašli i uklonili bilo što zlonamjerno sa starog računala. Zatim nastavite s kopiranjem važnih datoteka na drugi čisti, prijenosni pogon. Ako trebate tehničku pomoć, nemojte se bojati dobiti pomoć.
Obrišite stari disk
Sada kada imate sigurnosnu kopiju važnih datoteka, vrijeme je da očistite stari pogon. Vratite stari pogon na zaraženo računalo i izvedite duboko brisanje.
Izvršite čistu instalaciju sustava Windows
Čista instalacija briše sve na vašem računalu. Zvuči kao pretjerana mjera, ali je neophodna zbog prirode LotL napada. Ne postoji način da se utvrdi koliko je izvornih programa napadač kompromitirao ili sakrio stražnja vrata. Najsigurnije je sve obrisati i očistiti čista instalacija operativnog sustava.
Instalirajte sigurnosne zakrpe
Vjerojatno će instalacijska datoteka kasniti kada su u pitanju sigurnosna ažuriranja. Dakle, nakon instaliranja čistog operativnog sustava, skenirajte i instalirajte ažuriranja. Također, razmislite uklanjanje bloatwarea— nisu loši, ali je lako zaboraviti na njih dok ne primijetite da vam nešto zaokuplja resurse sustava.
Kako spriječiti LotL napade
Osim ako nemaju izravan pristup vašem računalu, hakeri i dalje trebaju način da dostave svoj teret. Phishing je najčešći način na koji hakeri pronalaze koga hakirati. Drugi načini uključuju Bluetooth hakovi i napadi čovjeka u sredini. U svakom slučaju, sadržaj je prerušen u legitimne datoteke, kao što je Microsoft Office datoteka koja sadrži kratke, izvršne skripte kako bi se izbjeglo otkrivanje. Dakle, kako spriječiti te napade?
Redovno ažurirajte svoj softver
Korisni teret u LotL napadima i dalje se oslanja na ranjivosti u programu ili vašem operativnom sustavu za izvršavanje. Postavljanje vašeg uređaja i programa da preuzimaju i instaliraju sigurnosna ažuriranja čim postanu dostupna može pretvoriti korisni teret u glupost.
Postavite pravila ograničenja softvera
Redovno ažuriranje softvera dobar je početak, ali kibernetička sigurnost brzo se mijenja. Možda ćete propustiti prozor za ažuriranje kako biste uklonili ranjivosti prije nego što ih napadači iskoriste. Kao takvo, bolje je ograničiti način na koji programi mogu izvršavati naredbe ili koristiti resurse sustava na prvom mjestu.
Ovdje imate dvije mogućnosti: staviti programe na crnu ili bijelu listu. Popis dopuštenih je kada popisu programa prema zadanim postavkama odobrite pristup resursima sustava. Ostali postojeći i novi programi ograničeni su prema zadanim postavkama. Suprotno tome, crna lista je kada napravite popis programa koji ne mogu pristupiti resursima sustava. Na taj način drugi postojeći i novi programi mogu prema zadanim postavkama pristupiti resursima sustava. Obje opcije imaju svoje prednosti i nedostatke, pa ćete morati odlučite što je najbolje za tebe.
Ne postoji srebrni metak za kibernetičke napade
Priroda napada Living off the Land znači da većina ljudi neće znati da su hakirani sve dok nešto ozbiljno ne pođe po zlu. Čak i ako ste tehnički potkovani, ne postoji jedan način da saznate je li se protivnik infiltrirao u vašu mrežu. Bolje je izbjeći kibernetičke napade poduzimanjem razumnih mjera opreza.