Az Önhöz hasonló olvasók támogatják a MUO-t. Amikor a webhelyünkön található linkek használatával vásárol, társult jutalékot kaphatunk.

A legtöbb kibertámadásnál a rosszindulatú programok megfertőzik az áldozat számítógépét, és a támadó dokkolóállomásaként működnek. Ennek a dokkolóállomásnak a megtalálása és eltávolítása viszonylag egyszerű a kártevőirtó segítségével. De van egy másik támadási módszer, ahol a kiberbûnözõnek nem kell rosszindulatú programokat telepítenie.

Ehelyett a támadó olyan szkriptet hajt végre, amely az eszköz erőforrásait használja fel a kibertámadáshoz. És ami a legrosszabb, egy Living off the Land (LotL) támadás hosszú ideig észrevétlen maradhat. Azonban ezeknek a támadásoknak a megelőzése, megtalálása és semlegesítése lehetséges.

Mi az a LotL támadás?

A LofL támadás egyfajta fájl nélküli támadás, ahol a hacker az eszközön már található programokat használja ahelyett, hogy rosszindulatú programokat használna. A natív programok használatának ez a módszere finomabb, és kevésbé valószínű, hogy felfedezik a támadást.

Néhány natív program, amelyet a hackerek gyakran használnak LotL-támadásokhoz, többek között a parancssori konzol, a PowerShell, a Windows rendszerleíró konzol és a Windows Management Instrumentation parancssora. A hackerek Windows-alapú és konzolalapú szkriptgazdagokat is használnak (WScript.exe és CScript.exe). Az eszközök minden Windows számítógéphez tartoznak, és a szokásos adminisztrációs feladatok végrehajtásához szükségesek.

Hogyan történnek a LotL támadások?

Bár a LotL támadások fájlmentesek, a hackerek továbbra is támaszkodnak rájuk ismerős social engineering trükkök hogy megtalálja, kit célozzon. Sok támadás akkor történik, amikor a felhasználó nem biztonságos webhelyet keres fel, adathalász e-mailt nyit meg, vagy fertőzött USB-meghajtót használ. Ezek a webhelyek, e-mailek vagy médiaeszközök tartalmazzák a fájl nélküli szkriptet hordozó támadáskészletet.

A következőben a hackelés szakasza, a készlet átvizsgálja a rendszerprogramokat a sebezhetőségekért, és végrehajtja a parancsfájlt a sérülékeny programok feltörésére. Innentől kezdve a támadó távolról hozzáférhet a számítógéphez, és csak rendszerprogramok segítségével adatokat lophat, vagy biztonsági rés-hátsó ajtókat hozhat létre.

Mi a teendő, ha a szárazföldön élő támadás áldozata lett

Mivel a LotL támadások natív programokat használnak, előfordulhat, hogy a víruskereső nem észleli a támadást. Ha Ön nagy Windows-felhasználó vagy műszakilag jártas, parancssori naplózást használhat a támadók kiszúrására és eltávolítására. Ebben az esetben gyanúsnak tűnő folyamatnaplókat fog keresni. Kezdje a folyamatok ellenőrzésével véletlenszerű betűkkel és számokkal; felhasználókezelési parancsok páratlan helyeken; gyanús forgatókönyv-végrehajtások; kapcsolatok gyanús URL-ekhez vagy IP-címekhez; és sebezhető, nyitott portok.

Kapcsolja ki a Wi-Fi-t

Ha a legtöbb emberhez hasonlóan a kártevőirtókra támaszkodik eszköze védelmében, előfordulhat, hogy csak sokkal később veszi észre, hogy kár történt. Ha bizonyítéka van arra, hogy feltörték, először válassza le számítógépét az internetről. Így a hacker nem tud kommunikálni az eszközzel. Ezenkívül le kell választania a fertőzött eszközt a többi eszközről, ha az egy szélesebb hálózat része.

A Wi-Fi kikapcsolása és a fertőzött eszköz elkülönítése azonban nem elegendő. Tehát próbálja meg kikapcsolni az útválasztót, és húzza ki az Ethernet-kábeleket. Lehetséges, hogy le kell kapcsolnia az eszközt, amíg a következő lépést megteszi a támadás kezeléséhez.

Fiókjelszavak visszaállítása

Fel kell tételeznie, hogy online fiókjait feltörték, és módosítania kell azokat. Ez fontos a személyazonosság-lopás megelőzése vagy leállítása érdekében, mielőtt a hacker komoly kárt okozna.

Kezdje azzal, hogy módosítsa a pénzügyi eszközeit tároló számlák jelszavát. Ezután lépjen tovább a munkahelyi és közösségi médiafiókokra, különösen, ha ezeknek a fiókoknak nincs ilyen fiókjuk kéttényezős hitelesítés engedélyezve van. Használhat jelszókezelőt biztonságos jelszavak létrehozásához is. Ezenkívül fontolja meg a 2FA engedélyezését a fiókjában, ha a platform támogatja azt.

Távolítsa el a meghajtót, és készítsen biztonsági másolatot a fájljairól

Ha rendelkezik megfelelő ismeretekkel, távolítsa el a merevlemezt a fertőzött számítógépről, és csatlakoztassa külső merevlemezként egy másik számítógéphez. Végezze el a merevlemez alapos vizsgálatát, hogy megtalálja és eltávolítsa a régi számítógépen található rosszindulatú anyagokat. Ezután folytassa a fontos fájlok másolását egy másik tiszta, cserélhető meghajtóra. Ha technikai segítségre van szüksége, ne féljen segítséget kérni.

Törölje le a régi meghajtót

Most, hogy biztonsági másolatot készített a fontos fájlokról, itt az ideje, hogy törölje a régi meghajtót. Helyezze vissza a régi meghajtót a fertőzött számítógépbe, és végezzen mélytörlést.

Végezze el a Windows tiszta telepítését

A tiszta telepítés mindent töröl a számítógépről. Ez túlzott intézkedésnek hangzik, de a LotL támadások természete miatt szükséges. Nem lehet megmondani, hogy egy támadó hány natív programba férkőzött be, vagy hány hátsó ajtót rejtett el. A legbiztosabb, ha mindent tisztára törölünk és az operációs rendszer tiszta telepítése.

Telepítse a biztonsági javításokat

Valószínűleg a telepítőfájl elmarad, amikor biztonsági frissítésekről van szó. Tehát egy tiszta operációs rendszer telepítése után keresse meg és telepítse a frissítéseket. Ezenkívül fontolja meg bloatware eltávolítása– Nem rosszak, de könnyen megfeledkezhetünk róluk, amíg észre nem veszi, hogy valami elfoglalja a rendszer erőforrásait.

Hogyan lehet megakadályozni a LotL támadásokat

Hacsak nincs közvetlen hozzáférésük az Ön számítógépéhez, a hackereknek továbbra is módra van szükségük a rakomány eljuttatására. Az adathalászat a legáltalánosabb módja annak, hogy a hackerek megtalálják a feltörnivalót. Egyéb módok közé tartozik Bluetooth hackek és a középső támadások. A hasznos adatot bármilyen módon törvényes fájlokba rejtik, például egy Microsoft Office-fájlba, amely rövid, végrehajtható szkripteket tartalmaz az észlelés elkerülése érdekében. Tehát hogyan lehet megakadályozni ezeket a támadásokat?

Tartsa frissítve szoftverét

A LotL-támadások hasznos terhelése továbbra is a program vagy az operációs rendszer sebezhetőségeire támaszkodik a végrehajtás során. Ha beállítja eszközét és programjait úgy, hogy azok azonnal letöltsék és telepítsék a biztonsági frissítéseket, amint azok elérhetővé válnak, a rakomány tönkreteheti.

Állítsa be a szoftverkorlátozási irányelveket

A szoftver frissítése jó kezdet, de a kiberbiztonsági környezet gyorsan változik. Előfordulhat, hogy elmulaszt egy frissítési ablakot a biztonsági rések megszüntetésére, mielőtt a támadók kihasználnák azokat. Ezért jobb korlátozni, hogy a programok hogyan hajthatnak végre parancsokat vagy használhatják a rendszererőforrásokat.

Itt két lehetőség közül választhat: feketelistára vagy fehérlistára helyezi a programokat. Az engedélyezési listázás az, amikor egy programlistának alapértelmezés szerint hozzáférést biztosít a rendszererőforrásokhoz. A többi meglévő és új program alapértelmezés szerint korlátozott. Ezzel szemben a feketelistázás az, amikor listát készít azokról a programokról, amelyek nem férhetnek hozzá a rendszererőforrásokhoz. Így a többi meglévő és új program alapértelmezés szerint hozzáférhet a rendszererőforrásokhoz. Mindkét lehetőségnek megvannak az előnyei és hátrányai, így muszáj lesz döntsd el, melyik a legjobb neked.

Nincs ezüstgolyó a kibertámadásokhoz

A Living off the Land támadások természete azt jelenti, hogy a legtöbb ember nem fogja tudni, hogy feltörték, amíg valami komoly baj nem történik. És még ha műszakilag jártas is, nincs egyetlen mód annak megállapítására, hogy egy ellenfél behatolt-e a hálózatába. Jobb, ha ésszerű óvintézkedések megtételével elkerüljük a kibertámadásokat.