Αναγνώστες σαν εσάς βοηθούν στην υποστήριξη του MUO. Όταν κάνετε μια αγορά χρησιμοποιώντας συνδέσμους στον ιστότοπό μας, ενδέχεται να κερδίσουμε μια προμήθεια θυγατρικών.
Στις περισσότερες επιθέσεις στον κυβερνοχώρο, το κακόβουλο λογισμικό μολύνει τον υπολογιστή του θύματος και λειτουργεί ως σταθμός σύνδεσης του εισβολέα. Η εύρεση και η αφαίρεση αυτού του σταθμού σύνδεσης είναι σχετικά εύκολη με το antimalware. Αλλά υπάρχει μια άλλη μέθοδος επίθεσης όπου ο κυβερνοεγκληματίας δεν χρειάζεται να εγκαταστήσει κακόβουλο λογισμικό.
Αντίθετα, ένας εισβολέας εκτελεί ένα σενάριο που χρησιμοποιεί τους πόρους στη συσκευή για την κυβερνοεπίθεση. Και το χειρότερο από όλα, μια επίθεση Living off the Land (LotL) μπορεί να μείνει απαρατήρητη για μεγάλο χρονικό διάστημα. Ωστόσο, είναι δυνατή η πρόληψη, η εύρεση και η εξουδετέρωση αυτών των επιθέσεων.
Τι είναι η επίθεση LotL;
Μια επίθεση LofL είναι ένα είδος επίθεσης χωρίς αρχεία όπου ένας χάκερ χρησιμοποιεί τα προγράμματα που βρίσκονται ήδη σε μια συσκευή αντί να χρησιμοποιεί κακόβουλο λογισμικό. Αυτή η μέθοδος χρήσης εγγενών προγραμμάτων είναι πιο λεπτή και καθιστά λιγότερο πιθανή την ανακάλυψη της επίθεσης.
Ορισμένα εγγενή προγράμματα που χρησιμοποιούν συχνά οι χάκερ για επιθέσεις LotL περιλαμβάνουν την κονσόλα γραμμής εντολών, το PowerShell, την κονσόλα μητρώου των Windows και τη γραμμή εντολών του Windows Management Instrumentation. Οι χάκερ χρησιμοποιούν επίσης κεντρικούς υπολογιστές δέσμης ενεργειών που βασίζονται σε Windows και σε κονσόλα (WScript.exe και CScript.exe). Τα εργαλεία συνοδεύονται από κάθε υπολογιστή με Windows και είναι απαραίτητα για την εκτέλεση κανονικών διαχειριστικών εργασιών.
Πώς συμβαίνουν οι επιθέσεις LotL;
Αν και οι επιθέσεις LotL είναι χωρίς αρχεία, οι χάκερ εξακολουθούν να βασίζονται στις γνωστά κόλπα κοινωνικής μηχανικής για να βρει ποιον να στοχεύσει. Πολλές επιθέσεις συμβαίνουν όταν ένας χρήστης επισκέπτεται έναν μη ασφαλή ιστότοπο, ανοίγει ένα email ηλεκτρονικού ψαρέματος ή χρησιμοποιεί μια μολυσμένη μονάδα USB. Αυτοί οι ιστότοποι, τα μηνύματα ηλεκτρονικού ταχυδρομείου ή οι συσκευές πολυμέσων περιέχουν το κιτ επίθεσης που φέρει το σενάριο χωρίς αρχεία.
Στην επόμενη στάδιο hacking, το κιτ σαρώνει προγράμματα συστήματος για τρωτά σημεία και εκτελεί το σενάριο για να θέσει σε κίνδυνο τα ευάλωτα προγράμματα. Από εδώ και στο εξής, ο εισβολέας μπορεί να έχει απομακρυσμένη πρόσβαση στον υπολογιστή και να κλέψει δεδομένα ή να δημιουργήσει κερκόπορτες ευπάθειας χρησιμοποιώντας μόνο προγράμματα συστήματος.
Τι να κάνετε εάν είστε θύμα επίθεσης που ζει εκτός ξηράς
Επειδή οι επιθέσεις LotL χρησιμοποιούν εγγενή προγράμματα, το πρόγραμμα προστασίας από ιούς ενδέχεται να μην ανιχνεύσει την επίθεση. Εάν είστε ενεργός χρήστης των Windows ή είστε γνώστες της τεχνολογίας, μπορείτε να χρησιμοποιήσετε τον έλεγχο γραμμής εντολών για να εντοπίσετε τους εισβολείς και να τους αφαιρέσετε. Σε αυτήν την περίπτωση, θα ψάχνετε για αρχεία καταγραφής διεργασιών που φαίνονται ύποπτα. Ξεκινήστε με διαδικασίες ελέγχου με τυχαία γράμματα και αριθμούς. εντολές διαχείρισης χρηστών σε μονές θέσεις. ύποπτες εκτελέσεις σεναρίων. συνδέσεις με ύποπτες διευθύνσεις URL ή διευθύνσεις IP· και ευάλωτες, ανοιχτές θύρες.
Απενεργοποιήστε το Wi-Fi
Εάν βασίζεστε σε antimalware για την προστασία της συσκευής σας, όπως οι περισσότεροι άνθρωποι, ενδέχεται να μην παρατηρήσετε ότι έχει γίνει κακό παρά πολύ αργότερα. Εάν έχετε αποδείξεις ότι σας έχουν παραβιάσει, το πρώτο πράγμα που πρέπει να κάνετε είναι να αποσυνδέσετε τον υπολογιστή σας από το διαδίκτυο. Με αυτόν τον τρόπο, ο χάκερ δεν μπορεί να επικοινωνήσει με τη συσκευή. Πρέπει επίσης να αποσυνδέσετε τη μολυσμένη συσκευή από άλλες συσκευές εάν είναι μέρος ενός ευρύτερου δικτύου.
Ωστόσο, η απενεργοποίηση του Wi-Fi και η απομόνωση της μολυσμένης συσκευής δεν αρκεί. Δοκιμάστε λοιπόν να απενεργοποιήσετε το ρούτερ και να αποσυνδέσετε τα καλώδια ethernet. Μπορεί επίσης να χρειαστεί να απενεργοποιήσετε τη συσκευή ενώ κάνετε το επόμενο πράγμα για να διαχειριστείτε την επίθεση.
Επαναφορά κωδικών πρόσβασης λογαριασμού
Θα πρέπει να υποθέσετε ότι οι διαδικτυακοί σας λογαριασμοί έχουν παραβιαστεί και να τους αλλάξετε. Αυτό είναι σημαντικό για να αποτρέψετε ή να σταματήσετε την κλοπή ταυτότητας προτού ο χάκερ κάνει σοβαρή ζημιά.
Ξεκινήστε με την αλλαγή του κωδικού πρόσβασης στους λογαριασμούς που κρατούν τα χρηματοοικονομικά σας στοιχεία. Στη συνέχεια, προχωρήστε στους λογαριασμούς εργασίας και στα μέσα κοινωνικής δικτύωσης, ειδικά αν αυτοί οι λογαριασμοί δεν έχουν έλεγχος ταυτότητας δύο παραγόντων ενεργοποιημένη. Μπορείτε επίσης να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να δημιουργήσετε ασφαλείς κωδικούς πρόσβασης. Επίσης, εξετάστε το ενδεχόμενο να ενεργοποιήσετε το 2FA στον λογαριασμό σας εάν το υποστηρίζει η πλατφόρμα.
Καταργήστε τη μονάδα δίσκου σας και δημιουργήστε αντίγραφα ασφαλείας των αρχείων σας
Εάν διαθέτετε τις κατάλληλες γνώσεις, αφαιρέστε τον σκληρό δίσκο από τον μολυσμένο υπολογιστή και συνδέστε τον ως εξωτερικό σκληρό δίσκο σε διαφορετικό υπολογιστή. Πραγματοποιήστε μια εις βάθος σάρωση του σκληρού δίσκου για να βρείτε και να αφαιρέσετε οτιδήποτε κακόβουλο από τον παλιό υπολογιστή. Στη συνέχεια, προχωρήστε στην αντιγραφή των σημαντικών αρχείων σας σε μια διαφορετική καθαρή, αφαιρούμενη μονάδα δίσκου. Εάν χρειάζεστε τεχνική βοήθεια, μην φοβάστε να λάβετε βοήθεια.
Σκουπίστε την παλιά μονάδα δίσκου
Τώρα που έχετε ένα αντίγραφο ασφαλείας των σημαντικών αρχείων σας, ήρθε η ώρα να καθαρίσετε την παλιά μονάδα δίσκου. Επιστρέψτε την παλιά μονάδα δίσκου στον μολυσμένο υπολογιστή και εκτελέστε ένα βαθύ σκούπισμα.
Κάντε μια καθαρή εγκατάσταση των Windows
Μια καθαρή εγκατάσταση σκουπίζει τα πάντα στον υπολογιστή σας. Ακούγεται σαν υπερβολικό μέτρο, αλλά είναι απαραίτητο λόγω της φύσης των επιθέσεων LotL. Δεν υπάρχει τρόπος να πούμε πόσα εγγενή προγράμματα έχει παραβιάσει ή έχει κρύψει backdoors ένας εισβολέας. Το πιο ασφαλές στοίχημα είναι να σκουπίσετε τα πάντα και καθαρή εγκατάσταση του λειτουργικού συστήματος.
Εγκαταστήστε ενημερώσεις κώδικα ασφαλείας
Οι πιθανότητες είναι ότι το αρχείο εγκατάστασης θα μείνει πίσω όταν πρόκειται για ενημερώσεις ασφαλείας. Έτσι, αφού εγκαταστήσετε ένα καθαρό λειτουργικό σύστημα, σαρώστε και εγκαταστήστε ενημερώσεις. Επίσης, σκεφτείτε αφαίρεση bloatware—δεν είναι κακά, αλλά είναι εύκολο να τα ξεχάσετε μέχρι να παρατηρήσετε ότι κάτι παρασύρει τους πόρους του συστήματός σας.
Πώς να αποτρέψετε τις επιθέσεις LotL
Εκτός κι αν έχουν άμεση πρόσβαση στον υπολογιστή σας, οι χάκερ εξακολουθούν να χρειάζονται έναν τρόπο να παραδώσουν το ωφέλιμο φορτίο τους. Το phishing είναι ο πιο συνηθισμένος τρόπος που οι χάκερ βρίσκουν ποιον να χακάρουν. Άλλοι τρόποι περιλαμβάνουν Hacks Bluetooth και επιθέσεις «man-in-the-middle». Με οποιονδήποτε τρόπο, το ωφέλιμο φορτίο συγκαλύπτεται σε νόμιμα αρχεία, όπως ένα αρχείο του Microsoft Office που περιέχει σύντομα, εκτελέσιμα σενάρια για να αποφευχθεί ο εντοπισμός. Λοιπόν, πώς αποτρέπετε αυτές τις επιθέσεις;
Διατηρήστε το λογισμικό σας ενημερωμένο
Το ωφέλιμο φορτίο στις επιθέσεις LotL εξακολουθεί να βασίζεται σε ευπάθειες σε ένα πρόγραμμα ή στο λειτουργικό σας σύστημα για εκτέλεση. Η ρύθμιση της συσκευής και των προγραμμάτων σας για λήψη και εγκατάσταση ενημερώσεων ασφαλείας μόλις γίνουν διαθέσιμες, μπορεί να μετατρέψει το ωφέλιμο φορτίο σε χαζό.
Ορίστε Πολιτικές περιορισμού λογισμικού
Η ενημέρωση του λογισμικού σας είναι μια καλή αρχή, αλλά το τοπίο της κυβερνοασφάλειας αλλάζει γρήγορα. Μπορεί να χάσετε ένα παράθυρο ενημέρωσης για την εξάλειψη των τρωτών σημείων προτού τα εκμεταλλευτούν οι εισβολείς. Ως εκ τούτου, είναι καλύτερο να περιορίσετε τον τρόπο με τον οποίο τα προγράμματα μπορούν να εκτελούν εντολές ή να χρησιμοποιούν τους πόρους του συστήματος αρχικά.
Έχετε δύο επιλογές εδώ: στη μαύρη λίστα ή στη λίστα επιτρεπόμενων προγραμμάτων. Η επιτρεπόμενη λίστα είναι όταν εκχωρείτε από προεπιλογή σε μια λίστα προγραμμάτων πρόσβαση στους πόρους του συστήματος. Άλλα υπάρχοντα και νέα προγράμματα είναι περιορισμένα από προεπιλογή. Αντίθετα, η μαύρη λίστα είναι όταν δημιουργείτε μια λίστα προγραμμάτων που δεν έχουν πρόσβαση στους πόρους του συστήματος. Με αυτόν τον τρόπο, άλλα υπάρχοντα και νέα προγράμματα μπορούν να έχουν πρόσβαση στους πόρους του συστήματος από προεπιλογή. Και οι δύο επιλογές έχουν τα πλεονεκτήματα και τα μειονεκτήματά τους, οπότε θα πρέπει να το κάνετε αποφασίστε ποιο είναι το καλύτερο για σενα.
Δεν υπάρχει Silver Bullet για Cyberattacks
Η φύση των επιθέσεων Living off the Land σημαίνει ότι οι περισσότεροι άνθρωποι δεν θα ξέρουν ότι έχουν παραβιαστεί έως ότου κάτι πάει σοβαρά στραβά. Και ακόμα κι αν είστε τεχνικά γνώστες, δεν υπάρχει ένας τρόπος να διαπιστώσετε εάν κάποιος αντίπαλος έχει διεισδύσει στο δίκτυό σας. Είναι καλύτερα να αποφύγετε τις επιθέσεις στον κυβερνοχώρο, λαμβάνοντας λογικές προφυλάξεις.