Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu.
Vo väčšine kybernetických útokov malvér infikuje počítač obete a funguje ako dokovacia stanica útočníka. Nájdenie a odstránenie tejto dokovacej stanice je s antimalvérom pomerne jednoduché. Existuje však ďalšia metóda útoku, pri ktorej počítačový zločinec nemusí inštalovať malvér.
Namiesto toho útočník spustí skript, ktorý na kybernetický útok použije prostriedky v zariadení. A čo je najhoršie, útok Living off the Land (LotL) môže zostať dlho neodhalený. Je však možné týmto útokom predchádzať, nájsť ich a neutralizovať.
Čo je útok LotL?
Útok LofL je druh útoku bez súborov, pri ktorom hacker používa programy, ktoré sú už v zariadení, namiesto použitia škodlivého softvéru. Tento spôsob používania natívnych programov je jemnejší a znižuje pravdepodobnosť odhalenia útoku.
Niektoré natívne programy, ktoré hackeri často používajú na útoky LotL, zahŕňajú konzolu príkazového riadka, PowerShell, konzolu registra Windows a príkazový riadok Windows Management Instrumentation. Hackeri tiež používajú hostiteľov skriptov založených na systéme Windows a na konzole (WScript.exe a CScript.exe). Nástroje sa dodávajú s každým počítačom so systémom Windows a sú potrebné na vykonávanie bežných administratívnych úloh.
Ako sa dejú LotL útoky?
Hoci útoky LotL sú bez súborov, hackeri sa stále spoliehajú na známe triky sociálneho inžinierstva zistiť, na koho sa zamerať. K mnohým útokom dochádza, keď používateľ navštívi nebezpečnú webovú stránku, otvorí phishingový e-mail alebo použije infikovanú jednotku USB. Tieto webové stránky, e-maily alebo mediálne zariadenia obsahujú súpravu útoku nesúcu skript bez súborov.
V ďalšom štádium hackovania, súprava skenuje systémové programy na slabé miesta a spúšťa skript na kompromitáciu zraniteľných programov. Odtiaľ môže útočník vzdialene pristupovať k počítaču a ukradnúť údaje alebo vytvoriť zadné vrátka zraniteľnosti iba pomocou systémových programov.
Čo robiť, ak ste obeťou útoku, ktorý žije mimo územia
Keďže útoky LotL používajú natívne programy, váš antivírus nemusí útok zistiť. Ak ste pokročilý používateľ systému Windows alebo ste technicky zdatný, môžete použiť auditovanie príkazového riadka na odhalenie útočníkov a ich odstránenie. V tomto prípade budete hľadať protokoly procesov, ktoré sa zdajú byť podozrivé. Začnite s procesmi auditu s náhodnými písmenami a číslami; príkazy správy používateľov na nepárnych miestach; podozrivé spúšťanie skriptov; pripojenia na podozrivé adresy URL alebo adresy IP; a zraniteľné, otvorené porty.
Vypnite Wi-Fi
Ak sa ako väčšina ľudí spoliehate na antimalvér na ochranu svojho zariadenia, možno si všimnete, že k poškodeniu došlo až oveľa neskôr. Ak máte dôkazy, že ste boli napadnutý hackermi, prvá vec, ktorú musíte urobiť, je odpojiť počítač od internetu. Týmto spôsobom hacker nemôže komunikovať so zariadením. Musíte tiež odpojiť infikované zariadenie od ostatných zariadení, ak je súčasťou širšej siete.
Vypnutie Wi-Fi a izolácia infikovaného zariadenia však nestačí. Skúste teda vypnúť router a odpojiť ethernetové káble. Možno budete musieť vypnúť zariadenie, kým budete robiť ďalšiu vec na zvládnutie útoku.
Obnoviť heslá účtov
Budete musieť predpokladať, že vaše online účty boli napadnuté a zmeniť ich. Toto je dôležité na zabránenie alebo zastavenie krádeže identity skôr, ako hacker spôsobí vážne škody.
Začnite zmenou hesla k účtom, na ktorých sú uložené vaše finančné aktíva. Potom prejdite na pracovné účty a účty sociálnych médií, najmä ak tieto účty nemajú dvojfaktorové overenie povolené. Na vytvorenie bezpečných hesiel môžete použiť aj správcu hesiel. Zvážte aj povolenie 2FA vo svojom účte, ak to platforma podporuje.
Odstráňte svoj disk a zálohujte si súbory
Ak máte správne znalosti, vyberte pevný disk z infikovaného počítača a pripojte ho ako externý pevný disk k inému počítaču. Vykonajte hĺbkovú kontrolu pevného disku, aby ste našli a odstránili čokoľvek škodlivé zo starého počítača. Potom pokračujte v kopírovaní dôležitých súborov na inú čistú vymeniteľnú jednotku. Ak potrebujete technickú pomoc, nebojte sa požiadať o pomoc.
Vymažte starý disk
Teraz, keď máte zálohu dôležitých súborov, je čas vyčistiť starý disk. Vráťte starú jednotku do infikovaného počítača a vykonajte hlboké vymazanie.
Vykonajte čistú inštaláciu systému Windows
Čistá inštalácia vymaže všetko na vašom počítači. Znie to ako over-the-top opatrenie, ale je to nevyhnutné vzhľadom na povahu útokov LotL. Neexistuje spôsob, ako zistiť, v koľkých natívnych programoch útočník kompromitoval alebo skryl zadné vrátka. Najistejšie je utrieť všetko dočista a čistá inštalácia operačného systému.
Nainštalujte bezpečnostné záplaty
Je pravdepodobné, že inštalačný súbor bude pozadu, pokiaľ ide o aktualizácie zabezpečenia. Takže po inštalácii čistého operačného systému vyhľadajte a nainštalujte aktualizácie. Tiež zvážte odstránenie bloatware– nie sú zlé, ale je ľahké na ne zabudnúť, kým si nevšimnete, že niečo zaťažuje vaše systémové prostriedky.
Ako zabrániť útokom LotL
Ak hackeri nemajú priamy prístup k vášmu počítaču, stále potrebujú spôsob, ako doručiť svoj náklad. Phishing je najbežnejším spôsobom, ako hackeri zistia, koho hacknúť. Medzi ďalšie spôsoby patrí Bluetooth hacky a útoky typu man-in-the-middle. V každom prípade je užitočné zaťaženie zamaskované v legitímnych súboroch, ako je napríklad súbor balíka Microsoft Office obsahujúci krátke, spustiteľné skripty, aby sa zabránilo odhaleniu. Ako teda týmto útokom predchádzať?
Udržujte svoj softvér aktualizovaný
Užitočné zaťaženie pri útokoch LotL stále závisí od spustenia zraniteľností v programe alebo operačnom systéme. Nastavenie zariadenia a programov na sťahovanie a inštaláciu aktualizácií zabezpečenia hneď, ako budú k dispozícii, môže zmeniť užitočné zaťaženie na hlúposť.
Nastavte zásady obmedzenia softvéru
Udržiavanie aktualizovaného softvéru je dobrý začiatok, ale prostredie kybernetickej bezpečnosti sa rýchlo mení. Môže vám uniknúť aktualizačné okno na potlačenie zraniteľných miest skôr, ako ich útočníci zneužijú. Preto je lepšie obmedziť spôsob, akým môžu programy vykonávať príkazy alebo používať systémové prostriedky.
Tu máte dve možnosti: pridať programy na čiernu alebo bielu listinu. Biela listina je, keď predvolene udelíte zoznamu programov prístup k systémovým prostriedkom. Ostatné existujúce a nové programy sú štandardne obmedzené. Naopak, čierna listina je, keď vytvoríte zoznam programov, ktoré nemajú prístup k systémovým zdrojom. Týmto spôsobom môžu ostatné existujúce a nové programy štandardne pristupovať k systémovým prostriedkom. Obe možnosti majú svoje pre a proti, takže budete musieť rozhodnúť, čo je najlepšie pre teba.
Neexistuje žiadna strieborná guľka pre kybernetické útoky
Povaha útokov Living off the Land znamená, že väčšina ľudí nebude vedieť, že boli napadnutí, kým sa niečo vážne nepokazí. A aj keď ste technicky zdatní, neexistuje jediný spôsob, ako zistiť, či sa do vašej siete infiltroval protivník. V prvom rade je lepšie vyhnúť sa kybernetickým útokom rozumnými opatreniami.
