Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию.
В большинстве кибератак вредоносное ПО заражает компьютер жертвы и действует как док-станция злоумышленника. Найти и удалить эту док-станцию с помощью антивредоносного ПО относительно легко. Но есть и другой метод атаки, при котором злоумышленнику не нужно устанавливать вредоносное ПО.
Вместо этого злоумышленник запускает сценарий, который использует ресурсы устройства для кибератаки. И что хуже всего, атака Living off the Land (LotL) может долгое время оставаться незамеченной. Однако предотвратить, обнаружить и нейтрализовать эти атаки возможно.
Что такое LotL-атака?
Атака LofL — это своего рода бесфайловая атака, при которой хакер использует программы, уже установленные на устройстве, а не вредоносное ПО. Этот метод использования нативных программ является более тонким и снижает вероятность обнаружения атаки.
Некоторые собственные программы, которые хакеры часто используют для атак LotL, включают консоль командной строки, PowerShell, консоль реестра Windows и командную строку инструментария управления Windows. Хакеры также используют хосты сценариев на основе Windows и консоли (WScript.exe и CScript.exe). Эти инструменты поставляются с каждым компьютером Windows и необходимы для выполнения обычных административных задач.
Как происходят атаки LotL?
Хотя атаки LotL не имеют файлов, хакеры по-прежнему полагаются на знакомые приемы социальной инженерии чтобы найти, на кого ориентироваться. Многие атаки происходят, когда пользователь посещает небезопасный веб-сайт, открывает фишинговое письмо или использует зараженный USB-накопитель. Эти веб-сайты, электронные письма или мультимедийные устройства содержат комплект для атаки, содержащий бесфайловый скрипт.
В следующий этап взлома, комплект сканирует системные программы на наличие уязвимостей и запускает скрипт для компрометации уязвимых программ. С этого момента злоумышленник может получить удаленный доступ к компьютеру и похитить данные или создать бэкдоры для уязвимостей, используя только системные программы.
Что делать, если вы стали жертвой атаки «Жизнь за пределами земли»
Поскольку в атаках LotL используются собственные программы, ваш антивирус может не обнаружить атаку. Если вы являетесь опытным пользователем Windows или разбираетесь в технологиях, вы можете использовать аудит командной строки, чтобы выявлять злоумышленников и удалять их. В этом случае вы будете искать журналы процессов, которые кажутся подозрительными. Начните с процессов аудита со случайными буквами и цифрами; команды управления пользователями в нечетных местах; выполнение подозрительных скриптов; подключения к подозрительным URL-адресам или IP-адресам; и уязвимые, открытые порты.
Выключить Wi-Fi
Если вы, как и большинство людей, полагаетесь на антивредоносное ПО для защиты своего устройства, вы можете не заметить причиненный вред намного позже. Если у вас есть доказательства того, что вас взломали, первое, что нужно сделать, это отключить компьютер от Интернета. Таким образом, хакер не может связаться с устройством. Вы также должны отключить зараженное устройство от других устройств, если оно является частью более широкой сети.
Однако отключить Wi-Fi и изолировать зараженное устройство недостаточно. Поэтому попробуйте выключить маршрутизатор и отсоединить кабели Ethernet. Вам также может потребоваться выключить устройство, пока вы делаете следующее, чтобы управлять атакой.
Сбросить пароли учетных записей
Вам нужно будет предположить, что ваши онлайн-аккаунты были скомпрометированы, и изменить их. Это важно для предотвращения или прекращения кражи личных данных до того, как хакер нанесет серьезный ущерб.
Начните с изменения пароля к учетным записям, на которых хранятся ваши финансовые активы. Затем переходите к работе и учетным записям в социальных сетях, особенно если в этих учетных записях нет двухфакторная аутентификация включено. Вы также можете использовать менеджер паролей для создания безопасных паролей. Кроме того, рассмотрите возможность включения 2FA в своей учетной записи, если платформа ее поддерживает.
Удалите свой диск и сделайте резервную копию ваших файлов
Если у вас есть необходимые знания, извлеките жесткий диск из зараженного компьютера и подключите его как внешний жесткий диск к другому компьютеру. Выполните тщательное сканирование жесткого диска, чтобы найти и удалить все вредоносные программы со старого компьютера. Затем скопируйте важные файлы на другой чистый съемный диск. Если вам нужна техническая помощь, не бойтесь получить помощь.
Сотрите старый диск
Теперь, когда у вас есть резервная копия важных файлов, пришло время очистить старый диск. Верните старый диск на зараженный компьютер и выполните глубокую очистку.
Сделайте чистую установку Windows
Чистая установка стирает все на вашем компьютере. Это звучит как чрезмерная мера, но она необходима из-за характера атак LotL. Невозможно определить, сколько нативных программ злоумышленник скомпрометировал или в которых спрятал бэкдоры. Самый безопасный вариант - вытереть все начисто и чистая установка операционной системы.
Установите исправления безопасности
Скорее всего, установочный файл будет отставать, когда дело доходит до обновлений безопасности. Итак, после установки чистой операционной системы выполните поиск и установку обновлений. Кроме того, рассмотрите удаление вирусов— они неплохие, но о них легко забыть, пока вы не заметите, что что-то перегружает ваши системные ресурсы.
Как предотвратить атаки LotL
Если у них нет прямого доступа к вашему компьютеру, хакерам все равно нужен способ доставки полезной нагрузки. Фишинг — самый распространенный способ, которым хакеры находят, кого взломать. Другие способы включают Взлом Bluetooth и атаки «человек посередине». В любом случае полезная нагрузка маскируется в законных файлах, таких как файл Microsoft Office, содержащий короткие исполняемые сценарии, чтобы избежать обнаружения. Так как же предотвратить эти атаки?
Обновляйте свое программное обеспечение
Полезная нагрузка в атаках LotL по-прежнему зависит от уязвимостей в программе или вашей операционной системе для выполнения. Настройка вашего устройства и программ на загрузку и установку обновлений безопасности, как только они станут доступны, может превратить полезную нагрузку в бесполезную.
Установка политик ограниченного использования программ
Обновление вашего программного обеспечения — хорошее начало, но ландшафт кибербезопасности быстро меняется. Вы можете пропустить окно обновления, чтобы подавить уязвимости, прежде чем злоумышленники воспользуются ими. Таким образом, лучше в первую очередь ограничить возможности выполнения программами команд или использования системных ресурсов.
Здесь у вас есть два варианта: внести программы в черный или белый список. Белый список — это когда вы по умолчанию предоставляете списку программ доступ к системным ресурсам. Другие существующие и новые программы ограничены по умолчанию. И наоборот, занесение в черный список — это когда вы составляете список программ, которые не могут получить доступ к системным ресурсам. Таким образом, другие существующие и новые программы по умолчанию могут получить доступ к системным ресурсам. Оба варианта имеют свои плюсы и минусы, поэтому вам придется решить, что лучше для тебя.
Для кибератак нет серебряной пули
Характер атак Living off the Land означает, что большинство людей не узнают, что их взломали, пока что-то не пойдет не так. И даже если вы технически подкованы, нет единого способа определить, проник ли злоумышленник в вашу сеть. Прежде всего, лучше избегать кибератак, принимая разумные меры предосторожности.