Киберпреступникам не обязательно устанавливать вредоносное ПО на вашу систему, чтобы атаковать вас. Они могут бесшумно использовать уже существующие программы для захвата контроля
В большинстве кибератак вредоносное ПО заражает компьютер жертвы и действует как ‘док-станция’ злоумышленника. Найти и удалить эту док-станцию относительно просто с помощью антивирусного ПО. Но есть и другой метод атаки, при котором киберпреступнику не нужно устанавливать вредоносное ПО
Вместо этого злоумышленник выполняет сценарий, который использует ресурсы устройства для кибератаки. И хуже всего то, что атака Living off the Land (LotL) может долгое время оставаться незамеченной. Однако предотвратить, обнаружить и нейтрализовать эти атаки возможно
Что такое LotL-атака?
LotL-атака – это разновидность бесфайловой атаки, при которой хакер использует программы, уже имеющиеся на устройстве, вместо вредоносного ПО. Этот метод использования родных программ является более тонким и делает обнаружение атаки менее вероятным
Некоторые ‘родные’ программы, которые хакеры часто используют для LotL-атак, включают консоль командной строки, PowerShell, консоль реестра Windows и командную строку Windows Management Instrumentation. Хакеры также используют Windows-Based и Console-Based Script hosts (WScript.exe и CScript.exe). Эти инструменты поставляются с каждым компьютером под управлением Windows и необходимы для выполнения обычных административных задач
Как происходят LotL-атаки?
Хотя LotL-атаки не содержат файлов, хакеры все еще полагаются на привычные приемы социальной инженерии, чтобы найти, на кого направить атаку. Многие атаки происходят, когда пользователь посещает небезопасный веб-сайт, открывает фишинговое письмо или использует зараженный USB-накопитель. Эти веб-сайты, электронные письма или медиаустройства содержат набор для атаки, содержащий безфайловый скрипт
На следующем этапе взлома комплект сканирует системные программы на наличие уязвимостей и выполняет скрипт для компрометации уязвимых программ. С этого момента злоумышленник может получить удаленный доступ к компьютеру и украсть данные или создать бэкдоры уязвимостей, используя только системные программы
Что делать, если вы стали жертвой атаки
Поскольку в атаках LotL используются собственные программы, ваш антивирус может не обнаружить атаку. Если вы являетесь опытным пользователем Windows или подкованы в технических вопросах, вы можете использовать аудит командной строки для обнаружения и удаления злоумышленников. В этом случае вы будете искать журналы процессов, которые кажутся подозрительными. Начните с аудита процессов со случайными буквами и цифрами; команд управления пользователями в странных местах; подозрительных выполнений сценариев; подключений к подозрительным URL или IP-адресам; уязвимых открытых портов
Выключите Wi-Fi
Если вы, как и большинство людей, полагаетесь на антивирусные программы для защиты своего устройства, вы можете не заметить причиненного вреда до тех пор, пока он не будет нанесен. Если у вас есть доказательства того, что вас взломали, первое, что нужно сделать, – отключить компьютер от Интернета. Таким образом, хакер не сможет общаться с устройством. Вы также должны отключить зараженное устройство от других устройств, если оно является частью более широкой сети
Однако отключения Wi-Fi и изоляции зараженного устройства недостаточно. Поэтому попробуйте выключить маршрутизатор и отсоединить кабели Ethernet. Возможно, вам также придется отключить питание устройства, пока вы будете выполнять следующие действия, чтобы справиться с атакой
Сбросьте пароли учетных записей
Вам’нужно предположить, что ваши учетные записи в Интернете были взломаны, и изменить их. Это важно для того, чтобы предотвратить или остановить кражу личных данных до того, как хакер нанесет серьезный ущерб
Сбросить пароли для учетных записей.
Начните со смены пароля к счетам, на которых хранятся ваши финансовые активы. Затем перейдите к учетным записям на работе и в социальных сетях, особенно если в них не включена двухфакторная аутентификация. Вы также можете использовать менеджер паролей для создания надежных паролей. Также рассмотрите возможность включения 2FA на вашей учетной записи, если платформа поддерживает ее
Извлеките диск и создайте резервную копию файлов
Если у вас есть необходимые знания, извлеките жесткий диск из зараженного компьютера и подключите его как внешний жесткий диск к другому компьютеру. Проведите глубокое сканирование жесткого диска, чтобы найти и удалить все вредоносное со старого компьютера. Затем скопируйте важные файлы на другой чистый съемный диск. Если вам нужна техническая помощь, не бойтесь обращаться за ней
Очистите старый диск
Теперь, когда у вас есть резервная копия важных файлов, пришло время очистить старый диск. Верните старый диск на зараженный компьютер и выполните глубокую очистку
Выполните чистую установку Windows
Чистая установка стирает все на вашем компьютере. Это звучит как чрезмерная мера, но она ’необходима из-за природы атак LotL. Невозможно определить, сколько родных программ злоумышленник взломал или спрятал в них бэкдоры. Самое безопасное решение – стереть все и установить чистую операционную систему
Установка исправлений безопасности
Скорее всего, установочный файл отстает от обновлений безопасности. Поэтому после установки чистой операционной системы просканируйте и установите обновления. Кроме того, подумайте об удалении программ-пустышек— они не плохи, но о них легко забыть, пока вы не заметите, что что-то ’отнимает’у вас системные ресурсы
Как предотвратить LotL-атаки
Если у хакеров нет прямого доступа к вашему компьютеру, им все равно нужен способ доставки полезной нагрузки. Фишинг – самый распространенный способ, с помощью которого хакеры находят, кого взломать. Другие способы включают взлом Bluetooth и атаки типа ‘человек посередине’. В любом случае полезная нагрузка маскируется в законных файлах, например, в файле Microsoft Office, содержащем короткие исполняемые сценарии, чтобы избежать обнаружения. Как же предотвратить эти атаки?
Обновляйте свое программное обеспечение
Полезная нагрузка в атаках LotL по-прежнему зависит от уязвимостей в программе или операционной системе. Настройка вашего устройства и программ на загрузку и установку обновлений безопасности, как только они становятся доступными, может превратить полезную нагрузку в неудачу
Установка политики ограничения программного обеспечения
Обновление программного обеспечения – это хорошее начало, но ландшафт кибербезопасности быстро меняется. Вы можете пропустить окно обновления, чтобы устранить уязвимости до того, как ими воспользуются злоумышленники. Поэтому лучше ограничить возможности программ по выполнению команд или использованию системных ресурсов
Здесь у вас есть два варианта: занести программы в черный или белый список. Белый список – это когда вы предоставляете списку программ доступ к системным ресурсам по умолчанию. Другие существующие и новые программы по умолчанию ограничены. И наоборот, черный список – это когда вы составляете список программ, которые не могут получить доступ к системным ресурсам. Таким образом, другие существующие и новые программы могут получить доступ к системным ресурсам по умолчанию. Оба варианта имеют свои плюсы и минусы, поэтому вам придется решить, что лучше для вас
Серебряной пули для кибератак не существует
Природа атак ‘Жизнь за счет земли’ означает, что большинство людей не узнают, что их взломали, пока что-то не пойдет серьезно не так. И даже если вы технически подкованы, не существует единого способа определить, проник ли противник в вашу сеть. Лучше избегать кибератак, принимая разумные меры предосторожности
Комментировать