Kaltaisesi lukijat auttavat tukemaan MUO: ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion.
Useimmissa kyberhyökkäyksissä haittaohjelmat tarttuvat uhrin tietokoneeseen ja toimivat hyökkääjän telakointiasemana. Tämän telakointiaseman löytäminen ja poistaminen on suhteellisen helppoa haittaohjelmien torjuntaan. Mutta on toinen hyökkäystapa, jossa verkkorikollisen ei tarvitse asentaa haittaohjelmia.
Sen sijaan hyökkääjä suorittaa komentosarjan, joka käyttää laitteen resursseja kyberhyökkäykseen. Ja mikä pahinta, Living off the Land (LotL) -hyökkäys voi jäädä huomaamatta pitkään. Näiden hyökkäysten ehkäiseminen, löytäminen ja neutralointi on kuitenkin mahdollista.
Mikä on LotL-hyökkäys?
LofL-hyökkäys on eräänlainen tiedostoton hyökkäys, jossa hakkeri käyttää laitteella jo olevia ohjelmia haittaohjelmien sijaan. Tämä natiiviohjelmien käyttötapa on hienovaraisempi ja tekee hyökkäyksen havaitsemisesta vähemmän todennäköistä.
Joitakin alkuperäisiä ohjelmia, joita hakkerit käyttävät usein LotL-hyökkäyksiin, ovat komentorivikonsoli, PowerShell, Windowsin rekisterikonsoli ja Windows Management Instrumentation -komentorivi. Hakkerit käyttävät myös Windows- ja konsolipohjaisia komentosarjaisäntiä (WScript.exe ja CScript.exe). Työkalut tulevat jokaisen Windows-tietokoneen mukana ja ovat välttämättömiä normaalien hallinnollisten tehtävien suorittamiseen.
Kuinka LotL-hyökkäykset tapahtuvat?
Vaikka LotL-hyökkäykset ovat tiedostottomia, hakkerit luottavat edelleen tuttuja social engineering temppuja löytääksesi kenen kohde on. Monet hyökkäykset tapahtuvat, kun käyttäjä vierailee vaarallisella verkkosivustolla, avaa tietojenkalasteluviestin tai käyttää tartunnan saanutta USB-asemaa. Nämä verkkosivustot, sähköpostit tai medialaitteet sisältävät hyökkäyssarjan, joka kuljettaa tiedostottoman komentosarjan.
Seuraavassa hakkeroinnin vaihe, sarja tarkistaa järjestelmäohjelmien haavoittuvuuksia ja suorittaa komentosarjan haavoittuvien ohjelmien vaarantamiseksi. Tästä eteenpäin hyökkääjä voi etäkäyttää tietokonetta ja varastaa tietoja tai luoda haavoittuvuuden takaovia käyttämällä vain järjestelmäohjelmia.
Mitä tehdä, jos joudut maan ulkopuolella asuvan hyökkäyksen uhriksi
Koska LotL-hyökkäykset käyttävät alkuperäisiä ohjelmia, virustorjunta ei välttämättä havaitse hyökkäystä. Jos olet Windowsin tehokäyttäjä tai tekniikkataito, voit käyttää komentorivitarkistusta haistaaksesi hyökkääjät ja poistaaksesi heidät. Tässä tapauksessa etsit epäilyttävältä vaikuttavia prosessilokeja. Aloita auditointiprosesseilla satunnaisilla kirjaimilla ja numeroilla; käyttäjien hallintakomennot parittomissa paikoissa; epäilyttävät käsikirjoituksen teloitukset; yhteydet epäilyttäviin URL- tai IP-osoitteisiin; ja haavoittuvia, avoimia portteja.
Sammuta Wi-Fi
Jos luotat haittaohjelmien torjuntaan laitteesi suojauksessa, kuten useimmat ihmiset, et ehkä huomaa, että vahinko on tapahtunut vasta paljon myöhemmin. Jos sinulla on todisteita siitä, että sinut on hakkeroitu, ensimmäinen asia on katkaista tietokoneesi Internet-yhteydestä. Tällä tavalla hakkeri ei voi kommunikoida laitteen kanssa. Sinun on myös irrotettava tartunnan saanut laite muista laitteista, jos se on osa laajempaa verkkoa.
Wi-Fi: n sammuttaminen ja tartunnan saaneen laitteen eristäminen ei kuitenkaan riitä. Joten yritä sammuttaa reititin ja irrottaa ethernet-kaapelit. Saatat myös joutua sammuttamaan laitteen, kun teet seuraavan toimenpiteen hyökkäyksen hallitsemiseksi.
Palauta tilin salasanat
Sinun on oletettava, että online-tilisi on vaarantunut, ja muutettava niitä. Tämä on tärkeää identiteettivarkauden estämiseksi tai lopettamiseksi ennen kuin hakkeri tekee vakavaa vahinkoa.
Aloita vaihtamalla salasana tilillesi, joilla on rahoitusvarasi. Siirry sitten työ- ja sosiaalisen median tileille, varsinkin jos näillä tileillä ei ole kaksivaiheinen todennus käytössä. Voit käyttää salasanojen hallintaa myös turvallisten salasanojen luomiseen. Harkitse myös 2FA: n ottamista käyttöön tililläsi, jos alusta tukee sitä.
Poista asemasi ja varmuuskopioi tiedostosi
Jos sinulla on oikeat tiedot, poista kiintolevy tartunnan saaneesta tietokoneesta ja liitä se ulkoisena kiintolevynä toiseen tietokoneeseen. Suorita kiintolevyn perusteellinen tarkistus löytääksesi ja poistaaksesi kaikki haitalliset vanhasta tietokoneesta. Kopioi sitten tärkeät tiedostosi toiseen puhtaaseen, irrotettavaan asemaan. Jos tarvitset teknistä apua, älä pelkää saada apua.
Pyyhi vanha asema
Nyt kun sinulla on varmuuskopio tärkeistä tiedostoistasi, on aika pyyhkiä vanha asema puhtaaksi. Palauta vanha asema tartunnan saaneelle tietokoneelle ja suorita syväpyyhintä.
Tee Windowsin puhdas asennus
Puhdas asennus pyyhkii kaiken tietokoneeltasi. Se kuulostaa ylivoimaiselta toimenpiteeltä, mutta se on välttämätöntä LotL-hyökkäysten luonteen vuoksi. Ei ole mahdollista kertoa, kuinka monessa alkuperäisessä ohjelmassa hyökkääjä on murtautunut tai piilottanut takaoven. Turvallisin veto on pyyhkiä kaikki puhtaaksi ja asenna käyttöjärjestelmä puhtaasti.
Asenna suojauskorjaukset
Todennäköisesti asennustiedosto jää jäljessä tietoturvapäivitysten suhteen. Joten, kun olet asentanut puhtaan käyttöjärjestelmän, etsi ja asenna päivitykset. Harkitse myös bloatwaren poistaminen-Ne eivät ole huonoja, mutta ne on helppo unohtaa, kunnes huomaat jonkin tunkevan järjestelmäresurssejasi.
Kuinka estää LotL-hyökkäykset
Ellei heillä ole suoraa pääsyä tietokoneeseesi, hakkerit tarvitsevat silti tavan toimittaa hyötykuormansa. Tietojenkalastelu on yleisin tapa hakkereille löytää kenet hakkeroida. Muita tapoja ovat mm Bluetooth hakkerit ja mies-middle-hyökkäykset. Hyötykuorma on joka tapauksessa naamioitu laillisiin tiedostoihin, kuten Microsoft Office -tiedostoihin, jotka sisältävät lyhyitä suoritettavia komentosarjoja havaitsemisen välttämiseksi. Joten miten voit estää nämä hyökkäykset?
Pidä ohjelmistosi ajan tasalla
LotL-hyökkäysten hyötykuorma perustuu edelleen ohjelman tai käyttöjärjestelmän haavoittuvuuksiin. Laitteen ja ohjelmien asettaminen lataamaan ja asentamaan tietoturvapäivitykset heti, kun ne tulevat saataville, voi muuttaa hyötykuorman tyhmäksi.
Määritä ohjelmiston rajoituskäytännöt
Ohjelmiston päivittäminen on hyvä alku, mutta kyberturvallisuusympäristö muuttuu nopeasti. Saatat unohtaa päivitysikkunan haavoittuvuuksien poistamiseksi ennen kuin hyökkääjät käyttävät niitä hyväkseen. Sellaisenaan on parempi rajoittaa sitä, miten ohjelmat voivat suorittaa komentoja tai käyttää järjestelmäresursseja.
Sinulla on kaksi vaihtoehtoa: lisätä ohjelmia mustalle tai sallittujen luetteloon. Sallittujen luetteloiden lisääminen on, kun myönnät oletusarvoisesti ohjelmien luettelon käyttöoikeudet järjestelmäresursseihin. Muut olemassa olevat ja uudet ohjelmat ovat oletusarvoisesti rajoitettuja. Sitä vastoin mustalla listalla teet luettelon ohjelmista, jotka eivät voi käyttää järjestelmäresursseja. Tällä tavalla muut olemassa olevat ja uudet ohjelmat voivat käyttää järjestelmäresursseja oletuksena. Molemmilla vaihtoehdoilla on hyvät ja huonot puolensa, joten sinun on pakko päättää mikä on paras sinulle.
Kyberhyökkäyksiä varten ei ole hopealuotia
Living off the Land -hyökkäysten luonne tarkoittaa, että useimmat ihmiset eivät tiedä, että heidät on hakkeroitu, ennen kuin jokin menee vakavasti pieleen. Ja vaikka olisit teknisesti taitava, ei ole yhtä tapaa kertoa, onko vastustaja tunkeutunut verkkoosi. On parempi välttää kyberhyökkäyksiä ensinnäkin ryhtymällä järkeviin varotoimiin.
