Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission.
I de fleste cyberangreb inficerer malware offerets computer og fungerer som angriberens dockingstation. At finde og fjerne denne dockingstation er relativt nemt med antimalware. Men der er en anden angrebsmetode, hvor den cyberkriminelle ikke behøver at installere malware.
I stedet udfører en angriber et script, der bruger ressourcerne på enheden til cyberangrebet. Og værst af alt, et Living off the Land (LotL) angreb kan forblive uopdaget i lang tid. Det er dog muligt at forhindre, finde og neutralisere disse angreb.
Hvad er et LotL-angreb?
Et LofL-angreb er en slags filløst angreb, hvor en hacker bruger de programmer, der allerede er på en enhed i stedet for at bruge malware. Denne metode til at bruge native programmer er mere subtil og gør opdagelse af angrebet mindre sandsynligt.
Nogle indfødte programmer, som hackere ofte bruger til LotL-angreb, omfatter kommandolinjekonsollen, PowerShell, Windows-registreringskonsollen og Windows Management Instrumentation-kommandolinjen. Hackere bruger også Windows-baserede og konsolbaserede script-værter (WScript.exe og CScript.exe). Værktøjerne følger med alle Windows-computere og er nødvendige for at udføre normale administrative opgaver.
Hvordan sker LotL-angreb?
Selvom LotL-angreb er filløse, stoler hackere stadig på velkendte social engineering tricks at finde, hvem man skal målrette mod. Mange angreb sker, når en bruger besøger et usikkert websted, åbner en phishing-e-mail eller bruger et inficeret USB-drev. Disse websteder, e-mails eller medieenheder indeholder angrebssættet med det filløse script.
I den næste stadium af hacking, scanner sættet systemprogrammer for sårbarheder og udfører scriptet for at kompromittere sårbare programmer. Herfra kan angriberen eksternt få adgang til computeren og stjæle data eller skabe sårbarhedsbagdøre udelukkende ved hjælp af systemprogrammer.
Hvad skal du gøre, hvis du er offer for et liv af landangrebet
Fordi LotL-angreb bruger native programmer, registrerer din antivirus muligvis ikke angrebet. Hvis du er en superbruger af Windows eller er teknisk kyndig, kan du bruge kommandolinjeauditering til at opsnuse angribere og fjerne dem. I dette tilfælde vil du lede efter proceslogfiler, der virker mistænkelige. Start med revisionsprocesser med tilfældige bogstaver og tal; brugerstyringskommandoer på skæve steder; mistænkelige manuskriptudførelser; forbindelser til mistænkelige URL'er eller IP-adresser; og sårbare, åbne havne.
Sluk for Wi-Fi
Hvis du er afhængig af antimalware til din enhedsbeskyttelse som de fleste andre, vil du muligvis ikke bemærke, at der er sket skade før meget senere. Hvis du har bevis for, at du er blevet hacket, er den første ting at gøre at afbryde din computer fra internettet. På denne måde kan hackeren ikke kommunikere med enheden. Du skal også frakoble den inficerede enhed fra andre enheder, hvis den er en del af et bredere netværk.
Det er dog ikke nok at slukke for dit Wi-Fi og isolere den inficerede enhed. Så prøv at slukke for routeren og frakoble Ethernet-kablerne. Du skal muligvis også slukke for enheden, mens du gør det næste for at styre angrebet.
Nulstil kontoadgangskoder
Du skal antage, at dine onlinekonti er blevet kompromitteret og ændre dem. Det er vigtigt at gøre dette for at forhindre eller stoppe identitetstyveri, før hackeren laver alvorlig skade.
Start med at ændre adgangskoden til de konti, der indeholder dine finansielle aktiver. Gå derefter videre til arbejds- og sociale mediekonti, især hvis disse konti ikke har to-faktor autentificering aktiveret. Du kan også bruge en adgangskodeadministrator til at oprette sikre adgangskoder. Overvej også at aktivere 2FA på din konto, hvis platformen understøtter det.
Fjern dit drev og sikkerhedskopier dine filer
Hvis du har den rette viden, skal du fjerne harddisken fra den inficerede computer og tilslutte den som en ekstern harddisk til en anden computer. Udfør en dybdegående scanning af harddisken for at finde og fjerne alt skadeligt fra den gamle computer. Fortsæt derefter med at kopiere dine vigtige filer til et andet rent, flytbart drev. Hvis du har brug for teknisk hjælp, skal du ikke være bange for at få hjælp.
Tør det gamle drev
Nu hvor du har en sikkerhedskopi af dine vigtige filer, er det tid til at tørre det gamle drev rent. Returner det gamle drev til den inficerede computer og udfør en dyb aftørring.
Foretag en ren installation af Windows
En ren installation sletter alt på din computer. Det lyder som en overdreven foranstaltning, men det er nødvendigt på grund af karakteren af LotL-angreb. Der er ingen måde at sige, hvor mange native programmer en angriber har kompromitteret eller skjult bagdøre i. Det sikreste er at tørre alt rent og ren installer operativsystemet.
Installer sikkerhedsrettelser
Chancerne er, at installationsfilen vil være bagud, når det kommer til sikkerhedsopdateringer. Så efter installation af et rent operativsystem skal du scanne efter og installere opdateringer. Overvej også fjernelse af bloatware-de er ikke dårlige, men det er let at glemme dem, indtil du bemærker, at noget hæver dine systemressourcer.
Sådan forhindres LotL-angreb
Medmindre de har direkte adgang til din computer, har hackere stadig brug for en måde at levere deres nyttelast på. Phishing er den mest almindelige måde, hvorpå hackere finder, hvem de skal hacke. Andre måder omfatter Bluetooth hacks og man-in-the-midten-angreb. På nogen måde er nyttelasten skjult i legitime filer, såsom en Microsoft Office-fil, der indeholder korte, eksekverbare scripts for at undgå opdagelse. Så hvordan forhindrer du disse angreb?
Hold din software opdateret
Nyttelasten i LotL-angreb er stadig afhængig af sårbarheder i et program eller dit operativsystem til at udføre. Hvis du indstiller din enhed og dine programmer til at downloade og installere sikkerhedsopdateringer, så snart de bliver tilgængelige, kan det gøre nyttelasten til en dud.
Indstil softwarebegrænsningspolitikker
At holde din software opdateret er en god start, men cybersikkerhedslandskabet ændrer sig hurtigt. Du kan gå glip af et opdateringsvindue for at dæmpe sårbarheder, før angribere udnytter dem. Som sådan er det bedre at begrænse, hvordan programmer kan udføre kommandoer eller bruge systemressourcer i første omgang.
Du har to muligheder her: at sortliste eller hvidliste programmer. Whitelisting er, når du giver en liste over programmer adgang til systemressourcer som standard. Andre eksisterende og nye programmer er som standard begrænset. Omvendt er blacklisting, når du laver en liste over programmer, der ikke kan få adgang til systemressourcer. På denne måde kan andre eksisterende og nye programmer som standard få adgang til systemressourcer. Begge muligheder har deres fordele og ulemper, så du bliver nødt til det beslutte, hvad der er bedst for dig.
Der er ingen sølvkugle til cyberangreb
Naturen af Living off the Land-angreb betyder, at de fleste mennesker ikke vil vide, at de er blevet hacket, før noget går alvorligt galt. Og selvom du er teknisk kyndig, er der ingen måde at fortælle, om en modstander har infiltreret dit netværk. Det er bedre at undgå cyberangreb i første omgang ved at tage fornuftige forholdsregler.
