Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti.
Ve většině kybernetických útoků malware infikuje počítač oběti a funguje jako dokovací stanice útočníka. Nalezení a odstranění této dokovací stanice je s antimalwarem poměrně snadné. Existuje však další způsob útoku, kdy kyberzločinec nemusí instalovat malware.
Místo toho útočník spustí skript, který využívá prostředky na zařízení pro kybernetický útok. A co je nejhorší, útok Living off the Land (LotL) může zůstat dlouho neodhalen. Je však možné těmto útokům zabránit, najít je a neutralizovat.
Co je útok LotL?
Útok LofL je druh útoku bez souborů, kdy hacker místo malwaru používá programy, které jsou již v zařízení. Tento způsob použití nativních programů je jemnější a snižuje pravděpodobnost odhalení útoku.
Některé nativní programy, které hackeři často používají pro útoky LotL, zahrnují konzolu příkazového řádku, PowerShell, konzolu registru Windows a příkazový řádek Windows Management Instrumentation. Hackeři také používají hostitele skriptů založených na systému Windows a konzole (WScript.exe a CScript.exe). Nástroje jsou dodávány s každým počítačem se systémem Windows a jsou nezbytné pro provádění běžných administrativních úloh.
Jak k útokům LotL dochází?
Přestože jsou útoky LotL bez souborů, hackeři stále spoléhají na známé triky sociálního inženýrství najít, na koho se zaměřit. K mnoha útokům dochází, když uživatel navštíví nebezpečnou webovou stránku, otevře phishingový e-mail nebo použije infikovanou jednotku USB. Tyto webové stránky, e-maily nebo mediální zařízení obsahují útočnou sadu nesoucí skript bez souborů.
V dalším fázi hackování, sada prohledá systémové programy na zranitelnost a spustí skript, aby kompromitoval zranitelné programy. Od této chvíle může útočník vzdáleně přistupovat k počítači a krást data nebo vytvářet zadní vrátka zranitelnosti pouze pomocí systémových programů.
Co dělat, když jste obětí útoku žijícího mimo pevninu
Protože útoky LotL používají nativní programy, váš antivirus nemusí útok detekovat. Pokud jste zkušený uživatel Windows nebo jste technicky zdatní, můžete použít auditování z příkazového řádku k odhalení útočníků a jejich odstranění. V tomto případě budete hledat protokoly procesů, které se zdají podezřelé. Začněte s procesy auditu s náhodnými písmeny a čísly; příkazy správy uživatelů na lichých místech; podezřelé spouštění skriptů; připojení k podezřelým URL nebo IP adresám; a zranitelné, otevřené porty.
Vypněte Wi-Fi
Pokud se jako většina lidí spoléháte na antimalware pro ochranu svého zařízení, můžete si všimnout, že došlo k poškození až mnohem později. Pokud máte důkazy, že jste byli napadeni hackery, první věc, kterou musíte udělat, je odpojit počítač od internetu. Tímto způsobem hacker nemůže komunikovat se zařízením. Musíte také odpojit infikované zařízení od ostatních zařízení, pokud je součástí širší sítě.
Vypnutí Wi-Fi a izolace infikovaného zařízení však nestačí. Zkuste tedy router vypnout a odpojit ethernetové kabely. Možná budete také muset vypnout zařízení, když uděláte další věc ke zvládnutí útoku.
Obnovit hesla účtů
Budete muset předpokládat, že vaše online účty byly kompromitovány, a změnit je. To je důležité pro prevenci nebo zastavení krádeže identity dříve, než hacker způsobí vážné škody.
Začněte změnou hesla k účtům, které drží vaše finanční aktiva. Poté přejděte na pracovní účty a účty na sociálních sítích, zejména pokud tyto účty nemají dvoufaktorové ověřování povoleno. K vytvoření bezpečných hesel můžete také použít správce hesel. Zvažte také povolení 2FA na vašem účtu, pokud to platforma podporuje.
Odeberte svůj disk a zálohujte své soubory
Pokud máte správné znalosti, vyjměte pevný disk z infikovaného počítače a připojte jej jako externí pevný disk k jinému počítači. Proveďte hloubkovou kontrolu pevného disku, abyste našli a odstranili cokoli škodlivého ze starého počítače. Poté pokračujte v kopírování důležitých souborů na jiný čistý, vyměnitelný disk. Pokud potřebujete technickou pomoc, nebojte se vyhledat pomoc.
Vymažte starý disk
Nyní, když máte zálohu důležitých souborů, je čas vymazat starý disk. Vraťte starou jednotku do infikovaného počítače a proveďte hloubkové vymazání.
Proveďte čistou instalaci systému Windows
Čistá instalace vymaže vše na vašem počítači. Zní to jako přehnané opatření, ale je to nutné kvůli povaze útoků LotL. Neexistuje způsob, jak zjistit, v kolika nativních programech útočník kompromitoval nebo skryl zadní vrátka. Nejjistější sázkou je otřít vše dočista a čistá instalace operačního systému.
Nainstalujte bezpečnostní záplaty
Je pravděpodobné, že instalační soubor bude pozadu, pokud jde o aktualizace zabezpečení. Po instalaci čistého operačního systému tedy vyhledejte a nainstalujte aktualizace. Také zvažte odstranění bloatware– nejsou špatné, ale je snadné na ně zapomenout, dokud si nevšimnete, že něco zatěžuje vaše systémové prostředky.
Jak zabránit útokům LotL
Pokud hackeři nemají přímý přístup k vašemu počítači, stále potřebují způsob, jak doručit svůj náklad. Phishing je nejběžnějším způsobem, jak hackeři zjišťují, koho hacknout. Mezi další způsoby patří Bluetooth hacky a útoky typu man-in-the-middle. V každém případě je užitečné zatížení maskováno v legitimních souborech, jako je soubor Microsoft Office obsahující krátké spustitelné skripty, aby se zabránilo detekci. Jak tedy těmto útokům zabránit?
Udržujte svůj software aktualizovaný
Užitečná zátěž v útocích LotL stále závisí na zranitelnostech v programu nebo vašem operačním systému, které se mají spustit. Nastavení zařízení a programů tak, aby si stahovaly a instalovaly aktualizace zabezpečení, jakmile budou k dispozici, může proměnit užitečné zatížení v blábol.
Nastavte zásady omezení softwaru
Udržovat svůj software aktualizovaný je dobrý začátek, ale prostředí kybernetické bezpečnosti se rychle mění. Může vám uniknout aktualizační okno k potlačení zranitelností dříve, než je útočníci zneužijí. Proto je lepší omezit, jak mohou programy spouštět příkazy nebo využívat systémové prostředky.
Zde máte dvě možnosti: přidat programy na černou listinu nebo na bílou listinu. Bílá listina je, když ve výchozím nastavení udělíte seznamu programů přístup k systémovým prostředkům. Ostatní stávající a nové programy jsou ve výchozím nastavení omezeny. Naopak blacklist je, když vytvoříte seznam programů, které nemají přístup k systémovým prostředkům. Tímto způsobem mohou ve výchozím nastavení přistupovat k systémovým prostředkům další stávající i nové programy. Obě možnosti mají své pro a proti, takže budete muset rozhodnout, co je nejlepší pro tebe.
Neexistuje žádná stříbrná kulka pro kybernetické útoky
Povaha útoků Living off the Land znamená, že většina lidí nebude vědět, že byli napadeni, dokud se něco vážně nepokazí. A i když jste technicky zdatní, neexistuje jediný způsob, jak zjistit, zda do vaší sítě pronikl protivník. Kybernetickým útokům je lepší se v první řadě vyhnout rozumnými opatřeními.
