Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon.

I de fleste nettangrep infiserer skadelig programvare offerets datamaskin og fungerer som angriperens dokkingstasjon. Å finne og fjerne denne dokkingstasjonen er relativt enkelt med antimalware. Men det er en annen angrepsmetode der nettkriminelle ikke trenger å installere skadelig programvare.

I stedet kjører en angriper et skript som bruker ressursene på enheten for nettangrepet. Og verst av alt, et Living off the Land (LotL)-angrep kan forbli uoppdaget i lang tid. Det er imidlertid mulig å forhindre, finne og nøytralisere disse angrepene.

Hva er et LotL-angrep?

Et LofL-angrep er et slags filløst angrep der en hacker bruker programmene som allerede er på en enhet i stedet for å bruke skadelig programvare. Denne metoden for å bruke native programmer er mer subtil og gjør det mindre sannsynlig å oppdage angrepet.

Noen innfødte programmer hackere ofte bruker for LotL-angrep inkluderer kommandolinjekonsollen, PowerShell, Windows-registerkonsollen og kommandolinjen for Windows Management Instrumentation. Hackere bruker også Windows-baserte og konsollbaserte skriptverter (WScript.exe og CScript.exe). Verktøyene følger med alle Windows-datamaskiner og er nødvendige for å utføre vanlige administrative oppgaver.

Hvordan skjer LotL-angrep?

Selv om LotL-angrep er filløse, stoler hackere fortsatt på kjente sosiale ingeniørtriks for å finne hvem du skal målrette mot. Mange angrep skjer når en bruker besøker et usikkert nettsted, åpner en phishing-e-post eller bruker en infisert USB-stasjon. Disse nettstedene, e-postene eller medieenhetene inneholder angrepssettet som inneholder det filløse skriptet.

I neste stadium av hacking, skanner settet systemprogrammer for sårbarheter og kjører skriptet for å kompromittere sårbare programmer. Herfra kan angriperen eksternt få tilgang til datamaskinen og stjele data eller lage sårbarhetsbakdører kun ved å bruke systemprogrammer.

Hva du skal gjøre hvis du er et offer for å leve av landangrepet

Fordi LotL-angrep bruker innebygde programmer, kan det hende at antivirusprogrammet ikke oppdager angrepet. Hvis du er en superbruker av Windows eller er teknisk kunnskapsrik, kan du bruke kommandolinjerevisjon for å snuse opp angripere og fjerne dem. I dette tilfellet vil du se etter prosesslogger som virker mistenkelige. Start med revisjonsprosesser med tilfeldige bokstaver og tall; brukerstyringskommandoer på odde steder; mistenkelige skriptutførelser; koblinger til mistenkelige URL-er eller IP-adresser; og sårbare, åpne porter.

Slå av Wi-Fi

Hvis du er avhengig av antimalware for beskyttelse av enheten din, som de fleste andre, kan det hende at du ikke merker skade før mye senere. Hvis du har bevis på at du har blitt hacket, er det første du må gjøre å koble datamaskinen fra internett. På denne måten kan ikke hackeren kommunisere med enheten. Du må også koble den infiserte enheten fra andre enheter hvis den er en del av et bredere nettverk.

Det er imidlertid ikke nok å slå av Wi-Fi og isolere den infiserte enheten. Så prøv å slå av ruteren og koble fra Ethernet-kablene. Du må kanskje også slå av enheten mens du gjør det neste for å håndtere angrepet.

Tilbakestill kontopassord

Du må anta at nettkontoene dine har blitt kompromittert og endre dem. Å gjøre dette er viktig for å forhindre eller stoppe identitetstyveri før hackeren gjør alvorlig skade.

Begynn med å endre passordet til kontoene som inneholder dine finansielle eiendeler. Gå deretter videre til jobb- og sosiale medier-kontoer, spesielt hvis disse kontoene ikke har to-faktor autentisering aktivert. Du kan også bruke en passordbehandler for å lage sikre passord. Vurder også å aktivere 2FA på kontoen din hvis plattformen støtter det.

Fjern stasjonen og sikkerhetskopier filene dine

Hvis du har riktig kunnskap, fjern harddisken fra den infiserte datamaskinen og koble den som en ekstern harddisk til en annen datamaskin. Utfør en grundig skanning av harddisken for å finne og fjerne alt skadelig fra den gamle datamaskinen. Fortsett deretter med å kopiere viktige filer til en annen ren, flyttbar stasjon. Hvis du trenger teknisk hjelp, ikke vær redd for å få hjelp.

Tørk av den gamle stasjonen

Nå som du har en sikkerhetskopi av viktige filer, er det på tide å tørke den gamle stasjonen ren. Returner den gamle stasjonen til den infiserte datamaskinen og utfør en dyp tørking.

Gjør en ren installasjon av Windows

En ren installasjon sletter alt på datamaskinen din. Det høres ut som et overdreven tiltak, men det er nødvendig på grunn av naturen til LotL-angrep. Det er ingen måte å si hvor mange native programmer en angriper har kompromittert eller gjemt bakdører i. Det sikreste alternativet er å tørke alt rent og ren installer operativsystemet.

Installer sikkerhetsoppdateringer

Sjansen er at installasjonsfilen vil ligge bak når det gjelder sikkerhetsoppdateringer. Så, etter å ha installert et rent operativsystem, søk etter og installer oppdateringer. Vurder også fjerning av bloatware– De er ikke dårlige, men det er lett å glemme dem til du legger merke til at noe tærer på systemressursene dine.

Hvordan forhindre LotL-angrep

Med mindre de har direkte tilgang til datamaskinen din, trenger hackere fortsatt en måte å levere nyttelasten på. Phishing er den vanligste måten hackere finner hvem de skal hacke. Andre måter inkluderer Bluetooth hacks og man-in-the-midten-angrep. På noen måte er nyttelasten forkledd i legitime filer, for eksempel en Microsoft Office-fil som inneholder korte, kjørbare skript for å unngå oppdagelse. Så hvordan forhindrer du disse angrepene?

Hold programvaren oppdatert

Nyttelasten i LotL-angrep er fortsatt avhengig av sårbarheter i et program eller operativsystemet ditt for å utføre. Å stille inn enheten og programmene til å laste ned og installere sikkerhetsoppdateringer så snart de blir tilgjengelige, kan gjøre nyttelasten til en dud.

Angi retningslinjer for programvarerestriksjoner

Å holde programvaren oppdatert er en god start, men cybersikkerhetslandskapet endres raskt. Du kan gå glipp av et oppdateringsvindu for å dempe sårbarheter før angripere utnytter dem. Som sådan er det bedre å begrense hvordan programmer kan utføre kommandoer eller bruke systemressurser i utgangspunktet.

Du har to alternativer her: å svarteliste eller hviteliste programmer. Hvitelisting er når du gir en liste over programmer tilgang til systemressurser som standard. Andre eksisterende og nye programmer er begrenset som standard. Omvendt er svartelisting når du lager en liste over programmer som ikke har tilgang til systemressurser. På denne måten kan andre eksisterende og nye programmer få tilgang til systemressurser som standard. Begge alternativene har sine fordeler og ulemper, så du må bestemme hvilken som er best for deg.

Det finnes ingen sølvkule for nettangrep

Naturen til Living off the Land-angrepene betyr at folk flest ikke vil vite at de er blitt hacket før noe går alvorlig galt. Og selv om du er teknisk kunnskapsrik, er det ingen måte å finne ut om en motstander har infiltrert nettverket ditt. Det er bedre å unngå nettangrep i utgangspunktet ved å ta fornuftige forholdsregler.