Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision.
I de flesta cyberattacker infekterar skadlig programvara offrets dator och fungerar som angriparens dockningsstation. Att hitta och ta bort denna dockningsstation är relativt enkelt med antimalware. Men det finns en annan attackmetod där cyberbrottslingen inte behöver installera skadlig programvara.
Istället kör en angripare ett skript som använder resurserna på enheten för cyberattacken. Och det värsta av allt, en Living off the Land (LotL)-attack kan förbli oupptäckt under lång tid. Det är dock möjligt att förhindra, hitta och neutralisera dessa attacker.
Vad är en LotL-attack?
En LofL-attack är en sorts fillös attack där en hackare använder de program som redan finns på en enhet istället för att använda skadlig programvara. Denna metod att använda inbyggda program är mer subtil och gör det mindre troligt att upptäcka attacken.
Vissa inbyggda program som hackare ofta använder för LotL-attacker inkluderar kommandoradskonsolen, PowerShell, Windows registerkonsol och kommandoraden för Windows Management Instrumentation. Hackare använder också Windows-baserade och konsolbaserade skriptvärdar (WScript.exe och CScript.exe). Verktygen kommer med alla Windows-datorer och är nödvändiga för att utföra normala administrativa uppgifter.
Hur sker LotL-attacker?
Även om LotL-attacker är fillösa, litar hackare fortfarande på välbekanta sociala ingenjörsknep för att hitta vem du ska rikta in dig på. Många attacker inträffar när en användare besöker en osäker webbplats, öppnar ett nätfiskemeddelande eller använder en infekterad USB-enhet. Dessa webbplatser, e-postmeddelanden eller mediaenheter innehåller attackpaketet som innehåller det fillösa skriptet.
I nästa stadium av hackning, genomsöker satsen systemprogram efter sårbarheter och kör skriptet för att äventyra sårbara program. Från och med nu kan angriparen fjärråtkomst till datorn och stjäla data eller skapa bakdörrar för sårbarheter med endast systemprogram.
Vad du ska göra om du är ett offer för att leva på landattacken
Eftersom LotL-attacker använder inbyggda program kanske ditt antivirusprogram inte upptäcker attacken. Om du är en avancerad Windows-användare eller är tekniskt kunnig kan du använda kommandoradsgranskning för att sniffa upp angripare och ta bort dem. I det här fallet kommer du att leta efter processloggar som verkar misstänkta. Börja med revisionsprocesser med slumpmässiga bokstäver och siffror; kommandon för användarhantering på udda platser; misstänkta skriptavrättningar; anslutningar till misstänkta webbadresser eller IP-adresser; och sårbara, öppna hamnar.
Stäng av Wi-Fi
Om du litar på antimalware för din enhetsskydd som de flesta andra kanske du inte märker att skada har skett förrän långt senare. Om du har bevis på att du har blivit hackad är det första du ska göra att koppla bort din dator från internet. På så sätt kan hackaren inte kommunicera med enheten. Du måste också koppla bort den infekterade enheten från andra enheter om den är en del av ett bredare nätverk.
Det räcker dock inte att stänga av ditt Wi-Fi och isolera den infekterade enheten. Så försök att stänga av routern och koppla bort Ethernet-kablarna. Du kan också behöva stänga av enheten medan du gör nästa sak för att hantera attacken.
Återställ kontolösenord
Du måste anta att dina onlinekonton har äventyrats och ändra dem. Att göra detta är viktigt för att förhindra eller stoppa identitetsstöld innan hackaren gör allvarlig skada.
Börja med att ändra lösenordet till de konton som innehåller dina finansiella tillgångar. Gå sedan vidare till jobb- och sociala medier-konton, särskilt om dessa konton inte har tvåfaktorsautentisering aktiverad. Du kan också använda en lösenordshanterare för att skapa säkra lösenord. Överväg också att aktivera 2FA på ditt konto om plattformen stöder det.
Ta bort din enhet och säkerhetskopiera dina filer
Om du har rätt kunskap, ta bort hårddisken från den infekterade datorn och anslut den som en extern hårddisk till en annan dator. Utför en djupgående skanning av hårddisken för att hitta och ta bort allt skadligt från den gamla datorn. Fortsätt sedan med att kopiera dina viktiga filer till en annan ren, flyttbar enhet. Om du behöver teknisk hjälp, var inte rädd för att få hjälp.
Torka av den gamla enheten
Nu när du har en säkerhetskopia av dina viktiga filer är det dags att rengöra den gamla enheten. Återställ den gamla enheten till den infekterade datorn och utför en djup torka.
Gör en ren installation av Windows
En ren installation torkar allt på din dator. Det låter som en överdriven åtgärd, men det är nödvändigt på grund av LotL-attackernas natur. Det finns inget sätt att säga hur många inbyggda program en angripare har äventyrat eller gömt bakdörrar i. Det säkraste alternativet är att torka allt rent och reninstallera operativsystemet.
Installera säkerhetskorrigeringar
Det är troligt att installationsfilen kommer att ligga bakom när det kommer till säkerhetsuppdateringar. Så efter att ha installerat ett rent operativsystem, skanna efter och installera uppdateringar. Tänk också på ta bort bloatware– de är inte dåliga, men det är lätt att glömma dem tills du märker att något stör dina systemresurser.
Hur man förhindrar LotL-attacker
Om de inte har direkt tillgång till din dator behöver hackare fortfarande ett sätt att leverera sin nyttolast. Nätfiske är det vanligaste sättet för hackare att hitta vem de ska hacka. Andra sätt inkluderar Bluetooth hackar och man-i-mitten-attacker. På något sätt är nyttolasten förtäckt i legitima filer, till exempel en Microsoft Office-fil som innehåller korta, körbara skript för att undvika upptäckt. Så, hur förhindrar du dessa attacker?
Håll din programvara uppdaterad
Nyttolasten i LotL-attacker är fortfarande beroende av sårbarheter i ett program eller ditt operativsystem för att exekvera. Att ställa in din enhet och dina program för att ladda ner och installera säkerhetsuppdateringar så snart de blir tillgängliga kan göra nyttolasten till en dud.
Ställ in policyer för programbegränsning
Att hålla din programvara uppdaterad är en bra början, men cybersäkerhetslandskapet förändras snabbt. Du kan missa ett uppdateringsfönster för att undanröja sårbarheter innan angripare utnyttjar dem. Som sådan är det bättre att begränsa hur program kan köra kommandon eller använda systemresurser i första hand.
Du har två alternativ här: att svartlista eller vitlista program. Vitlistning är när du ger en lista med program tillgång till systemresurser som standard. Andra befintliga och nya program är begränsade som standard. Omvänt är svartlistning när du gör en lista över program som inte kan komma åt systemresurser. På så sätt kan andra befintliga och nya program komma åt systemresurser som standard. Båda alternativen har sina för- och nackdelar, så du måste avgöra vilket som är bäst till dig.
Det finns ingen silverkula för cyberattacker
Living off the Land-attackernas karaktär innebär att de flesta inte kommer att veta att de har blivit hackade förrän något går allvarligt fel. Och även om du är tekniskt kunnig, finns det inget sätt att avgöra om en motståndare har infiltrerat ditt nätverk. Det är bättre att undvika cyberattacker i första hand genom att vidta förnuftiga försiktighetsåtgärder.
