קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף.

ברוב התקפות הסייבר, תוכנות זדוניות מדביקות את המחשב של הקורבן ומתפקדות כתחנת העגינה של התוקף. איתור והסרה של תחנת עגינה זו קל יחסית עם אנטי תוכנות זדוניות. אבל יש עוד שיטת התקפה שבה פושע הסייבר לא צריך להתקין תוכנות זדוניות.

במקום זאת, תוקף מבצע סקריפט שמשתמש במשאבים במכשיר עבור מתקפת הסייבר. והגרוע מכל, התקפת Living off the Land (LotL) יכולה להישאר ללא זיהוי במשך זמן רב. עם זאת, ניתן למנוע, למצוא ולנטרל התקפות אלו.

מהי התקפת LotL?

מתקפת LofL היא סוג של התקפה ללא קבצים שבה האקר משתמש בתוכנות שכבר נמצאות במכשיר במקום להשתמש בתוכנה זדונית. שיטה זו של שימוש בתוכנות מקוריות היא עדינה יותר והופכת את גילוי ההתקפה פחות סביר.

כמה תוכניות מקוריות שהאקרים משתמשים לעתים קרובות בהתקפות LotL כוללות את קונסולת שורת הפקודה, PowerShell, מסוף הרישום של Windows ושורת הפקודה של Windows Management Instrumentation. האקרים משתמשים גם במארחי סקריפט מבוססי Windows וקונסולות (WScript.exe ו-CScript.exe). הכלים מגיעים עם כל מחשב Windows והם נחוצים לביצוע משימות ניהול רגילות.

instagram viewer

כיצד מתרחשות התקפות LotL?

למרות שהתקפות LotL הן חסרות קבצים, האקרים עדיין מסתמכים על טריקים מוכרים להנדסה חברתית למצוא למי לכוון. התקפות רבות מתרחשות כאשר משתמש מבקר באתר אינטרנט לא בטוח, פותח הודעת דיוג או משתמש בכונן USB נגוע. אתרי אינטרנט, מיילים או התקני מדיה אלה מכילים את ערכת ההתקפה הנושאת את הסקריפט חסר הקבצים.

בבא שלב הפריצה, הערכה סורקת תוכניות מערכת לאיתור פגיעויות ומבצעת את הסקריפט כדי לסכן תוכניות פגיעות. מכאן ואילך, התוקף יכול לגשת מרחוק למחשב ולגנוב נתונים או ליצור דלתות אחוריות של פגיעות באמצעות תוכנות מערכת בלבד.

מה לעשות אם אתה קורבן להתקפת פרנסה מהקרקע

מכיוון שהתקפות LotL משתמשות בתוכנות מקוריות, ייתכן שהאנטי-וירוס שלך לא יזהה את ההתקפה. אם אתה משתמש חזק של Windows או מתמצא בטכנולוגיה, אתה יכול להשתמש בביקורת שורת הפקודה כדי לרחרח תוקפים ולהסיר אותם. במקרה זה, תחפשו יומני תהליכים שנראים חשודים. התחל עם תהליכי ביקורת עם אותיות ומספרים אקראיים; פקודות ניהול משתמשים במקומות מוזרים; ביצוע תסריטים חשודים; חיבורים לכתובות URL או כתובות IP חשודות; ויציאות פגיעות ופתוחות.

כבה את ה-Wi-Fi

אם אתה מסתמך על אנטי תוכנות זדוניות להגנה על המכשיר שלך כמו רוב האנשים, ייתכן שלא תבחין בנזק שנגרם עד הרבה יותר מאוחר. אם יש לך הוכחות שנפרצת, הדבר הראשון שצריך לעשות הוא לנתק את המחשב מהאינטרנט. בדרך זו, ההאקר לא יכול לתקשר עם המכשיר. עליך גם לנתק את המכשיר הנגוע ממכשירים אחרים אם הוא חלק מרשת רחבה יותר.

עם זאת, כיבוי ה-Wi-Fi ובידוד המכשיר הנגוע אינו מספיק. אז נסה לכבות את הנתב ולנתק את כבלי האתרנט. ייתכן שתצטרך גם לכבות את המכשיר בזמן שאתה עושה את הדבר הבא כדי לנהל את ההתקפה.

אפס סיסמאות חשבון

תצטרך להניח שהחשבונות המקוונים שלך נפגעו ולשנות אותם. פעולה זו חשובה כדי למנוע או לעצור גניבת זהות לפני שההאקר יעשה נזק רציני.

התחל עם שינוי הסיסמה לחשבונות המחזיקים בנכסים הפיננסיים שלך. לאחר מכן, עברו לחשבונות עבודה ומדיה חברתית, במיוחד אם אין לחשבונות אלו אימות דו-גורמי מופעל. אתה יכול להשתמש במנהל סיסמאות גם כדי ליצור סיסמאות מאובטחות. כמו כן, שקול להפעיל את 2FA בחשבונך אם הפלטפורמה תומכת בכך.

הסר את הכונן שלך וגבה את הקבצים שלך

אם יש לך את הידע הנכון, הסר את הכונן הקשיח מהמחשב הנגוע וחבר אותו ככונן קשיח חיצוני למחשב אחר. בצע סריקה מעמיקה של הכונן הקשיח כדי למצוא ולהסיר כל דבר זדוני מהמחשב הישן. לאחר מכן, המשך להעתיק את הקבצים החשובים שלך לכונן נקי ונשלף אחר. אם אתה צריך עזרה טכנית, אל תפחד לקבל עזרה.

נגב את הכונן הישן

כעת, לאחר שיש לך גיבוי של הקבצים החשובים שלך, הגיע הזמן לנקות את הכונן הישן. החזר את הכונן הישן למחשב הנגוע ובצע ניגוב עמוק.

בצע התקנה נקייה של Windows

התקנה נקייה מוחקת הכל במחשב שלך. זה נשמע כמו מדד מוגזם, אבל זה הכרחי בגלל אופי התקפות LotL. אין דרך לדעת בכמה תוכניות מקוריות תוקף התפשר או הסתיר דלתות אחוריות בהן. ההימור הבטוח ביותר הוא לנגב הכל נקי ו התקן נקי את מערכת ההפעלה.

התקן תיקוני אבטחה

רוב הסיכויים שקובץ ההתקנה יהיה מאחור בכל הנוגע לעדכוני אבטחה. לכן, לאחר התקנת מערכת הפעלה נקייה, סרוק והתקן עדכונים. כמו כן, קחו בחשבון הסרת bloatware- הם לא רעים, אבל קל לשכוח מהם עד שאתה מבחין שמשהו פוגע במשאבי המערכת שלך.

כיצד למנוע התקפות LotL

אלא אם כן יש להם גישה ישירה למחשב שלך, האקרים עדיין צריכים דרך לספק את המטען שלהם. פישינג הוא הדרך הנפוצה ביותר שהאקרים מוצאים למי לפרוץ. דרכים אחרות כוללות פריצות בלוטות' והתקפות אדם-באמצע. בכל אופן, המטען מוסווה בקבצים לגיטימיים, כגון קובץ Microsoft Office המכיל סקריפטים קצרים וניתנים להפעלה כדי למנוע זיהוי. אז איך מונעים את ההתקפות האלה?

שמור על התוכנה שלך מעודכנת

המטען בהתקפות LotL עדיין מסתמך על פגיעויות בתוכנית או במערכת ההפעלה שלך לביצוע. הגדרת המכשיר והתוכניות שלך להוריד ולהתקין עדכוני אבטחה ברגע שהם הופכים לזמינים יכולה להפוך את המטען לאבדון.

הגדר מדיניות הגבלת תוכנה

שמירה על עדכון התוכנה שלך היא התחלה טובה, אבל נוף אבטחת הסייבר משתנה במהירות. אתה עלול להחמיץ חלון עדכון כדי לדכא פגיעויות לפני שתוקפים מנצלים אותן. ככזה, עדיף להגביל את האופן שבו תוכניות יכולות לבצע פקודות או להשתמש במשאבי מערכת מלכתחילה.

יש לך כאן שתי אפשרויות: לרשימת תוכניות שחורות או לרשימת היתרים. רשימת היתרים היא כאשר אתה מעניק לרשימה של תוכניות גישה למשאבי מערכת כברירת מחדל. תוכניות קיימות וחדשות אחרות מוגבלות כברירת מחדל. לעומת זאת, רשימה שחורה היא כאשר אתה יוצר רשימה של תוכניות שאינן יכולות לגשת למשאבי מערכת. בדרך זו, תוכניות קיימות וחדשות אחרות יכולות לגשת למשאבי מערכת כברירת מחדל. לשתי האפשרויות יש את היתרונות והחסרונות שלהן, אז תצטרך להחליט מה הכי טוב בשבילך.

אין כדור כסף למתקפות סייבר

האופי של התקפות Living off the Land אומר שרוב האנשים לא יידעו שהם נפרצו עד שמשהו ישתבש בצורה רצינית. וגם אם אתה מתמצא טכנית, אין דרך אחת לדעת אם יריב חדר לרשת שלך. עדיף להימנע ממתקפות סייבר מלכתחילה על ידי נקיטת אמצעי זהירות הגיוניים.