Cum să vă protejați de atacurile Living off the Land?

Atacurile care trăiesc din Țara au câștigat acțiune în ultimul timp, așa că putem extrapola în siguranță că hackerii reutiliza strategii și tehnici vechi. Conceptele asociate cu Living off the Land nu sunt deloc noi. Instrumentele de sistem au fost utilizate în mod obișnuit ca uși din spate, iar vulnerabilitățile cunoscute au fost profitate în sisteme.

Atacurile Living off the Land (LotL) sunt incredibil de greu de apărat, deoarece includ uneori atacuri fără fișier ca subset. Alteori, hackerii exploatează instrumente cu dublă utilizare și memorie, care este o combinație mortală pe măsură ce devine. În acest ghid, intenționăm să vă spunem atât cât trebuie să știți despre atacurile Living off the Land și despre cum vă puteți proteja pe dumneavoastră sau organizația de acestea.

Ce sunt atacurile Living off the Land?

Atacurile Living off the Land sunt atacuri în care atacatorii folosesc instrumente deja instalate sau existente pe computerele victimelor pentru a-și spori mijloacele (fura informații sau bani, prelua sisteme și așa mai departe). Astfel de atacuri sunt unice prin faptul că hackerii implicați nu folosesc programe rău intenționate, pe care programele de aplicații de securitate sunt programate să le caute. Deoarece atacatorii folosesc instrumente obișnuite sau chiar scripturi simple, detectarea amenințărilor devine foarte dificilă.

În atacurile fără fișiere, de exemplu, infractorii cibernetici sunt capabili să opereze în memorie volatilă, în părți corespunzătoare PowerShell și WMI. În astfel de scenarii, antivirusurile și aplicațiile anti-malware nu reușesc să detecteze și să găsească amenințările - deoarece nici măcar intrările lor nu sunt stocate în jurnale. La urma urmei, foarte puține fișiere (sau niciun fișier) sunt create în timpul atacului.

Atacatorii au suficiente motive pentru a rămâne fără fișiere. Probabil și-au dat seama că, cu cât este mai puțin numărul de fișiere care sunt create, cu atât sunt mai mici șansele ca amenințările să fie detectate de utilitățile de securitate. Și în cea mai mare parte, atacatorii au dreptate. Aplicațiile de securitate se luptă adesea să detecteze atacurile Living off the Land până când devine prea târziu, deoarece nu știu la ce să aibă grijă în primul rând.

Atacurile LotL nu implică programe malware, dar atacatorii (dacă reușesc cu ele) au suficient timp pentru a rămâne pe computerele compromise în zonele în care nu pot fi detectați. Și, în timp, atacatorii au în cele din urmă oportunități de a se infiltra în componente sensibile și de a distruge date sau operațiuni (dacă aleg acest lucru).

Poate ați auzit de atacurile Petya/NotPetya, care au zguduit lumea cândva în 2017. Victimele acestor atacuri (persoane și organizații) nu le-au văzut niciodată venind, deoarece atacatorii au intrat în sistemele lor prin programe de încredere, care nu au stârnit suspiciuni, și apoi a injectat acele aplicații cu cod rău intenționat. Sistemele tradiționale de protecție au eșuat; apărarea lor nu a fost declanșată de utilizarea neobișnuită a unui software aparent de încredere.

Cu tehnicile Living off the Land, infractorii cibernetici pot intra fără complicații în sistemele IT și pot petrece mult timp în acestea, fără a declanșa nicio alarmă sau a stârni suspiciuni. Prin urmare, având în vedere circumstanțele care definesc astfel de atacuri, experților în securitate le este greu să identifice sursa atacului. Mulți criminali consideră că tactica de a trăi în afara pământului este metoda ideală pentru executarea atacurilor.

Cum să fii în siguranță de atacurile Living off the Land (sfaturi pentru utilizatorii obișnuiți sau persoane fizice)

Luând măsurile de precauție necesare și fiind proactiv, puteți reduce șansele ca computerele sau rețelele dvs. să fie expuse infractorilor cibernetici prin tactici LotL.

1. Monitorizați sau verificați întotdeauna utilizarea utilităților cu dublă utilizare în rețelele dvs.

2. Folosiți lista albă a aplicațiilor acolo unde este disponibilă sau aplicabilă.

3. Când primiți e-mailuri neașteptate sau suspecte, trebuie să fiți precaut. Întotdeauna este mai bine să nu faceți clic pe nimic (linkuri sau atașamente) în astfel de mesaje.

4. Descărcați și instalați întotdeauna actualizări pentru toate aplicațiile (programele) și sistemele de operare (Windows, de exemplu).

5. Fiți atenți când utilizați atașamentele Microsoft Office care necesită să activați macrocomenzi. Este mai bine să nu folosiți astfel de atașamente în primul rând - dacă vă puteți permite să nu le folosiți.

6. Configurați funcțiile avansate de securitate acolo unde este posibil. Prin funcții avansate de securitate, înțelegem autentificarea cu doi factori (2FA), notificări sau solicitări de conectare și așa mai departe.

7. Utilizați parole unice puternice pentru toate conturile și profilurile dvs. (pe rețele sau platforme). Obțineți un manager de parole – dacă aveți nevoie de unul care să vă ajute să vă amintiți toate parolele.

8. Nu uitați întotdeauna să vă deconectați profilul sau contul din rețele când ați terminat cu sesiunea.

Cum să evitați atacurile Living off the Land (sfaturi pentru organizații și afaceri)

Întrucât tacticile Living off the Land constituie unele dintre cele mai sofisticate tehnici de hacking, ele reprezintă un nivel mare de provocare pentru identificarea și evitarea organizațiilor. Cu toate acestea, există încă moduri în care companiile pot reduce riscurile unor astfel de atacuri (sau pot atenua efectele unor astfel de atacuri – dacă acestea apar vreodată).

1. Menține o bună igienă cibernetică:

Acest sfat poate părea simplu sau de bază atunci când este luat la valoarea nominală, dar este probabil cel mai important din lot. Majoritatea atacurilor cibernetice din istorie – inclusiv cele în care au fost folosite tactici LotL – au avut succes din cauza neglijenței sau a lipsei de practici de securitate. Multe firme nu se deranjează să actualizeze sau să corecteze instrumentele sau programele pe care le folosesc. Software-ul are de obicei nevoie de corecții și actualizări pentru a sigila vulnerabilitățile și găurile de securitate.

Când patch-urile sau actualizările nu sunt instalate, ușa este lăsată deschisă pentru ca actorii amenințărilor să găsească vulnerabilități și să profite de ele. Organizațiile au datoria să se asigure că păstrează un inventar al aplicațiilor. În acest fel, ei ajung să identifice programe învechite și nepatchate și chiar sisteme de operare; ei știu, de asemenea, când trebuie să îndeplinească sarcinile esențiale de actualizare și cum să respecte programul.

În plus, personalul ar trebui să fie instruit în domeniul securității. Depășește doar învățarea unei persoane să nu deschidă e-mailuri de phishing. În mod ideal, lucrătorii ar trebui să învețe cum funcționează facilitățile și codul Windows încorporat. În acest fel, ajung să detecteze anomalii sau inconsecvențe în comportament, activitate rău intenționată și aplicații sau scripturi suspecte care rulează în fundal și încearcă să evite detectarea. Personalul cu cunoștințe bune despre activitățile de fundal Windows este, în general, cu un pas înaintea criminalilor cibernetici obișnuiți.

2. Configurați drepturile și permisiunile de acces adecvate:

De exemplu, un angajat care face clic pe un link rău intenționat dintr-un e-mail nu ar trebui să aibă ca rezultat neapărat ca programul rău intenționat să ajungă în sistemul angajatului. Sistemele ar trebui proiectate astfel încât, în scenariul descris, programul rău intenționat să circule prin rețea și să ajungă pe alt sistem. În acest caz, putem spune că rețeaua a fost segmentată suficient de bine pentru a ne asigura că aplicațiile terțe și utilizatorii obișnuiți au protocoale de acces stricte.

Importanța vârfului merită cât mai multe evidențieri. Utilizarea protocoalelor solide cu privire la drepturile de acces și privilegiile oferite lucrătorilor poate contribui în mare măsură la prevenirea compromisului sistemelor dvs.; poate fi diferența dintre un atac LotL de succes și unul care nu duce nicăieri.

3. Folosiți o strategie dedicată de vânătoare a amenințărilor:

Când îi convingeți pe vânătorii de amenințări să lucreze împreună pentru a găsi diferite forme de amenințări, șansele de detectare a amenințărilor cresc semnificativ. Cele mai bune practici de securitate impun firmelor (în special organizațiilor mari) să angajeze vânători de amenințări dedicați și să le pună să treacă prin diferite segmente ale infrastructurii lor IT pentru a verifica dacă există chiar și semne slabe ale celor mai mortale sau sofisticate atacuri.

Dacă afacerea dvs. este relativ mică sau dacă nu vă permiteți să aveți o echipă internă de vânătoare de amenințări, atunci veți face bine să vă externalizați nevoile unei firme de vânătoare de amenințări sau unui serviciu similar de management al securității. Este posibil să găsiți alte organizații sau echipe de liber profesioniști care vor fi interesați să umple acel gol critic. Oricum ar fi, atâta timp cât operațiunile de vânătoare de amenințări sunt efectuate, totul este bine.

4. Configurați detectarea și răspunsul punctului final (EDR):

Eșecul tăcut este un termen important atunci când vine vorba de a evita atacurile cibernetice. Eșecul silențios se referă la un scenariu sau o configurație în care sistemul de securitate sau de apărare dedicat nu reușește să identifice și să se apere împotriva unui atac cibernetic și nicio alarmă nu se declanșează după ce a avut loc atacul.

Luați în considerare această paralelă cu evenimentul proiectat: dacă malware-ul fără fișiere reușește cumva să treacă de straturile dvs. de protecție și să obțină acces la rețeaua dvs., este posibil să rămână în sistemul dvs. pentru o lungă perioadă de timp, încercând să analizeze întregul sistem pentru a se pregăti pentru un sistem mai mare. atac.

În acest scop, pentru a depăși problema în vedere, trebuie să configurați un sistem solid de detectare și răspuns la punctele finale (EDR). Cu un sistem EDR bun, veți putea să descoperiți și să izolați elementele suspecte existente la punctele finale și chiar să le eliminați sau să scăpați de ele.

5. Evaluează evenimentele și scenariile când ești piratat (dacă ești piratat):

Dacă mașinile dvs. sunt sparte sau dacă rețeaua este compromisă, veți face bine să examinați evenimentele premergătoare atacului. Vă sfătuim să aruncați o privire asupra fișierelor și programelor care au jucat un rol major în a ajuta atacatorii să reușească.

Puteți angaja analiști de securitate cibernetică și le puteți cere să se concentreze pe instrumentele și sistemele pe care le pot folosi pentru a evalua atacurile istorice. Majoritatea scenariilor în care firmele sunt victime ale atacurilor sunt caracterizate prin chei de registry suspecte și fișiere de ieșire neobișnuite, precum și identificarea amenințărilor active sau încă existente.

După ce descoperiți unele dintre fișierele afectate sau alte indicii, veți face bine să le analizați în detaliu. În mod ideal, ar trebui să încercați să vă dați seama unde au mers prost lucrurile, ce ar fi trebuit făcut mai bine și așa mai departe. În acest fel, veți afla mai multe și obțineți informații valoroase, ceea ce înseamnă că veți putea umple golurile din strategia dvs. de securitate pentru a preveni viitoarele atacuri LotL.

RECOMANDAT

Protejați PC-ul de amenințări cu Anti-Malware

Verificați computerul dacă nu există programe malware pe care antivirusul dvs. le poate rata și eliminați amenințările în siguranță cu Auslogics Anti-Malware

Auslogics Anti-Malware este un produs al Auslogics, dezvoltator de aplicații Microsoft Silver certificat

DESCARCĂ ACUM

BACSIS

Securitatea este tema principală din acest ghid, așa că nu vom avea o oportunitate mai bună de a vă spune despre o propunere excelentă. Dacă doriți să îmbunătățiți securitatea computerelor sau rețelelor dvs., atunci poate doriți să obțineți Auslogics Anti-Malware. Cu acest utilitar de protecție de primă clasă, puteți să vă îmbunătățiți configurația actuală de securitate, care ar putea să nu fie suficient de dinamică pentru a face față mai multor amenințări.

În lupta împotriva programelor rău intenționate, îmbunătățirile sunt întotdeauna binevenite. Nu îți poți da seama niciodată când ceva trece peste aplicația ta de securitate actuală sau, poate, nici măcar nu folosești una. De asemenea, nu puteți spune cu siguranță că computerul dvs. nu este compromis sau infectat în prezent. În orice caz, vei face bine să descărcați și să rulați aplicația recomandată pentru a vă oferi o șansă mai mare (decât înainte) de a rămâne în siguranță.