如何防止離地攻擊?

已發表: 2020-05-29

最近一段時間,離地攻擊越來越受到關注,因此我們可以有把握地推斷,黑客現在正在重新使用舊的策略和技術。 與“以土地為生”相關的概念並不新鮮。 系統工具曾經被普遍用作後門,並且在系統中利用了已知的漏洞。

遠離陸地 (LotL) 攻擊非常難以防禦,因為它們有時將無文件攻擊作為一個子集。 其他時候,黑客利用雙重用途和記憶工具,這是一個致命的組合。 在本指南中,我們打算盡可能多地告訴您有關“離地生存”攻擊以及如何保護自己或您的組織免受攻擊的信息。

什麼是離地攻擊?

離地攻擊是攻擊者使用受害者計算機上已經安裝或現有的工具來進一步謀取手段(竊取信息或金錢、接管系統等)的攻擊。 此類攻擊的獨特之處在於,所涉及的黑客不使用惡意程序,而安全應用程序被編程為要注意這些惡意程序。 由於攻擊者使用常規工具甚至簡單的腳本,威脅檢測變得非常困難。

例如,在無文件攻擊中,網絡犯罪分子能夠在易失性內存中操作,部分對應於 PowerShell 和 WMI。 在這種情況下,防病毒和反惡意軟件應用程序無法檢測和發現威脅——因為即使它們的條目也沒有存儲在日誌中。 畢竟,攻擊期間創建的文件很少(或根本沒有文件)。

攻擊者有足夠的理由去無文件。 他們可能發現創建的文件數量越少,安全實用程序檢測到威脅的機會就越低。 在大多數情況下,攻擊者是正確的。 安全應用程序通常很難檢測到離地攻擊,直到為時已晚,因為他們不知道首先要注意什麼。

LotL 攻擊不涉及惡意軟件,但攻擊者(如果成功的話)有足夠的時間在無法檢測到的受感染計算機上駐留。 隨著時間的推移,攻擊者最終有機會滲透敏感組件並破壞數據或操作(如果他們願意)。

也許,您聽說過 Petya/NotPetya 攻擊,它在 2017 年的某個時候震驚了世界。這些攻擊的受害者(個人和組織)從未見過它們,因為攻擊者通過受信任的程序進入他們的系統,這並沒有引起懷疑,然後向這些應用程序注入惡意代碼。 傳統的保護系統失效; 他們的防禦並非因不尋常地使用明顯受信任的軟件而引發。

借助離地生活技術,網絡犯罪分子可以輕鬆進入 IT 系統並在其中花費大量時間,同時不會引發任何警報或引起懷疑。 因此,鑑於定義此類攻擊的環境,安全專家發現很難確定攻擊的來源。 許多犯罪分子認為以陸地為生的戰術是執行攻擊的理想方法。

如何避免離地攻擊(針對普通用戶或個人的提示)

通過採取必要的預防措施並積極主動,您可以減少您的計算機或網絡通過 LotL 策略暴露於網絡犯罪分子的機會。

  1. 始終監視或檢查網絡內雙重用途實用程序的使用情況。
  1. 在可用或適用的情況下使用應用程序白名單。
  1. 當您收到意外或可疑的電子郵件時,您必須謹慎行事。 最好不要點擊此類消息中的任何內容(鏈接或附件)。
  1. 始終為您的所有應用程序(程序)和操作系統(例如 Windows)下載和安裝更新。
  1. 使用需要啟用宏的 Microsoft Office 附件時要小心。 你最好不要一開始就使用這些附件——如果你負擔得起不使用它們的話。
  1. 盡可能配置高級安全功能。 高級安全功能是指雙因素身份驗證 (2FA)、登錄通知或提示等。
  1. 為您的所有帳戶和個人資料(跨網絡或平台)使用強大的唯一密碼。 找一個密碼管理器——如果您需要一個來幫助您記住所有密碼。
  1. 完成會話後,請務必記住在網絡之外簽署您的個人資料或帳戶。

如何避免離地攻擊(組織和企業的提示)

由於遠離陸地的策略構成了一些最複雜的黑客技術,因此它們對組織的識別和防範構成了巨大的挑戰。 儘管如此,公司仍有辦法降低此類攻擊的風險(或減輕此類攻擊的影響——如果它們發生的話)。

  1. 保持良好的網絡衛生:

從表面上看,這個提示可能看起來很簡單或基本,但它可能是最重要的。 歷史上的大多數網絡攻擊——包括那些使用 LotL 策略的攻擊——都是由於疏忽或缺乏安全實踐而成功的。 許多公司不費心更新或修補他們使用的工具或程序。 軟件通常需要補丁和更新來密封漏洞和安全漏洞。

當未安裝補丁或更新時,威脅行為者發現漏洞並利用它們的大門是敞開的。 組織有責任確保他們保留一份申請清單。 通過這種方式,他們可以識別過時和未打補丁的程序甚至操作系統; 他們還知道何時必須執行基本更新任務以及如何按時完成。

此外,應對員工進行安全意識培訓。 它不僅僅是教個人不要打開網絡釣魚電子郵件。 理想情況下,員工應該了解內置的 Windows 設施和代碼是如何工作的。 通過這種方式,他們可以發現異常或不一致的行為、惡意活動以及在後台運行並試圖逃避檢測的可疑應用程序或腳本。 熟悉 Windows 後台活動的員工通常比常規網絡犯罪分子領先一步。

  1. 配置適當的訪問權限和權限:

例如,員工點擊電子郵件中的惡意鏈接不一定會導致惡意程序登陸員工的系統。 系統應該被設計成在所描述的場景中,惡意程序通過網絡傳播並登陸其他系統。 在這種情況下,我們可以說網絡被分割得足夠好,以確保第三方應用程序和普通用戶具有嚴格的訪問協議。

提示的重要性值得盡可能多的強調。 使用有關提供給工作人員的訪問權限和特權的可靠協議可以大大防止您的系統受到損害; 這可能是成功的 LotL 攻擊和無處可去的攻擊之間的區別。

  1. 採用專門的威脅搜尋策略:

當您讓威脅獵手一起尋找不同形式的威脅時,威脅檢測的機會就會顯著增加。 最佳安全實踐要求公司(尤其是大型組織)僱用專門的威脅獵手,並讓他們檢查其 IT 基礎設施的不同部分,以檢查最致命或最複雜的攻擊的微弱跡象。

如果您的企業規模相對較小,或者如果您負擔不起內部的威脅搜尋團隊,那麼您最好將您的需求外包給威脅搜尋公司或類似的安全管理服務。 您可能會找到其他有興趣填補這一關鍵空白的組織或自由職業者團隊。 無論哪種方式,只要進行威脅搜尋行動,一切都很好。

  1. 配置端點檢測和響應 (EDR):

靜默失敗是抵禦網絡攻擊的一個重要術語。 靜默故障是指專用安全或防禦系統無法識別和防禦網絡攻擊並且攻擊發生後沒有警報響起的場景或設置。

考慮與預計事件平行的情況:如果無文件惡意軟件以某種方式設法越過您的保護層並訪問您的網絡,它可能會在您的系統中停留很長時間,試圖分析整個系統以準備更大的攻擊。攻擊。

為此,要克服眼前的問題,您必須建立一個可靠的端點檢測和響應 (EDR) 系統。 借助良好的 EDR 系統,您將能夠找出並隔離端點上存在的可疑項目,甚至消除或擺脫它們。

  1. 當您被黑客入侵時評估事件和場景(如果您被黑客入侵):

如果您的機器被黑客入侵或您的網絡受到威脅,您最好檢查攻擊累積中的事件。 我們建議您查看在幫助攻擊者成功方面發揮重要作用的文件和程序。

您可以聘請網絡安全分析師並要求他們專注於他們可以用來衡量歷史攻擊的工具和系統。 公司成為攻擊受害者的大多數情況的特點是可疑的註冊表項和異常的輸出文件,以及對活動或仍然存在的威脅的識別。

在發現一些受影響的文件或其他線索後,您最好徹底分析它們。 理想情況下,您應該嘗試找出哪裡出了問題,哪些地方應該做得更好,等等。 通過這種方式,您可以了解更多信息並獲得有價值的見解,這意味著您將能夠填補安全策略中的空白,以防止未來的 LotL 攻擊。

受到推崇的

使用反惡意軟件保護 PC 免受威脅

檢查您的 PC 是否存在您的防病毒軟件可能遺漏的惡意軟件,並使用 Auslogics Anti-Malware 安全刪除威脅

Auslogics Anti-Malware 是 Auslogics 的產品,獲得了 Microsoft Silver Application Developer 認證
現在下載

小費

安全性是本指南的主題,因此我們不會有更好的機會向您介紹一個出色的提議。 如果您希望加強計算機或網絡的安全性,那麼您可能需要獲取 Auslogics Anti-Malware。 使用這款一流的保護實用程序,您可以改進當前的安全設置,該設置可能不夠動態,無法應對多種威脅。

在與惡意程序的鬥爭中,總是歡迎改進。 您永遠無法判斷某件事何時通過了您當前的安全應用程序,或者您甚至可能沒有使用任何安全應用程序。 您也不能肯定地說您的計算機當前沒有受到威脅或感染。 無論如何,您最好下載並運行推薦的應用程序,讓自己(比以前)有更好的機會保持安全。