Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen.
Bij de meeste cyberaanvallen infecteert malware de computer van het slachtoffer en fungeert deze als het dockingstation van de aanvaller. Het vinden en verwijderen van dit dockingstation is relatief eenvoudig met antimalware. Maar er is nog een aanvalsmethode waarbij de cybercrimineel geen malware hoeft te installeren.
In plaats daarvan voert een aanvaller een script uit dat de bronnen op het apparaat gebruikt voor de cyberaanval. En het ergste van alles is dat een Living off the Land (LotL)-aanval lange tijd onopgemerkt kan blijven. Het voorkomen, vinden en neutraliseren van deze aanvallen is echter mogelijk.
Wat is een LotL-aanval?
Een LofL-aanval is een soort bestandsloze aanval waarbij een hacker de programma's gebruikt die al op een apparaat staan in plaats van malware te gebruiken. Deze methode om native programma's te gebruiken is subtieler en maakt het ontdekken van de aanval minder waarschijnlijk.
Sommige native programma's die hackers vaak gebruiken voor LotL-aanvallen zijn de opdrachtregelconsole, PowerShell, de Windows-registerconsole en de opdrachtregel van Windows Management Instrumentation. Hackers gebruiken ook op Windows gebaseerde en consolegebaseerde scripthosts (WScript.exe en CScript.exe). De tools worden bij elke Windows-computer geleverd en zijn nodig voor het uitvoeren van normale administratieve taken.
Hoe gebeuren LotL-aanvallen?
Hoewel LotL-aanvallen bestandsloos zijn, vertrouwen hackers er nog steeds op bekende social engineering-trucs om te vinden op wie je je moet richten. Veel aanvallen vinden plaats wanneer een gebruiker een onveilige website bezoekt, een phishing-e-mail opent of een geïnfecteerde USB-drive gebruikt. Deze websites, e-mails of media-apparaten bevatten de aanvalskit met het bestandsloze script.
In de volgende fase van hacken, scant de kit systeemprogramma's op kwetsbaarheden en voert het script uit om kwetsbare programma's in gevaar te brengen. Vanaf nu kan de aanvaller op afstand toegang krijgen tot de computer en gegevens stelen of achterdeurtjes voor kwetsbaarheden creëren met alleen systeemprogramma's.
Wat te doen als u het slachtoffer bent van een aanval op het land
Omdat LotL-aanvallen native programma's gebruiken, detecteert uw antivirusprogramma de aanval mogelijk niet. Als u een krachtige Windows-gebruiker bent of technisch onderlegd bent, kunt u opdrachtregelcontrole gebruiken om aanvallers op te sporen en te verwijderen. In dit geval zoekt u naar proceslogboeken die verdacht lijken. Begin met controleprocessen met willekeurige letters en cijfers; commando's voor gebruikersbeheer op vreemde plaatsen; verdachte scriptuitvoeringen; verbindingen met verdachte URL's of IP-adressen; en kwetsbare, open poorten.
Schakel wifi uit
Als u, zoals de meeste mensen, vertrouwt op antimalware voor de bescherming van uw apparaat, merkt u mogelijk pas veel later dat er schade is aangericht. Als je bewijs hebt dat je bent gehackt, is het eerste wat je moet doen je computer loskoppelen van internet. Op deze manier kan de hacker niet communiceren met het apparaat. U moet het geïnfecteerde apparaat ook loskoppelen van andere apparaten als het deel uitmaakt van een groter netwerk.
Het is echter niet genoeg om je wifi uit te schakelen en het geïnfecteerde apparaat te isoleren. Dus probeer de router uit te schakelen en de ethernetkabels los te koppelen. Mogelijk moet u het apparaat ook uitschakelen terwijl u het volgende doet om de aanval te beheren.
Accountwachtwoorden resetten
U moet ervan uitgaan dat uw online accounts zijn gecompromitteerd en deze wijzigen. Dit is belangrijk om identiteitsdiefstal te voorkomen of te stoppen voordat de hacker ernstige schade aanricht.
Begin met het wijzigen van het wachtwoord van de rekeningen waarop uw financiële activa staan. Ga vervolgens verder met werk- en sociale media-accounts, vooral als deze accounts dat niet hebben tweefactorauthenticatie ingeschakeld. U kunt ook een wachtwoordbeheerder gebruiken om veilige wachtwoorden te maken. Overweeg ook om 2FA op uw account in te schakelen als het platform dit ondersteunt.
Verwijder uw schijf en maak een back-up van uw bestanden
Als u over de juiste kennis beschikt, verwijdert u de harde schijf van de geïnfecteerde computer en sluit u deze als externe harde schijf aan op een andere computer. Voer een grondige scan van de harde schijf uit om kwaadaardige bestanden van de oude computer te vinden en te verwijderen. Ga vervolgens verder met het kopiëren van uw belangrijke bestanden naar een andere, schone, verwisselbare schijf. Als u technische hulp nodig heeft, wees dan niet bang om hulp te krijgen.
Veeg de oude schijf schoon
Nu je een back-up hebt van je belangrijke bestanden, is het tijd om de oude schijf schoon te vegen. Plaats de oude schijf terug op de geïnfecteerde computer en voer een diepe wisactie uit.
Voer een schone installatie van Windows uit
Een schone installatie wist alles op uw computer. Het klinkt als een overdreven maatregel, maar het is noodzakelijk vanwege de aard van LotL-aanvallen. Er is geen manier om te zeggen hoeveel native programma's een aanvaller heeft gecompromitteerd of achterdeurtjes heeft verborgen. De veiligste gok is om alles schoon en schoon te vegen schone installatie van het besturingssysteem.
Installeer beveiligingspatches
De kans is groot dat het installatiebestand achterloopt als het gaat om beveiligingsupdates. Dus, na het installeren van een schoon besturingssysteem, scan en installeer updates. Overweeg ook bloatware verwijderen- ze zijn niet slecht, maar het is gemakkelijk om ze te vergeten totdat je merkt dat iets je systeembronnen in beslag neemt.
Hoe LotL-aanvallen te voorkomen
Tenzij ze directe toegang tot uw computer hebben, hebben hackers nog steeds een manier nodig om hun payload af te leveren. Phishing is de meest voorkomende manier waarop hackers vinden wie ze kunnen hacken. Andere manieren omvatten Bluetooth-hacks en man-in-the-middle-aanvallen. Op welke manier dan ook, de payload is vermomd in legitieme bestanden, zoals een Microsoft Office-bestand met korte, uitvoerbare scripts om detectie te voorkomen. Dus, hoe voorkom je deze aanvallen?
Houd uw software up-to-date
De payload in LotL-aanvallen is nog steeds afhankelijk van kwetsbaarheden in een programma of uw besturingssysteem om uit te voeren. Als je je apparaat en programma's zo instelt dat ze beveiligingsupdates downloaden en installeren zodra ze beschikbaar zijn, kan de payload een blindganger worden.
Stel softwarebeperkingsbeleid in
Uw software up-to-date houden is een goed begin, maar het cyberbeveiligingslandschap verandert snel. Mogelijk mist u een updatevenster om kwetsbaarheden te onderdrukken voordat aanvallers ze misbruiken. Als zodanig is het beter om in de eerste plaats te beperken hoe programma's opdrachten kunnen uitvoeren of systeembronnen kunnen gebruiken.
Je hebt hier twee opties: programma's op de zwarte lijst zetten of op de witte lijst zetten. Whitelisting is wanneer u een lijst met programma's standaard toegang verleent tot systeembronnen. Andere bestaande en nieuwe programma's zijn standaard beperkt. Omgekeerd is blacklisting wanneer u een lijst maakt met programma's die geen toegang hebben tot systeembronnen. Op deze manier hebben andere bestaande en nieuwe programma's standaard toegang tot systeembronnen. Beide opties hebben hun voor- en nadelen, dus je zult wel moeten beslissen wat het beste is voor jou.
Er is geen zilveren kogel voor cyberaanvallen
De aard van Living off the Land-aanvallen betekent dat de meeste mensen pas weten dat ze zijn gehackt als er iets ernstig misgaat. En zelfs als u technisch onderlegd bent, is er geen enkele manier om te bepalen of een tegenstander uw netwerk heeft geïnfiltreerd. Het is in de eerste plaats beter om cyberaanvallen te voorkomen door verstandige voorzorgsmaatregelen te nemen.
