.
Na maioria dos ataques cibernéticos, o malware infecta o computador da vítima e atua como base do invasor. Encontrar e remover esta docking station é relativamente fácil com antimalware. Mas há outro método de ataque em que o cibercriminoso não precisa instalar malware.
Em vez disso, um invasor executa um script que usa os recursos do dispositivo para o ataque cibernético. E o pior de tudo, um ataque Living off the Land (LotL) pode passar despercebido por um longo tempo. No entanto, é possível prevenir, encontrar e neutralizar esses ataques.
O que é um ataque LotL?
Um ataque LotL é um tipo de ataque sem arquivo em que um hacker usa os programas que já estão em um dispositivo em vez de usar malware. Esse método de usar programas nativos é mais sutil e torna a descoberta do ataque menos provável.
Alguns programas nativos que os hackers costumam usar para ataques LotL incluem o console de linha de comando, o PowerShell, o console de registro do Windows e a linha de comando do Windows Management Instrumentation. Os hackers também usam hosts de script baseados em Windows e baseados em console (WScript.exe e CScript.exe). As ferramentas vêm com todos os computadores Windows e são necessárias para executar tarefas administrativas normais.
Como os ataques LotL acontecem?
Embora os ataques LotL não tenham arquivos, os hackers ainda contam com truques familiares de engenharia social para encontrar quem visar. Muitos ataques acontecem quando um usuário visita um site não seguro, abre um e-mail de phishing ou usa uma unidade USB infectada. Esses sites, e-mails ou dispositivos de mídia contêm o kit de ataque que carrega o script sem arquivo.
Na próxima etapa do hacking, o kit verifica os programas do sistema em busca de vulnerabilidades e executa o script para comprometer os programas vulneráveis. A partir daqui, o invasor pode acessar remotamente o computador e roubar dados ou criar backdoors de vulnerabilidade usando apenas programas do sistema.
O que fazer se você for vítima de um ataque que vive da terra
Como os ataques LotL usam programas nativos, seu antivírus pode não detectar o ataque. Se você for um usuário avançado do Windows ou tiver experiência em tecnologia, poderá usar a auditoria de linha de comando para detectar invasores e removê-los. Nesse caso, você estará procurando por logs de processo que pareçam suspeitos. Comece com processos de auditoria com letras e números aleatórios; comandos de gerenciamento de usuários em lugares estranhos; execuções de scripts suspeitos; conexões com URLs ou endereços IP suspeitos; e portos abertos e vulneráveis.
Desligue o Wi-Fi
Se você confia no antimalware para a proteção do seu dispositivo como a maioria das pessoas, pode não perceber que o dano foi causado até muito mais tarde. Se você tiver evidências de que foi hackeado, a primeira coisa a fazer é desconectar seu computador da Internet. Dessa forma, o hacker não pode se comunicar com o dispositivo. Você também deve desconectar o dispositivo infectado de outros dispositivos se ele fizer parte de uma rede mais ampla.
No entanto, desligar o seu Wi-Fi e isolar o dispositivo infectado não é suficiente. Então tente desligar o roteador e desconectar os cabos ethernet. Você também pode precisar desligar o dispositivo enquanto faz o próximo passo para gerenciar o ataque.
Redefinir senhas de contas
Você precisará presumir que suas contas online foram comprometidas e alterá-las. Fazer isso é importante para prevenir ou impedir o roubo de identidade antes que o hacker cause sérios danos.
Comece alterando a senha das contas que mantêm seus ativos financeiros. Em seguida, passe para as contas de trabalho e de mídia social, especialmente se essas contas não tiverem a autenticação de dois fatores ativada. Você também pode usar um gerenciador de senhas para criar senhas seguras. Além disso, considere ativar o 2FA em sua conta se a plataforma for compatível.
Remova sua unidade e faça backup de seus arquivos
Se você tiver o conhecimento adequado, remova o disco rígido do computador infectado e conecte-o como um disco rígido externo a um computador diferente. Execute uma verificação detalhada do disco rígido para localizar e remover qualquer coisa maliciosa do computador antigo. Em seguida, copie seus arquivos importantes para uma unidade limpa e removível diferente. Se você precisar de ajuda técnica, não tenha medo de obter assistência.
Limpe a unidade antiga
Agora que você tem um backup de seus arquivos importantes, é hora de limpar a unidade antiga. Retorne a unidade antiga ao computador infectado e execute uma limpeza profunda.
Faça uma instalação limpa do Windows
Uma instalação limpa limpa tudo em seu computador. Parece uma medida exagerada, mas é necessária devido à natureza dos ataques LotL. Não há como saber em quantos programas nativos um invasor comprometeu ou ocultou backdoors. A aposta mais segura é limpar tudo e instalar o sistema operacional.
Instalar patches de segurança
As probabilidades são de que o arquivo de instalação estará atrasado quando se trata de atualizações de segurança. Portanto, depois de instalar um sistema operacional limpo, verifique e instale as atualizações. Além disso, considere remover bloatware – eles não são ruins, mas é fácil esquecê-los até você perceber que algo está sobrecarregando os recursos do sistema.
Como prevenir ataques LotL
A menos que tenham acesso direto ao seu computador, os hackers ainda precisam de uma maneira de entregar sua carga útil. Phishing é a maneira mais comum de hackers encontrarem quem hackear. Outras maneiras incluem hacks Bluetooth e ataques man-in-the-middle. De qualquer forma, a carga útil é disfarçada em arquivos legítimos, como um arquivo do Microsoft Office contendo scripts executáveis curtos para evitar a detecção. Então, como você evita esses ataques?
Mantenha seu software atualizado
A carga útil em ataques LotL ainda depende de vulnerabilidades em um programa ou em seu sistema operacional para ser executado. Configurar seu dispositivo e programas para baixar e instalar atualizações de segurança assim que estiverem disponíveis pode transformar a carga útil em um fracasso.
Definir políticas de restrição de software
Manter seu software atualizado é um bom começo, mas o cenário de segurança cibernética muda rapidamente. Você pode perder uma janela de atualização para reprimir vulnerabilidades antes que os invasores as explorem. Como tal, é melhor restringir como os programas podem executar comandos ou usar recursos do sistema em primeiro lugar.
Você tem duas opções aqui: colocar programas na lista negra ou na lista branca. A lista de permissões é quando você concede a uma lista de programas acesso aos recursos do sistema por padrão. Outros programas existentes e novos são restritos por padrão. Por outro lado, a lista negra é quando você faz uma lista de programas que não podem acessar os recursos do sistema. Dessa forma, outros programas existentes e novos podem acessar os recursos do sistema por padrão. Ambas as opções têm seus prós e contras, então você terá que decidir qual é a melhor para você.
Não há bala de prata para ataques cibernéticos
A natureza dos ataques Living off the Land significa que a maioria das pessoas não saberá que foi hackeada até que algo dê seriamente errado. E mesmo que você seja tecnicamente experiente, não há uma maneira de saber se um adversário se infiltrou em sua rede. É melhor evitar ataques cibernéticos em primeiro lugar, tomando precauções sensatas.
.
