I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
Nella maggior parte degli attacchi informatici, il malware infetta il computer della vittima e funge da docking station dell'aggressore. Trovare e rimuovere questa docking station è relativamente facile con l'antimalware. Ma esiste un altro metodo di attacco in cui il criminale informatico non ha bisogno di installare malware.
Invece, un utente malintenzionato esegue uno script che utilizza le risorse sul dispositivo per l'attacco informatico. E la cosa peggiore è che un attacco Living off the Land (LotL) può passare inosservato per molto tempo. Tuttavia, è possibile prevenire, trovare e neutralizzare questi attacchi.
Cos'è un attacco LotL?
Un attacco LofL è una sorta di attacco senza file in cui un hacker utilizza i programmi già presenti su un dispositivo invece di utilizzare malware. Questo metodo di utilizzo dei programmi nativi è più sottile e rende meno probabile la scoperta dell'attacco.
Alcuni programmi nativi utilizzati spesso dagli hacker per gli attacchi LotL includono la console della riga di comando, PowerShell, la console del registro di Windows e la riga di comando di Strumentazione gestione Windows. Gli hacker utilizzano anche host di script basati su Windows e console (WScript.exe e CScript.exe). Gli strumenti vengono forniti con ogni computer Windows e sono necessari per eseguire le normali attività amministrative.
Come avvengono gli attacchi LotL?
Sebbene gli attacchi LotL siano privi di file, gli hacker fanno ancora affidamento su trucchi familiari di ingegneria sociale per trovare chi prendere di mira. Molti attacchi si verificano quando un utente visita un sito Web non sicuro, apre un'e-mail di phishing o utilizza un'unità USB infetta. Questi siti Web, e-mail o dispositivi multimediali contengono il kit di attacco contenente lo script senza file.
Nel prossimo fase di hacking, il kit esegue la scansione dei programmi di sistema alla ricerca di vulnerabilità ed esegue lo script per compromettere i programmi vulnerabili. Da qui in poi, l'aggressore può accedere in remoto al computer e rubare dati o creare backdoor di vulnerabilità utilizzando solo programmi di sistema.
Cosa fare se sei vittima di un attacco che vive fuori terra
Poiché gli attacchi LotL utilizzano programmi nativi, il tuo antivirus potrebbe non rilevare l'attacco. Se sei un utente esperto di Windows o esperto di tecnologia, puoi utilizzare il controllo della riga di comando per individuare gli aggressori e rimuoverli. In questo caso, cercherai registri di processo che sembrano sospetti. Inizia con processi di auditing con lettere e numeri casuali; comandi di gestione degli utenti in posti strani; esecuzioni di script sospette; connessioni a URL o indirizzi IP sospetti; e porte aperte e vulnerabili.
Spegni il Wi-Fi
Se fai affidamento su antimalware per la protezione del tuo dispositivo come la maggior parte delle persone, potresti non notare che il danno è stato fatto fino a molto tempo dopo. Se hai la prova che sei stato violato, la prima cosa da fare è disconnettere il tuo computer da Internet. In questo modo, l'hacker non può comunicare con il dispositivo. È inoltre necessario disconnettere il dispositivo infetto da altri dispositivi se fa parte di una rete più ampia.
Tuttavia, disattivare il Wi-Fi e isolare il dispositivo infetto non è sufficiente. Quindi prova a spegnere il router e a scollegare i cavi ethernet. Potrebbe anche essere necessario spegnere il dispositivo mentre si esegue l'operazione successiva per gestire l'attacco.
Reimposta le password dell'account
Dovrai presumere che i tuoi account online siano stati compromessi e modificarli. Fare questo è importante per prevenire o fermare il furto di identità prima che l'hacker provochi gravi danni.
Inizia con la modifica della password ai conti che detengono le tue attività finanziarie. Quindi, passa al lavoro e agli account sui social media, soprattutto se questi account non sono disponibili autenticazione a due fattori abilitato. Puoi utilizzare un gestore di password anche per creare password sicure. Inoltre, considera di abilitare 2FA sul tuo account se la piattaforma lo supporta.
Rimuovi l'unità ed esegui il backup dei file
Se hai le giuste conoscenze, rimuovi il disco rigido dal computer infetto e collegalo come disco rigido esterno a un altro computer. Esegui una scansione approfondita del disco rigido per trovare e rimuovere qualsiasi elemento dannoso dal vecchio computer. Quindi, procedi a copiare i tuoi file importanti su un'altra unità pulita e rimovibile. Se hai bisogno di assistenza tecnica, non aver paura di chiedere assistenza.
Pulisci il vecchio disco
Ora che hai un backup dei tuoi file importanti, è il momento di pulire il vecchio disco. Restituisci la vecchia unità al computer infetto ed esegui una cancellazione completa.
Eseguire un'installazione pulita di Windows
Un'installazione pulita cancella tutto sul tuo computer. Sembra una misura esagerata, ma è necessaria a causa della natura degli attacchi LotL. Non c'è modo di sapere in quanti programmi nativi un utente malintenzionato ha compromesso o nascosto backdoor. La scommessa più sicura è pulire tutto e pulire installazione pulita del sistema operativo.
Installa patch di sicurezza
È probabile che il file di installazione rimanga indietro quando si tratta di aggiornamenti di sicurezza. Quindi, dopo aver installato un sistema operativo pulito, cerca e installa gli aggiornamenti. Inoltre, considera rimozione di bloatware— non sono male, ma è facile dimenticarsene finché non si nota che qualcosa sta monopolizzando le risorse del sistema.
Come prevenire gli attacchi LotL
A meno che non abbiano accesso diretto al tuo computer, gli hacker hanno comunque bisogno di un modo per consegnare il loro payload. Il phishing è il modo più comune con cui gli hacker trovano chi hackerare. Altri modi includono Hack Bluetooth e attacchi man-in-the-middle. In ogni caso, il payload è mascherato da file legittimi, come un file di Microsoft Office contenente brevi script eseguibili per evitare il rilevamento. Quindi, come prevenire questi attacchi?
Mantieni aggiornato il tuo software
Il carico utile negli attacchi LotL si basa ancora sulle vulnerabilità di un programma o del sistema operativo da eseguire. L'impostazione del dispositivo e dei programmi per scaricare e installare gli aggiornamenti di sicurezza non appena diventano disponibili può trasformare il payload in un disastro.
Imposta criteri di restrizione software
Mantenere aggiornato il software è un buon inizio, ma il panorama della sicurezza informatica cambia rapidamente. Potresti perdere una finestra di aggiornamento per reprimere le vulnerabilità prima che gli aggressori le sfruttino. Pertanto, è meglio limitare in primo luogo il modo in cui i programmi possono eseguire comandi o utilizzare le risorse di sistema.
Hai due opzioni qui: inserire nella blacklist o nella whitelist i programmi. Il whitelisting è quando si concede a un elenco di programmi l'accesso alle risorse di sistema per impostazione predefinita. Altri programmi esistenti e nuovi sono limitati per impostazione predefinita. Al contrario, la blacklist è quando si crea un elenco di programmi che non possono accedere alle risorse di sistema. In questo modo, altri programmi esistenti e nuovi possono accedere alle risorse di sistema per impostazione predefinita. Entrambe le opzioni hanno i loro pro e contro, quindi dovrai farlo decidere qual è il migliore per te.
Non esiste una pallottola d'argento per gli attacchi informatici
La natura degli attacchi di Living off the Land significa che la maggior parte delle persone non saprà di essere stata violata fino a quando qualcosa non va seriamente storto. E anche se sei tecnicamente esperto, non c'è un modo per sapere se un avversario si è infiltrato nella tua rete. È meglio evitare gli attacchi informatici in primo luogo prendendo precauzioni ragionevoli.
