最近,以陆地为生的攻击日益受到人们的关注,因此我们可以推断出,黑客现在正在重新采用旧的策略和技术。与在陆地上生活有关的概念并不是什么新鲜事物。系统工具曾经被普遍用作后门程序,并且系统中利用了已知的漏洞。
依靠陆地生存(LotL)攻击非常难以防御,因为它们有时包括无文件攻击作为子集。在其他时候,黑客利用双重用途和存储工具,这是致命的组合。在本指南中,我们打算尽可能多地告诉您有关生活在陆地上的攻击以及如何保护自己或组织免受攻击的信息。
什么是“生活在陆地上”的袭击?
以陆地为生的攻击是指攻击者使用受害者计算机上已经安装的工具或现有工具来扩大其手段(窃取信息或金钱,接管系统等)的攻击。此类攻击的独特之处在于,所涉及的黑客不使用恶意程序,这些程序是安全应用程序所关注的。由于攻击者使用常规工具甚至简单的脚本,因此威胁检测变得非常困难。
例如,在无文件攻击中,网络罪犯可以在易失性内存中进行操作,其中某些部分与PowerShell和WMI相对应。在这种情况下,防病毒和反恶意软件应用程序无法检测和发现威胁-因为即使它们的条目也没有存储在日志中。毕竟,在攻击过程中很少创建文件(或根本没有文件)。
攻击者有足够的理由无档案。他们可能发现,创建的文件数量越少,安全实用程序检测到威胁的可能性就越低。在大多数情况下,攻击者是正确的。安全应用程序通常很难检测出“脱离陆地”攻击,直到为时已晚,因为它们首先不知道要注意什么。
LotL攻击不涉及恶意软件,但是攻击者(如果成功的话)有足够的时间停留在无法检测到的受感染计算机上。随着时间的流逝,攻击者最终有机会渗透到敏感组件并破坏数据或操作(如果他们愿意的话)。
也许您听说过Petya / NotPetya攻击,该攻击在2017年的某个时候震惊了世界。这些攻击的受害者(个人和组织)从未看到过它们的出现,因为攻击者通过可信任的程序进入了他们的系统,而这并未引起怀疑,然后向这些应用程序注入恶意代码。传统保护系统失败;他们的防御不是由看似受信任的软件的异常使用引起的。
借助“远离土地生活”技术,网络罪犯可以毫无问题地进入IT系统,并在其中花费大量时间,而不会引起任何警报或引起怀疑。因此,考虑到定义此类攻击的环境,安全专家发现很难确定攻击的来源。许多罪犯将“远离陆地生存”战术视为执行攻击的理想方法。
如何保护免受陆地生活的攻击(针对普通用户或个人的提示)
通过采取必要的预防措施并积极主动,您可以减少通过LotL策略使计算机或网络暴露于网络犯罪分子的机会。
- 始终监视或检查网络内部的双重用途实用程序。
- 在可用或适用的地方使用应用程序白名单。
- 当您收到意外或可疑的电子邮件时,请务必谨慎。最好不要在此类消息中单击任何内容(链接或附件)。
- 始终下载并安装所有应用程序(程序)和操作系统(例如Windows)的更新。
- 使用要求您启用宏的Microsoft Office附件时,请谨慎行事。最好不要一开始就使用此类附件-如果您负担不起不使用它们的话。
- 尽可能配置高级安全功能。所谓的高级安全功能,是指两因素身份验证(2FA),登录通知或提示等。
- 对所有帐户和配置文件(跨网络或平台)使用唯一的强密码。获取密码管理器–如果您需要一个密码管理器来帮助您记住所有密码。
- 完成会话后,请始终记住从网络上注销您的个人资料或帐户。
如何避免“远离土地生存”攻击(组织和企业的提示)
由于“远离陆地生存”策略构成了一些最复杂的黑客技术,因此,对于组织识别和抵制而言,它们构成了很大的挑战。但是,公司仍然可以通过多种方法来降低此类攻击的风险(或减轻此类攻击的影响,如果发生的话)。
保持良好的网络卫生:
当从表面上看时,此技巧可能看起来很简单或基本,但它可能是其中最重要的。历史上的大多数网络攻击(包括采用LotL策略的网络攻击)都是由于疏忽或缺乏安全实践而成功的。许多公司不费心去更新或修补他们使用的工具或程序。软件通常需要修补程序和更新以填补漏洞和安全漏洞。
如果未安装补丁程序或更新,则威胁者可以打开大门,以发现漏洞并加以利用。组织有责任确保保留应用程序清单。这样,他们就可以识别过时和未打补丁的程序,甚至是操作系统。他们还知道何时必须执行基本更新任务以及如何按计划进行。
此外,应对员工进行安全意识方面的培训。不仅教导个人不要打开网络钓鱼电子邮件。理想情况下,工作人员应该学习内置Windows设施和代码的工作方式。这样,他们就可以发现行为,恶意活动以及可疑的应用程序或脚本在后台运行并试图逃避检测的异常或不一致之处。熟悉Windows后台活动的员工通常比常规的网络犯罪分子领先一步。
配置适当的访问权限:
例如,员工点击电子邮件中的恶意链接并不一定会导致恶意程序登陆到员工的系统中。系统的设计应使在描述的场景中,恶意程序跨网络传播并落在其他系统上。在那种情况下,我们可以说网络划分得足够好,可以确保第三方应用程序和常规用户具有严格的访问协议。
提示的重要性应尽可能多地强调。使用有关提供给工作人员的访问权限和特权的可靠协议可以大大防止您的系统受到损害。可能是成功的LotL攻击与失败之间的区别。
采用专门的威胁搜寻策略:
当您让威胁搜寻者共同寻找不同形式的威胁时,威胁检测的机会就会大大增加。最佳安全实践要求公司(尤其是大型组织)聘请专门的威胁猎手,并让他们遍历IT基础架构的不同部分,以检查甚至最致命或最复杂的攻击的微弱迹象。
如果您的企业规模较小,或者您无力承担内部威胁搜寻小组的费用,那么将您的需求外包给威胁搜寻公司或类似的安全管理服务将是您的不二之选。您可能会发现其他组织或自由职业者团队,他们对填补这一关键空白很感兴趣。无论哪种方式,只要执行威胁搜寻操作,一切都很好。
配置端点检测和响应(EDR):
在抵御网络攻击时,无声故障是一个重要术语。静默故障是指一种场景或设置,其中专用的安全或防御系统无法识别和防御网络攻击,并且在发生攻击后没有警报响起。
将此与预计的事件同时考虑:如果无文件恶意软件设法以某种方式越过了保护层并获得了对网络的访问权限,则它可能会在您的系统中停留很长时间,试图分析系统的整体状况,为更大的规模做准备。攻击。
为此,要克服可见的问题,必须建立可靠的端点检测和响应(EDR)系统。有了一个好的EDR系统,您将能够找出并隔离端点上存在的可疑项目,甚至可以消除或消除它们。
评估被黑客入侵时的事件和场景(如果被黑客入侵):
如果您的计算机遭到黑客攻击或网络受到威胁,则最好检查攻击过程中的事件。我们建议您查看在帮助攻击者成功中发挥重要作用的文件和程序。
您可以聘请网络安全分析师,并要求他们专注于可用来评估历史攻击的工具和系统。公司成为攻击受害者的大多数情况的特征是可疑的注册表项和异常的输出文件,以及对活动或仍然存在的威胁的识别。
在发现一些受影响的文件或其他线索之后,您将可以很好地对它们进行彻底分析。理想情况下,您应该尝试找出问题出在哪里,应该做得更好的事情,等等。这样,您将学到更多并获得有价值的见解,这意味着您将能够填补安全策略中的空白,以防止将来发生LotL攻击。
小费
安全是本指南的主题,因此我们将没有更好的机会向您介绍一个出色的建议。如果您想增强计算机或网络上的安全性,则可能需要获得Auslogics反恶意软件。使用此一流的防护实用程序,您可以改进当前的安全设置,该设置可能不够动态以应对多种威胁。
在与恶意程序的斗争中,总是欢迎进行改进。您永远无法分辨什么东西超过了当前的安全应用程序,或者甚至根本不使用它。您也不能肯定地说您的计算机当前未受到感染或感染。无论如何,您都将很好地下载并运行推荐的应用程序,以使自己(比以前)有更好的机会保持安全。