Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision.
Bei den meisten Cyberangriffen infiziert Malware den Computer des Opfers und fungiert als Dockingstation des Angreifers. Das Auffinden und Entfernen dieser Dockingstation ist mit Antimalware relativ einfach. Aber es gibt noch eine andere Angriffsmethode, bei der der Cyberkriminelle keine Malware installieren muss.
Stattdessen führt ein Angreifer ein Skript aus, das die Ressourcen auf dem Gerät für den Cyberangriff verwendet. Und das Schlimmste ist, dass ein Living off the Land (LotL)-Angriff lange Zeit unentdeckt bleiben kann. Es ist jedoch möglich, diese Angriffe zu verhindern, zu finden und zu neutralisieren.
Was ist ein LotL-Angriff?
Ein LofL-Angriff ist eine Art dateiloser Angriff, bei dem ein Hacker die Programme verwendet, die sich bereits auf einem Gerät befinden, anstatt Malware zu verwenden. Diese Methode der Verwendung nativer Programme ist subtiler und macht die Entdeckung des Angriffs unwahrscheinlicher.
Einige native Programme, die Hacker häufig für LotL-Angriffe verwenden, sind die Befehlszeilenkonsole, PowerShell, die Windows-Registrierungskonsole und die Befehlszeile der Windows-Verwaltungsinstrumentation. Hacker verwenden auch Windows-basierte und konsolenbasierte Skript-Hosts (WScript.exe und CScript.exe). Die Tools werden mit jedem Windows-Computer mitgeliefert und sind für die Ausführung normaler Verwaltungsaufgaben erforderlich.
Wie passieren LotL-Angriffe?
Obwohl LotL-Angriffe dateilos sind, verlassen sich Hacker immer noch darauf bekannte Social-Engineering-Tricks um herauszufinden, wen man ansprechen soll. Viele Angriffe erfolgen, wenn ein Benutzer eine unsichere Website besucht, eine Phishing-E-Mail öffnet oder ein infiziertes USB-Laufwerk verwendet. Diese Websites, E-Mails oder Mediengeräte enthalten das Angriffskit mit dem dateilosen Skript.
Im nächsten Phase des Hackens, scannt das Kit Systemprogramme auf Schwachstellen und führt das Skript aus, um anfällige Programme zu kompromittieren. Von hier an kann der Angreifer aus der Ferne auf den Computer zugreifen und Daten stehlen oder Hintertüren für Schwachstellen erstellen, indem er nur Systemprogramme verwendet.
Was zu tun ist, wenn Sie Opfer eines Living-off-the-Land-Angriffs sind
Da LotL-Angriffe native Programme verwenden, erkennt Ihr Antivirenprogramm den Angriff möglicherweise nicht. Wenn Sie ein Windows-Hauptbenutzer oder technisch versiert sind, können Sie die Befehlszeilenprüfung verwenden, um Angreifer aufzuspüren und zu entfernen. In diesem Fall suchen Sie nach Prozessprotokollen, die verdächtig erscheinen. Beginnen Sie mit Prüfungsprozessen mit zufälligen Buchstaben und Zahlen; Benutzerverwaltungsbefehle an seltsamen Stellen; verdächtige Skriptausführungen; Verbindungen zu verdächtigen URLs oder IP-Adressen; und anfällige, offene Ports.
Schalten Sie das WLAN aus
Wenn Sie sich wie die meisten Menschen auf Antimalware für den Schutz Ihres Geräts verlassen, bemerken Sie möglicherweise erst viel später, dass ein Schaden entstanden ist. Wenn Sie Beweise dafür haben, dass Sie gehackt wurden, müssen Sie als Erstes Ihren Computer vom Internet trennen. Auf diese Weise kann der Hacker nicht mit dem Gerät kommunizieren. Sie müssen das infizierte Gerät auch von anderen Geräten trennen, wenn es Teil eines größeren Netzwerks ist.
Es reicht jedoch nicht aus, Ihr WLAN auszuschalten und das infizierte Gerät zu isolieren. Versuchen Sie also, den Router auszuschalten und die Ethernet-Kabel zu trennen. Möglicherweise müssen Sie das Gerät auch ausschalten, während Sie den nächsten Schritt tun, um den Angriff zu bewältigen.
Kontokennwörter zurücksetzen
Sie müssen davon ausgehen, dass Ihre Online-Konten kompromittiert wurden, und sie ändern. Dies ist wichtig, um Identitätsdiebstahl zu verhindern oder zu stoppen, bevor der Hacker ernsthaften Schaden anrichtet.
Beginnen Sie damit, das Passwort für die Konten zu ändern, die Ihre finanziellen Vermögenswerte enthalten. Fahren Sie dann mit Arbeits- und Social-Media-Konten fort, insbesondere wenn diese Konten nicht vorhanden sind Zwei-Faktor-Authentifizierung ermöglicht. Sie können auch einen Passwort-Manager verwenden, um sichere Passwörter zu erstellen. Erwägen Sie auch, 2FA für Ihr Konto zu aktivieren, wenn die Plattform dies unterstützt.
Entfernen Sie Ihr Laufwerk und sichern Sie Ihre Dateien
Wenn Sie die richtigen Kenntnisse haben, entfernen Sie die Festplatte aus dem infizierten Computer und schließen Sie sie als externe Festplatte an einen anderen Computer an. Führen Sie einen gründlichen Scan der Festplatte durch, um schädliche Elemente auf dem alten Computer zu finden und zu entfernen. Fahren Sie dann damit fort, Ihre wichtigen Dateien auf ein anderes sauberes Wechsellaufwerk zu kopieren. Wenn Sie technische Hilfe benötigen, scheuen Sie sich nicht, Hilfe zu holen.
Löschen Sie das alte Laufwerk
Jetzt, da Sie eine Sicherungskopie Ihrer wichtigen Dateien haben, ist es an der Zeit, das alte Laufwerk zu löschen. Bringen Sie das alte Laufwerk wieder in den infizierten Computer zurück und führen Sie einen Deep Wipe durch.
Führen Sie eine Neuinstallation von Windows durch
Eine Neuinstallation löscht alles auf Ihrem Computer. Es klingt wie eine übertriebene Maßnahme, ist aber aufgrund der Natur von LotL-Angriffen notwendig. Es gibt keine Möglichkeit festzustellen, wie viele native Programme ein Angreifer kompromittiert oder in denen Hintertüren versteckt sind. Am sichersten ist es, alles sauber zu wischen und saubere Installation des Betriebssystems.
Installieren Sie Sicherheitspatches
Die Chancen stehen gut, dass die Installationsdatei bei Sicherheitsupdates hinterherhinkt. Suchen Sie also nach der Installation eines sauberen Betriebssystems nach Updates und installieren Sie sie. Bedenke auch Bloatware entfernen– Sie sind nicht schlecht, aber es ist leicht, sie zu vergessen, bis Sie bemerken, dass etwas Ihre Systemressourcen in Beschlag nimmt.
So verhindern Sie LotL-Angriffe
Sofern sie keinen direkten Zugriff auf Ihren Computer haben, brauchen Hacker immer noch eine Möglichkeit, ihre Payload zu übermitteln. Phishing ist die häufigste Methode, mit der Hacker herausfinden, wen sie hacken können. Andere Möglichkeiten umfassen Bluetooth-Hacks und Man-in-the-Middle-Angriffe. In jedem Fall wird die Nutzlast in legitimen Dateien getarnt, wie z. B. einer Microsoft Office-Datei, die kurze, ausführbare Skripte enthält, um eine Erkennung zu vermeiden. Wie verhindern Sie diese Angriffe?
Halten Sie Ihre Software auf dem neuesten Stand
Die Payload in LotL-Angriffen hängt immer noch von Schwachstellen in einem Programm oder Ihrem Betriebssystem ab, um ausgeführt zu werden. Wenn Sie Ihr Gerät und Ihre Programme so einstellen, dass Sicherheitsupdates heruntergeladen und installiert werden, sobald sie verfügbar sind, kann die Nutzlast zu einem Blindgänger werden.
Legen Sie Richtlinien für Softwareeinschränkungen fest
Ihre Software auf dem neuesten Stand zu halten, ist ein guter Anfang, aber die Cybersicherheitslandschaft ändert sich schnell. Möglicherweise verpassen Sie ein Update-Fenster, um Schwachstellen zu unterdrücken, bevor Angreifer sie ausnutzen. Daher ist es besser, zunächst einzuschränken, wie Programme Befehle ausführen oder Systemressourcen verwenden können.
Sie haben hier zwei Möglichkeiten: Programme auf die Blacklist oder Whitelist setzen. Whitelisting bedeutet, dass Sie einer Liste von Programmen standardmäßig Zugriff auf Systemressourcen gewähren. Andere vorhandene und neue Programme sind standardmäßig eingeschränkt. Umgekehrt ist Blacklisting, wenn Sie eine Liste von Programmen erstellen, die nicht auf Systemressourcen zugreifen können. Auf diese Weise können andere vorhandene und neue Programme standardmäßig auf Systemressourcen zugreifen. Beide Optionen haben ihre Vor- und Nachteile, also müssen Sie es tun entscheiden, was am besten ist für dich.
Es gibt keine Wunderwaffe für Cyberangriffe
Die Natur der Living off the Land-Angriffe bedeutet, dass die meisten Menschen nicht wissen, dass sie gehackt wurden, bis etwas ernsthaft schief geht. Und selbst wenn Sie technisch versiert sind, gibt es keine Möglichkeit festzustellen, ob ein Angreifer Ihr Netzwerk infiltriert hat. Besser ist es, Cyberattacken durch sinnvolle Vorkehrungen von vornherein zu vermeiden.
