Sizin gibi okuyucular MUO'yu desteklemeye yardımcı oluyor. Sitemizdeki bağlantıları kullanarak bir satın alma işlemi gerçekleştirdiğinizde, bir ortaklık komisyonu kazanabiliriz.
Çoğu siber saldırıda, kötü amaçlı yazılım kurbanın bilgisayarına bulaşır ve saldırganın bağlantı istasyonu görevi görür. Kötü amaçlı yazılımdan koruma ile bu yerleştirme istasyonunu bulmak ve kaldırmak nispeten kolaydır. Ancak siber suçlunun kötü amaçlı yazılım yüklemesine gerek duymadığı başka bir saldırı yöntemi vardır.
Bunun yerine, bir saldırgan siber saldırı için cihazdaki kaynakları kullanan bir komut dosyası yürütür. Ve en kötüsü, bir Living off the Land (LotL) saldırısı uzun süre tespit edilemeyebilir. Ancak bu saldırıları önlemek, bulmak ve etkisiz hale getirmek mümkündür.
LotL Saldırısı Nedir?
LofL saldırısı, bir bilgisayar korsanının kötü amaçlı yazılım kullanmak yerine halihazırda bir cihazda bulunan programları kullandığı bir tür dosyasız saldırıdır. Yerel programları kullanmanın bu yöntemi daha inceliklidir ve saldırının keşfedilme olasılığını azaltır.
Bilgisayar korsanlarının LotL saldırıları için sıklıkla kullandığı bazı yerel programlar arasında komut satırı konsolu, PowerShell, Windows kayıt defteri konsolu ve Windows Yönetim Araçları komut satırı bulunur. Bilgisayar korsanları ayrıca Windows Tabanlı ve Konsol Tabanlı Komut Dosyası ana bilgisayarlarını (WScript.exe ve CScript.exe) kullanır. Araçlar, her Windows bilgisayarıyla birlikte gelir ve normal yönetim görevlerini yürütmek için gereklidir.
LotL Saldırıları Nasıl Gerçekleşir?
LotL saldırıları dosyasız olmasına rağmen, bilgisayar korsanları hala tanıdık sosyal mühendislik hileleri Kimi hedef alacağınızı bulmak için. Çoğu saldırı, bir kullanıcı güvenli olmayan bir web sitesini ziyaret ettiğinde, bir kimlik avı e-postasını açtığında veya virüslü bir USB sürücü kullandığında gerçekleşir. Bu web siteleri, e-postalar veya medya cihazları, dosyasız komut dosyasını taşıyan saldırı kitini içerir.
Gelecek hackleme aşaması, kit sistem programlarını güvenlik açıklarına karşı tarar ve güvenlik açığı bulunan programları tehlikeye atmak için komut dosyasını yürütür. Saldırgan bundan sonra bilgisayara uzaktan erişebilir ve yalnızca sistem programlarını kullanarak verileri çalabilir veya arka kapılarda güvenlik açığı oluşturabilir.
Karadan Geçinme Saldırısının Kurbanı Olursanız Ne Yapmalısınız?
LotL saldırıları yerel programlar kullandığından, antivirüsünüz saldırıyı algılamayabilir. İleri düzey bir Windows kullanıcısıysanız veya teknoloji konusunda bilgiliyseniz, saldırganları tespit etmek ve ortadan kaldırmak için komut satırı denetimini kullanabilirsiniz. Bu durumda, şüpheli görünen işlem günlüklerini arıyor olacaksınız. Rastgele harf ve sayılarla denetim süreçleriyle başlayın; garip yerlerde kullanıcı yönetimi komutları; şüpheli komut dosyası çalıştırmaları; şüpheli URL'lere veya IP adreslerine bağlantılar; ve savunmasız, açık bağlantı noktaları.
Wi-Fi'yi kapatın
Çoğu insan gibi cihazınızın korunması için kötü amaçlı yazılımdan koruma yazılımına güveniyorsanız, çok sonrasına kadar zarar verildiğini fark etmeyebilirsiniz. Saldırıya uğradığınıza dair kanıtınız varsa, yapılacak ilk şey bilgisayarınızın internetten bağlantısını kesmektir. Bu şekilde, bilgisayar korsanı cihazla iletişim kuramaz. Daha geniş bir ağın parçasıysa, virüs bulaşmış aygıtın diğer aygıtlarla olan bağlantısını da kesmeniz gerekir.
Ancak, Wi-Fi'nizi kapatmak ve virüslü cihazı izole etmek yeterli değildir. Bu yüzden yönlendiriciyi kapatmayı ve ethernet kablolarının bağlantısını kesmeyi deneyin. Saldırıyı yönetmek için bir sonraki şeyi yaparken de cihazı kapatmanız gerekebilir.
Hesap Parolalarını Sıfırla
Çevrimiçi hesaplarınızın güvenliğinin ihlal edildiğini varsaymanız ve bunları değiştirmeniz gerekir. Bunu yapmak, bilgisayar korsanı ciddi bir zarar vermeden önce kimlik hırsızlığını önlemek veya durdurmak için önemlidir.
Finansal varlıklarınızı tutan hesapların şifresini değiştirerek başlayın. Ardından, özellikle bu hesaplarda yoksa iş ve sosyal medya hesaplarına geçin. iki faktörlü kimlik doğrulama etkinleştirilmiş. Güvenli şifreler oluşturmak için de bir şifre yöneticisi kullanabilirsiniz. Ayrıca, platform destekliyorsa hesabınızda 2FA'yı etkinleştirmeyi düşünün.
Sürücünüzü Kaldırın ve Dosyalarınızı Yedekleyin
Doğru bilgiye sahipseniz, sabit sürücüyü virüslü bilgisayardan çıkarın ve harici bir sabit sürücü olarak farklı bir bilgisayara bağlayın. Eski bilgisayardaki kötü amaçlı her şeyi bulmak ve kaldırmak için sabit sürücüyü derinlemesine tarayın. Ardından, önemli dosyalarınızı farklı, temiz, çıkarılabilir bir sürücüye kopyalamaya devam edin. Teknik yardıma ihtiyacınız varsa yardım almaktan çekinmeyin.
Eski Sürücüyü Sil
Artık önemli dosyalarınızın bir yedeğine sahip olduğunuza göre, eski sürücüyü silmenin zamanı geldi. Eski sürücüyü virüs bulaşmış bilgisayara iade edin ve kapsamlı bir silme işlemi gerçekleştirin.
Windows'un Temiz Kurulumunu Yapın
Temiz bir kurulum, bilgisayarınızdaki her şeyi siler. Aşırı bir önlem gibi görünse de LotL saldırılarının doğası gereği gereklidir. Bir saldırganın kaç yerel programın güvenliğini ihlal ettiğini veya arka kapıları gizlediğini söylemenin bir yolu yoktur. En güvenli bahis, her şeyi temiz ve işletim sistemini temiz kurun.
Güvenlik Yamalarını Yükleyin
Güvenlik güncellemeleri söz konusu olduğunda kurulum dosyasının geride kalması muhtemeldir. Bu nedenle, temiz bir işletim sistemi kurduktan sonra güncellemeleri tarayın ve yükleyin. Ayrıca, düşünün bloatware'i kaldırma— fena değiller, ancak sistem kaynaklarınızı tüketen bir şey fark edene kadar onları unutmak kolaydır.
LotL Saldırıları Nasıl Engellenir?
Bilgisayarınıza doğrudan erişimleri olmadıkça, bilgisayar korsanlarının yüklerini teslim etmek için yine de bir yola ihtiyaçları vardır. Kimlik avı, bilgisayar korsanlarının kimi hackleyeceklerini bulmalarının en yaygın yoludur. Diğer yollar şunları içerir: Bluetooth hack'leri ve ortadaki adam saldırıları. Herhangi bir şekilde, yük, algılanmayı önlemek için kısa, yürütülebilir komut dosyaları içeren bir Microsoft Office dosyası gibi meşru dosyalarda gizlenir. Peki bu saldırıları nasıl engellersiniz?
Yazılımınızı Güncel Tutun
LotL saldırılarındaki yük, yürütmek için hala bir programdaki veya işletim sisteminizdeki güvenlik açıklarına dayanır. Cihazınızı ve programlarınızı, güvenlik güncellemelerini çıktıkları anda indirip kuracak şekilde ayarlamak, veri yükünü işe yaramaz hale getirebilir.
Yazılım Kısıtlama İlkelerini Belirleyin
Yazılımınızı güncel tutmak iyi bir başlangıçtır, ancak siber güvenlik ortamı hızla değişir. Saldırganlar açıklardan yararlanmadan önce güvenlik açıklarını bastırmak için bir güncelleme penceresini kaçırabilirsiniz. Bu nedenle, programların komutları nasıl yürütebileceğini veya sistem kaynaklarını nasıl kullanabileceğini en başta kısıtlamak daha iyidir.
Burada iki seçeneğiniz var: programları kara listeye almak veya beyaz listeye almak. Beyaz liste, varsayılan olarak bir program listesine sistem kaynaklarına erişim izni verdiğiniz zamandır. Diğer mevcut ve yeni programlar varsayılan olarak kısıtlanmıştır. Tersine, kara listeye alma, sistem kaynaklarına erişemeyen programların bir listesini yaptığınız zamandır. Bu şekilde, diğer mevcut ve yeni programlar varsayılan olarak sistem kaynaklarına erişebilir. Her iki seçeneğin de artıları ve eksileri var, bu yüzden yapmanız gerekecek hangisinin en iyi olduğuna karar ver senin için.
Siber Saldırılar İçin Gümüş Kurşun Yoktur
Living off the Land saldırılarının doğası, çoğu insanın bir şeyler ciddi şekilde ters gidene kadar saldırıya uğradığını bilmeyeceği anlamına gelir. Ve teknik olarak bilgili olsanız bile, ağınıza bir düşmanın sızıp sızmadığını anlamanın tek bir yolu yoktur. Makul önlemler alarak ilk etapta siber saldırılardan kaçınmak daha iyidir.
