حمله بدافزار Living off the land (LOTL) چیست؟

مجرمان سایبری برای حمله به شما، نیازی به نصب بدافزار روی سیستم شما ندارند. آنها میتوانند بی سروصدا از برنامه‌های موجود برای بدست گرفتن کنترل استفاده کنند.

در بیشتر حملات سایبری، بدافزار، کامپیوتر قربانی را آلوده میکند و بعنوان ایستگاه اتصال مهاجم عمل میکند. یافتن و حذف این ایستگاه اتصال با ضد بدافزار نسبتاً آسان است. اما روش حمله دیگری وجود دارد که در آن مجرم سایبری نیازی به نصب بدافزار ندارد.

در عوض، یک مهاجم اسکریپتی را اجرا میکند که از منابع موجود در دستگاه برای حمله سایبری استفاده میکند. و بدتر از همه، حمله Living off the Land (LotL) میتواند برای مدت طولانی شناسایی نشود. با اینحال، پیشگیری، یافتن و خنثی کردن این حملات امکانپذیر است.

حمله LotL چیست؟

حمله LotL نوعی حمله بدون فایل است که در آن یک هکر بجای استفاده از بدافزار، از برنامه‌های موجود در دستگاه استفاده میکند. این روش، امکان کشف حمله را کمتر میکند.

برخی از برنامه‌های بومی که هکرها اغلب برای حملات LotL استفاده میکنند عبارتند از:

– command line console
– PowerShell
– Windows registry console
– Windows Management Instrumentation command line

هکرها همچنین از‌هاست‌های اسکریپت مبتنی بر ویندوز و مبتنی بر کنسول (WScript.exe و CScript.exe) استفاده میکنند. ابزارها با هر کامپیوتر ویندوزی ارائه میشوند و برای اجرای کارهای اداری عادی ضروری هستند.

حملات بدافزار بدون فایل (LotL) چگونه اتفاق می افتد؟

اگرچه حملات LotL بدون فایل هستند، هکرها همچنان به ترفندهای مهندسی اجتماعی آشنا برای یافتن اینکه چه کسی را هدف قرار دهند، تکیه میکنند.

در ابتدا، بسیاری از حملات زمانی اتفاق می‌افتند که کاربر از یک وبسایت ناامن بازدید میکند، یک ایمیل فیشینگ باز میکند یا از درایو USB آلوده استفاده میکند. این وبسایت‌ها، ایمیلها یا دستگاههای مدیا، کیت حمله حاوی اسکریپت بدون فایل را دارا میباشند.

در مرحله بعدی هک، کیت برنامه‌های سیستم را از نظر آسیب‌پذیری اسکن میکند و اسکریپت را برای به خطر انداختن برنامه‌های آسیب‌پذیر اجرا میکند.

از اینجا به بعد، مهاجم میتواند از راه دور به کامپیوتر دسترسی داشته باشد و داده‌ها را سرقت کند یا تنها با استفاده از برنامه‌های سیستم، درهای پشتی آسیب‌پذیری ایجاد کند.

اگر قربانی حمله LotL هستید چه باید کرد؟

از آنجاییکه حملات LotL از برنامه‌های بومی استفاده میکنند، آنتی ویروس شما ممکن است حمله را شناسایی نکند.

اگر شما یک کاربر قدرتمند ویندوز هستید یا از فناوری آگاه هستید، میتوانید از بازرسی command-line برای شناسایی مهاجمان و حذف آنها استفاده کنید. در اینصورت شما بدنبال گزارشهای فرآیندی خواهید بود که مشکوک بنظر میرسند.

با فرآیندهای بازرسی شروع کنید؛ با حروف و اعداد تصادفی؛ دستورات مدیریت کاربر در مکانهای غیرعادی، اجرای مشکوک اسکریپت؛ اتصال به URL‌ها یا آدرسهای IP مشکوک؛ و پورتهای آسیب پذیر و باز.

• Turn off the Wi-Fi

اگر مانند بسیاری از افراد برای محافظت از دستگاه خود به ضد بدافزار متکی هستید، ممکن است تا مدتها بعد متوجه آسیبی نشوید.

اگر شواهدی دارید که نشان میدهد هک شده اید، اولین کاری که باید انجام دهید اینست که کامپیوتر خود را از اینترنت جدا کنید. بدین ترتیب، هکر نمیتواند با دستگاه ارتباط برقرار کند.

همچنین باید دستگاه آلوده را از دستگاههای دیگر جدا کنید اگر بخشی از یک شبکه گسترده تر است. با اینحال، خاموش کردن وای فای و ایزوله کردن دستگاه آلوده کافی نیست.

بنابراین سعی کنید روتر را خاموش کرده و کابلهای اترنت را جدا کنید. همچنین ممکن است در حین انجام کارهای بعدی برای مدیریت حمله، لازم باشد دستگاه را خاموش کنید.

• Reset Account Passwords

باید فرض کنید که حسابهای آنلاین شما در معرض خطر قرار گرفته اند و آنها را تغییر دهید. انجام اینکار برای جلوگیری یا توقف سرقت هویت قبل از اینکه هکر آسیب جدی وارد کند، مهم است.

با تغییر رمز عبور حسابهایی که دارایی‌های مالی شما را در اختیار دارند، شروع کنید. سپس، به سراغ حسابهای کاری و رسانه‌های اجتماعی بروید، بخصوص اگر این حسابها احراز هویت دو مرحله‌ای فعال، نداشته باشند.

برای ایجاد رمزهای عبور امن نیز میتوانید از یک password manager استفاده کنید. همچنین، 2FA را در حساب خود فعال کنید، اگر پلتفرم از آن پشتیبانی میکند

• Remove Your Drive & Back Up Your Files

اگر دانش درستی دارید،‌ هارد دیسک را از کامپیوتر آلوده جدا کنید و آنرا بعنوان یک‌ هارد دیسک خارجی به کامپیوتر دیگری متصل کنید.

یک اسکن عمیق از‌ هارد دیسک انجام دهید تا هر چیز مخربی را از کامپیوتر قدیمی پیدا کرده و حذف کنید. سپس، فایلهای مهم خود را در یک درایو تمیز و قابل جابجایی دیگر کپی کنید. اگر به کمک فنی نیاز دارید، از دریافت کمک نترسید.

• Wipe the Old Drive

اکنون که یک نسخه بکاپ از فایلهای مهم خود دارید، زمان آن رسیده است که درایو قدیمی را پاک کنید. درایو قدیمی را به کامپیوتر آلوده برگردانید و یک پاک کردن عمیق انجام دهید.

• Do a Clean Install of Windows

یک نصب تمیز، همه چیز را در کامپیوتر شما پاک میکند. بنظر میرسد تدابیر بیش از حد بالا باشد، اما بدلیل ماهیت حملات LotL ضروری است.

هیچ راهی وجود ندارد که بگوییم یک مهاجم چه تعداد برنامه بومی را در معرض خطر قرار داده یا درهای پشتی را پنهان کرده است. مطمئن ترین شرط اینست که همه چیز را پاک و تمیز نصب کنید.

• Install Security Patches

احتمال وجود دارد که فایل نصبی در مورد بروزرسانی‌های امنیتی عقب بماند. بنابراین، پس از نصب یک سیستم عامل تمیز، بروزرسانی‌ها را اسکن و نصب کنید.

حذف bloatware را در نظر بگیرید – آنها بد نیستند، اما فراموش کردن آنها آسان است تا زمانیکه متوجه شوید چیزی منابع سیستم شما را تحت فشار قرار داده است.

چگونه از حملات LotL جلوگیری کنیم

اگر هکرها مستقیماً به کامپیوتر شما دسترسی نداشته باشند، همچنان به راهی برای تحویل محموله خود نیاز دارند. فیشینگ رایج ترین روش است که هکرها می یابند که چه کسی را هک کنند.

راههای دیگر عبارتند از هک بلوتوث و حملات man-in-the-middle. بهر ترتیب، محموله در فایلهای قانونی، مانند فایل مایکروسافت آفیس حاوی اسکریپت‌های کوتاه و قابل اجرا برای جلوگیری از شناسایی پنهان میشود. بنابراین، چگونه از این حملات جلوگیری میکنید؟

• نرم افزار خود را بروز نگه دارید

محموله در حملات LotL هنوز برای اجرا به آسیب‌پذیری‌های یک برنامه یا سیستم عامل شما متکی است. تنظیم دستگاه و برنامه‌هایتان برای دانلود و نصب بروزرسانی‌های امنیتی به محض در دسترس قرار گرفتن، میتواند محموله را به یک محتوی تبدیل کند.

• پالیسی‌های محدودیت نرم افزار را تنظیم کنید

بروز نگه داشتن نرم افزار، شروع خوبی است، اما چشم‌انداز امنیت سایبری به سرعت تغییر میکند. ممکن است یک پنجره بروزرسانی را برای از بین بردن آسیب‌پذیری‌ها قبل از سوءاستفاده مهاجمان از دست بدهید.

بدین ترتیب، بهتر است در وهله اول نحوه اجرای دستورات یا استفاده از منابع سیستم توسط برنامه‌ها محدود شود.

در اینجا دو گزینه دارید: لیست سیاه یا لیست سفید برنامه‌ها.

لیست سفید زمانی است که به فهرستی از برنامه‌ها بطور پیشفرض دسترسی به منابع سیستم را میدهید. سایر برنامه‌های موجود و جدید بطور پیشفرض محدود شده اند.

برعکس، لیست سیاه زمانی است که شما لیستی از برنامه‌هایی تهیه میکنید که نمیتوانند به منابع سیستم دسترسی داشته باشند. بدین ترتیب، سایر برنامه‌های موجود و جدید میتوانند بطور پیشفرض به منابع سیستم دسترسی داشته باشند.

هر دو گزینه مزایا و معایب خود را دارند، بنابراین شما باید تصمیم بگیرید که کدامیک برای شما بهترین است.

هیچ محصول یا روش یا ترفندی برای حملات سایبری وجود ندارد

ماهیت حملات Living off the Land به این معناست که بیشتر مردم تا زمانیکه مشکلی جدی پیش نیاید متوجه هک شدن خود نخواهند شد. و حتی اگر از نظر فنی باهوش باشید، هیچ راهی برای تشخیص نفوذ یک دشمن به شبکه شما وجود ندارد

بهتر است در وهله اول با انجام اقدامات احتیاطی معقول از حملات سایبری خودداری کنید.