Leitores como você ajudam a apoiar o MUO. Quando você faz uma compra usando links em nosso site, podemos ganhar uma comissão de afiliado.

Na maioria dos ataques cibernéticos, o malware infecta o computador da vítima e atua como a docking station do invasor. Encontrar e remover esta docking station é relativamente fácil com o antimalware. Mas existe outro método de ataque em que o cibercriminoso não precisa instalar malware.

Em vez disso, um invasor executa um script que usa os recursos do dispositivo para o ataque cibernético. E o pior de tudo, um ataque Living off the Land (LotL) pode passar despercebido por um longo tempo. No entanto, prevenir, localizar e neutralizar esses ataques é possível.

O que é um ataque LotL?

Um ataque LofL é um tipo de ataque sem arquivo em que um hacker usa os programas já existentes em um dispositivo em vez de usar malware. Esse método de usar programas nativos é mais sutil e torna a descoberta do ataque menos provável.

Alguns programas nativos que os hackers costumam usar para ataques LotL incluem o console de linha de comando, PowerShell, o console de registro do Windows e a linha de comando do Windows Management Instrumentation. Os hackers também usam hosts de script baseados no Windows e no console (WScript.exe e CScript.exe). As ferramentas vêm com todos os computadores Windows e são necessárias para a execução de tarefas administrativas normais.

Como acontecem os ataques LotL?

Embora os ataques LotL sejam sem arquivo, os hackers ainda dependem truques familiares de engenharia social para encontrar quem atingir. Muitos ataques acontecem quando um usuário visita um site inseguro, abre um e-mail de phishing ou usa uma unidade USB infectada. Esses sites, e-mails ou dispositivos de mídia contêm o kit de ataque com o script sem arquivo.

Na próxima fase de hacking, o kit verifica os programas do sistema em busca de vulnerabilidades e executa o script para comprometer os programas vulneráveis. A partir daqui, o invasor pode acessar remotamente o computador e roubar dados ou criar backdoors de vulnerabilidade usando apenas programas do sistema.

O que fazer se você for vítima de um ataque que vive da terra

Como os ataques LotL usam programas nativos, seu antivírus pode não detectar o ataque. Se você for um usuário avançado do Windows ou conhecedor de tecnologia, pode usar a auditoria de linha de comando para detectar invasores e removê-los. Nesse caso, você procurará logs de processo que pareçam suspeitos. Comece com processos de auditoria com letras e números aleatórios; comandos de gerenciamento de usuários em lugares estranhos; execuções de scripts suspeitos; conexões com URLs ou endereços IP suspeitos; e vulneráveis, portas abertas.

Desligue o Wi-Fi

Se você confia no antimalware para a proteção do seu dispositivo como a maioria das pessoas, pode não perceber o dano até muito mais tarde. Se você tiver evidências de que foi hackeado, a primeira coisa a fazer é desconectar seu computador da Internet. Dessa forma, o hacker não consegue se comunicar com o dispositivo. Você também deve desconectar o dispositivo infectado de outros dispositivos se ele fizer parte de uma rede mais ampla.

No entanto, desligar o Wi-Fi e isolar o dispositivo infectado não é suficiente. Portanto, tente desligar o roteador e desconectar os cabos ethernet. Você também pode precisar desligar o dispositivo enquanto faz a próxima coisa para gerenciar o ataque.

Redefinir senhas de conta

Você precisará assumir que suas contas online foram comprometidas e alterá-las. Fazer isso é importante para prevenir ou interromper o roubo de identidade antes que o hacker cause danos sérios.

Comece alterando a senha das contas que detêm seus ativos financeiros. Em seguida, passe para contas de trabalho e redes sociais, especialmente se essas contas não tiverem autenticação de dois fatores habilitado. Você também pode usar um gerenciador de senhas para criar senhas seguras. Além disso, considere habilitar o 2FA em sua conta se a plataforma for compatível.

Remova sua unidade e faça backup de seus arquivos

Se você tiver o conhecimento correto, remova o disco rígido do computador infectado e conecte-o como um disco rígido externo a um computador diferente. Execute uma verificação aprofundada do disco rígido para encontrar e remover qualquer coisa maliciosa do computador antigo. Em seguida, copie seus arquivos importantes para uma unidade removível limpa e diferente. Se precisar de ajuda técnica, não tenha medo de pedir ajuda.

Limpe a unidade antiga

Agora que você tem um backup de seus arquivos importantes, é hora de limpar a unidade antiga. Devolva a unidade antiga ao computador infectado e faça uma limpeza profunda.

Faça uma instalação limpa do Windows

Uma instalação limpa limpa tudo no seu computador. Parece uma medida exagerada, mas é necessária devido à natureza dos ataques LotL. Não há como saber em quantos programas nativos um invasor comprometeu ou ocultou backdoors. A aposta mais segura é limpar tudo e instalação limpa do sistema operacional.

Instalar patches de segurança

As probabilidades são de que o arquivo de instalação ficará atrasado quando se trata de atualizações de segurança. Portanto, depois de instalar um sistema operacional limpo, procure e instale atualizações. Além disso, considere removendo bloatware- eles não são ruins, mas é fácil esquecê-los até você perceber que algo está monopolizando os recursos do sistema.

Como prevenir ataques LotL

A menos que tenham acesso direto ao seu computador, os hackers ainda precisam de uma maneira de entregar sua carga útil. O phishing é a maneira mais comum pela qual os hackers descobrem quem hackear. Outras maneiras incluem hacks de bluetooth e ataques man-in-the-middle. De qualquer forma, a carga é disfarçada em arquivos legítimos, como um arquivo do Microsoft Office contendo scripts executáveis ​​curtos para evitar a detecção. Então, como você evita esses ataques?

Mantenha seu software atualizado

A carga em ataques LotL ainda depende de vulnerabilidades em um programa ou sistema operacional para executar. Configurar seu dispositivo e programas para baixar e instalar atualizações de segurança assim que estiverem disponíveis pode transformar a carga útil em um fracasso.

Definir políticas de restrição de software

Manter seu software atualizado é um bom começo, mas o cenário de segurança cibernética muda rapidamente. Você pode perder uma janela de atualização para eliminar as vulnerabilidades antes que os invasores as explorem. Como tal, é melhor restringir como os programas podem executar comandos ou usar os recursos do sistema em primeiro lugar.

Você tem duas opções aqui: para lista negra ou lista branca de programas. A lista branca é quando você concede a uma lista de programas acesso aos recursos do sistema por padrão. Outros programas existentes e novos são restritos por padrão. Por outro lado, a lista negra é quando você cria uma lista de programas que não podem acessar os recursos do sistema. Dessa forma, outros programas existentes e novos podem acessar os recursos do sistema por padrão. Ambas as opções têm seus prós e contras, então você terá que decidir qual é o melhor para você.

Não existe bala de prata para ataques cibernéticos

A natureza dos ataques Living off the Land significa que a maioria das pessoas não saberá que foi hackeada até que algo dê muito errado. E mesmo se você for tecnicamente experiente, não há uma maneira de saber se um adversário se infiltrou em sua rede. Em primeiro lugar, é melhor evitar ataques cibernéticos tomando precauções sensatas.