如何防止离地攻击?

已发表: 2020-05-29

最近一段时间,离地攻击越来越受到关注,因此我们可以有把握地推断,黑客现在正在重新使用旧的策略和技术。 与“以土地为生”相关的概念并不新鲜。 系统工具曾经被普遍用作后门,并且在系统中利用了已知的漏洞。

远离陆地 (LotL) 攻击非常难以防御,因为它们有时将无文件攻击作为一个子集。 其他时候,黑客利用双重用途和记忆工具,这是一个致命的组合。 在本指南中,我们打算尽可能多地告诉您有关“离地生存”攻击以及如何保护自己或您的组织免受攻击的信息。

什么是离地攻击?

离地攻击是攻击者使用受害者计算机上已经安装或现有的工具来获取更多手段(窃取信息或金钱、接管系统等)的攻击。 此类攻击的独特之处在于,所涉及的黑客不使用恶意程序,而安全应用程序被编程为要注意这些恶意程序。 由于攻击者使用常规工具甚至简单的脚本,威胁检测变得非常困难。

例如,在无文件攻击中,网络犯罪分子能够在易失性内存中操作,部分对应于 PowerShell 和 WMI。 在这种情况下,防病毒和反恶意软件应用程序无法检测和发现威胁——因为即使它们的条目也没有存储在日志中。 毕竟,攻击期间创建的文件很少(或根本没有文件)。

攻击者有足够的理由去无文件。 他们可能发现创建的文件数量越少,安全实用程序检测到威胁的机会就越低。 在大多数情况下,攻击者是正确的。 安全应用程序通常很难检测到离地攻击,直到为时已晚,因为他们不知道首先要注意什么。

LotL 攻击不涉及恶意软件,但攻击者(如果成功的话)有足够的时间在无法检测到的受感染计算机上驻留。 随着时间的推移,攻击者最终有机会渗透敏感组件并破坏数据或操作(如果他们愿意)。

也许,您听说过 Petya/NotPetya 攻击,它在 2017 年的某个时候震惊了世界。这些攻击的受害者(个人和组织)从未见过它们,因为攻击者通过受信任的程序进入他们的系统,这并没有引起怀疑,然后向这些应用程序注入恶意代码。 传统的保护系统失效; 他们的防御并非因不寻常地使用明显受信任的软件而引发。

借助离地生活技术,网络犯罪分子可以轻松进入 IT 系统并在其中花费大量时间,同时不会引发任何警报或引起怀疑。 因此,鉴于定义此类攻击的环境,安全专家发现很难确定攻击的来源。 许多犯罪分子认为以陆地为生的战术是执行攻击的理想方法。

如何避免离地攻击(针对普通用户或个人的提示)

通过采取必要的预防措施并积极主动,您可以减少您的计算机或网络通过 LotL 策略暴露于网络犯罪分子的机会。

  1. 始终监视或检查网络内双重用途实用程序的使用情况。
  1. 在可用或适用的情况下使用应用程序白名单。
  1. 当您收到意外或可疑的电子邮件时,您必须谨慎行事。 最好不要点击此类消息中的任何内容(链接或附件)。
  1. 始终为您的所有应用程序(程序)和操作系统(例如 Windows)下载和安装更新。
  1. 使用需要启用宏的 Microsoft Office 附件时要小心。 你最好不要一开始就使用这些附件——如果你负担得起不使用它们的话。
  1. 尽可能配置高级安全功能。 高级安全功能是指双因素身份验证 (2FA)、登录通知或提示等。
  1. 为您的所有帐户和个人资料(跨网络或平台)使用强大的唯一密码。 找一个密码管理器——如果您需要一个来帮助您记住所有密码。
  1. 完成会话后,请务必记住在网络之外签署您的个人资料或帐户。

如何避免离地攻击(组织和企业的提示)

由于远离陆地的策略构成了一些最复杂的黑客技术,因此它们对组织的识别和防范构成了巨大的挑战。 尽管如此,公司仍有办法降低此类攻击的风险(或减轻此类攻击的影响——如果它们发生的话)。

  1. 保持良好的网络卫生:

从表面上看,这个提示可能看起来很简单或基本,但它可能是最重要的。 历史上的大多数网络攻击——包括那些使用 LotL 策略的攻击——都是由于疏忽或缺乏安全实践而成功的。 许多公司不费心更新或修补他们使用的工具或程序。 软件通常需要补丁和更新来密封漏洞和安全漏洞。

当未安装补丁或更新时,威胁行为者发现漏洞并利用它们的大门是敞开的。 组织有责任确保他们保留一份申请清单。 通过这种方式,他们可以识别过时和未打补丁的程序甚至操作系统; 他们还知道何时必须执行基本更新任务以及如何按时完成。

此外,应对员工进行安全意识培训。 它不仅仅是教个人不要打开网络钓鱼电子邮件。 理想情况下,员工应该了解内置的 Windows 设施和代码是如何工作的。 通过这种方式,他们可以发现异常或不一致的行为、恶意活动以及在后台运行并试图逃避检测的可疑应用程序或脚本。 熟悉 Windows 后台活动的员工通常比常规网络犯罪分子领先一步。

  1. 配置适当的访问权限和权限:

例如,员工点击电子邮件中的恶意链接不一定会导致恶意程序登陆员工的系统。 系统应该被设计成在所描述的场景中,恶意程序通过网络传播并登陆其他系统。 在这种情况下,我们可以说网络被分割得足够好,以确保第三方应用程序和普通用户具有严格的访问协议。

提示的重要性值得尽可能多的强调。 使用有关提供给工作人员的访问权限和特权的可靠协议可以大大防止您的系统受到损害; 这可能是成功的 LotL 攻击和无处可去的攻击之间的区别。

  1. 采用专门的威胁搜寻策略:

当您让威胁猎手一起寻找不同形式的威胁时,威胁检测的机会就会显着增加。 最佳安全实践要求公司(尤其是大型组织)雇用专门的威胁猎手,并让他们检查其 IT 基础设施的不同部分,以检查最致命或最复杂的攻击的微弱迹象。

如果您的企业规模相对较小,或者如果您负担不起内部威胁搜寻团队的费用,那么您最好将您的需求外包给威胁搜寻公司或类似的安全管理服务。 您可能会找到其他有兴趣填补这一关键空白的组织或自由职业者团队。 无论哪种方式,只要进行威胁搜寻行动,一切都很好。

  1. 配置端点检测和响应 (EDR):

静默失败是抵御网络攻击的一个重要术语。 静默故障是指专用安全或防御系统无法识别和防御网络攻击并且攻击发生后没有警报响起的场景或设置。

考虑与预计事件平行的情况:如果无文件恶意软件以某种方式设法越过您的保护层并访问您的网络,它可能会在您的系统中停留很长时间,试图分析整个系统以准备更大的攻击。攻击。

为此,要克服眼前的问题,您必须建立一个可靠的端点检测和响应 (EDR) 系统。 借助良好的 EDR 系统,您将能够找出并隔离端点上存在的可疑项目,甚至消除或摆脱它们。

  1. 当您被黑客入侵时评估事件和场景(如果您被黑客入侵):

如果您的机器被黑客入侵或您的网络受到威胁,您最好检查攻击累积中的事件。 我们建议您查看在帮助攻击者成功方面发挥重要作用的文件和程序。

您可以聘请网络安全分析师并要求他们专注于他们可以用来衡量历史攻击的工具和系统。 公司成为攻击受害者的大多数情况的特点是可疑的注册表项和异常的输出文件,以及对活动或仍然存在的威胁的识别。

在发现一些受影响的文件或其他线索后,您最好彻底分析它们。 理想情况下,您应该尝试找出哪里出了问题,哪些地方应该做得更好,等等。 通过这种方式,您可以了解更多信息并获得有价值的见解,这意味着您将能够填补安全策略中的空白,以防止未来的 LotL 攻击。

受到推崇的

使用反恶意软件保护 PC 免受威胁

检查您的 PC 是否存在您的防病毒软件可能遗漏的恶意软件,并使用 Auslogics Anti-Malware 安全删除威胁

Auslogics Anti-Malware 是 Auslogics 的产品,获得了 Microsoft Silver Application Developer 认证
现在下载

小费

安全性是本指南的主题,因此我们不会有更好的机会向您介绍一个出色的提议。 如果您希望加强计算机或网络的安全性,那么您可能需要获取 Auslogics Anti-Malware。 使用这款一流的保护实用程序,您可以改进当前的安全设置,该设置可能不够动态,无法应对多种威胁。

在与恶意程序的斗争中,总是欢迎改进。 您永远无法判断某件事何时通过了您当前的安全应用程序,或者您甚至可能没有使用任何安全应用程序。 您也不能肯定地说您的计算机当前没有受到威胁或感染。 无论如何,您最好下载并运行推荐的应用程序,让自己(比以前)有更好的机会保持安全。