Des lecteurs comme vous aident à soutenir MUO. Lorsque vous effectuez un achat en utilisant des liens sur notre site, nous pouvons gagner une commission d'affiliation.
Dans la plupart des cyberattaques, les logiciels malveillants infectent l'ordinateur de la victime et agissent comme la station d'accueil de l'attaquant. Trouver et supprimer cette station d'accueil est relativement facile avec un antimalware. Mais il existe une autre méthode d'attaque où le cybercriminel n'a pas besoin d'installer de malware.
Au lieu de cela, un attaquant exécute un script qui utilise les ressources de l'appareil pour la cyberattaque. Et le pire de tout, une attaque Living off the Land (LotL) peut passer inaperçue pendant longtemps. Cependant, prévenir, trouver et neutraliser ces attaques est possible.
Qu'est-ce qu'une attaque LotL ?
Une attaque LofL est une sorte d'attaque sans fichier où un pirate utilise les programmes déjà sur un appareil au lieu d'utiliser des logiciels malveillants. Cette méthode d'utilisation de programmes natifs est plus subtile et rend moins probable la découverte de l'attaque.
Certains programmes natifs que les pirates utilisent souvent pour les attaques LotL incluent la console de ligne de commande, PowerShell, la console de registre Windows et la ligne de commande Windows Management Instrumentation. Les pirates utilisent également des hôtes de script basés sur Windows et sur console (WScript.exe et CScript.exe). Les outils sont fournis avec chaque ordinateur Windows et sont nécessaires pour exécuter des tâches administratives normales.
Comment les attaques LotL se produisent-elles ?
Bien que les attaques LotL soient sans fichier, les pirates s'appuient toujours sur astuces d'ingénierie sociale familières pour trouver qui cibler. De nombreuses attaques se produisent lorsqu'un utilisateur visite un site Web dangereux, ouvre un e-mail de phishing ou utilise une clé USB infectée. Ces sites Web, e-mails ou appareils multimédias contiennent le kit d'attaque contenant le script sans fichier.
Ensuite étape de piratage, le kit analyse les programmes système à la recherche de vulnérabilités et exécute le script pour compromettre les programmes vulnérables. À partir de là, l'attaquant peut accéder à distance à l'ordinateur et voler des données ou créer des portes dérobées de vulnérabilité en utilisant uniquement des programmes système.
Que faire si vous êtes victime d'une attaque de vivre hors de la terre
Étant donné que les attaques LotL utilisent des programmes natifs, votre antivirus peut ne pas détecter l'attaque. Si vous êtes un utilisateur expérimenté de Windows ou que vous êtes féru de technologie, vous pouvez utiliser l'audit de ligne de commande pour détecter les attaquants et les supprimer. Dans ce cas, vous rechercherez des journaux de processus qui semblent suspects. Commencez par auditer les processus avec des lettres et des chiffres aléatoires; commandes de gestion des utilisateurs à des endroits impairs; exécutions de script suspectes; connexions à des URL ou adresses IP suspectes; et des ports vulnérables et ouverts.
Désactiver le Wi-Fi
Si vous comptez sur un antimalware pour la protection de votre appareil comme la plupart des gens, vous ne remarquerez peut-être que le mal a été fait que bien plus tard. Si vous avez la preuve que vous avez été piraté, la première chose à faire est de déconnecter votre ordinateur d'Internet. De cette façon, le pirate ne peut pas communiquer avec l'appareil. Vous devez également déconnecter l'appareil infecté des autres appareils s'il fait partie d'un réseau plus large.
Cependant, éteindre votre Wi-Fi et isoler l'appareil infecté ne suffit pas. Essayez donc d'éteindre le routeur et de débrancher les câbles Ethernet. Vous devrez peut-être également éteindre l'appareil pendant que vous faites la prochaine chose pour gérer l'attaque.
Réinitialiser les mots de passe du compte
Vous devrez supposer que vos comptes en ligne ont été compromis et les modifier. Cela est important pour prévenir ou arrêter le vol d'identité avant que le pirate ne cause de graves dommages.
Commencez par changer le mot de passe des comptes qui détiennent vos actifs financiers. Ensuite, passez aux comptes de travail et de médias sociaux, surtout si ces comptes n'ont pas authentification à deux facteurs activé. Vous pouvez également utiliser un gestionnaire de mots de passe pour créer des mots de passe sécurisés. Envisagez également d'activer 2FA sur votre compte si la plateforme le prend en charge.
Retirez votre disque et sauvegardez vos fichiers
Si vous avez les bonnes connaissances, retirez le disque dur de l'ordinateur infecté et connectez-le en tant que disque dur externe à un autre ordinateur. Effectuez une analyse approfondie du disque dur pour trouver et supprimer tout élément malveillant de l'ancien ordinateur. Ensuite, continuez à copier vos fichiers importants sur un autre lecteur propre et amovible. Si vous avez besoin d'une assistance technique, n'hésitez pas à demander de l'aide.
Essuyez l'ancien disque
Maintenant que vous avez une sauvegarde de vos fichiers importants, il est temps de nettoyer l'ancien disque. Remettez l'ancien disque sur l'ordinateur infecté et effectuez un nettoyage en profondeur.
Faire une installation propre de Windows
Une installation propre efface tout sur votre ordinateur. Cela ressemble à une mesure exagérée, mais c'est nécessaire en raison de la nature des attaques LotL. Il n'y a aucun moyen de savoir combien de programmes natifs un attaquant a compromis ou caché des portes dérobées. Le pari le plus sûr est de tout essuyer et installer proprement le système d'exploitation.
Installer les correctifs de sécurité
Il y a de fortes chances que le fichier d'installation soit en retard en ce qui concerne les mises à jour de sécurité. Ainsi, après avoir installé un système d'exploitation propre, recherchez et installez les mises à jour. Aussi, considérez suppression des bloatwares- ils ne sont pas mauvais, mais il est facile de les oublier jusqu'à ce que vous remarquiez que quelque chose monopolise les ressources de votre système.
Comment prévenir les attaques LotL
À moins qu'ils n'aient un accès direct à votre ordinateur, les pirates ont toujours besoin d'un moyen de livrer leur charge utile. Le phishing est le moyen le plus courant utilisé par les pirates pour trouver qui pirater. D'autres moyens incluent Hacks Bluetooth et les attaques de l'homme du milieu. De toute façon, la charge utile est déguisée en fichiers légitimes, comme un fichier Microsoft Office contenant des scripts courts et exécutables pour éviter la détection. Alors, comment empêcher ces attaques ?
Gardez votre logiciel à jour
La charge utile des attaques LotL repose toujours sur les vulnérabilités d'un programme ou de votre système d'exploitation pour s'exécuter. Configurer votre appareil et vos programmes pour télécharger et installer les mises à jour de sécurité dès qu'elles sont disponibles peut transformer la charge utile en raté.
Définir des stratégies de restriction logicielle
Garder votre logiciel à jour est un bon début, mais le paysage de la cybersécurité change rapidement. Vous pouvez manquer une fenêtre de mise à jour pour éliminer les vulnérabilités avant que les attaquants ne les exploitent. En tant que tel, il est préférable de restreindre la façon dont les programmes peuvent exécuter des commandes ou utiliser les ressources système en premier lieu.
Vous avez ici deux options: mettre les programmes sur liste noire ou sur liste blanche. La liste blanche consiste à accorder par défaut à une liste de programmes l'accès aux ressources système. Les autres programmes existants et nouveaux sont restreints par défaut. Inversement, la liste noire consiste à dresser une liste de programmes qui ne peuvent pas accéder aux ressources système. De cette façon, d'autres programmes existants et nouveaux peuvent accéder aux ressources système par défaut. Les deux options ont leurs avantages et leurs inconvénients, vous devrez donc décider ce qui est le mieux pour toi.
Il n'y a pas de solution miracle pour les cyberattaques
La nature des attaques de Living off the Land signifie que la plupart des gens ne sauront pas qu'ils ont été piratés jusqu'à ce que quelque chose tourne mal. Et même si vous êtes techniquement avisé, il n'y a pas qu'un seul moyen de savoir si un adversaire a infiltré votre réseau. Il est préférable d'éviter les cyberattaques en premier lieu en prenant des précautions raisonnables.
