Miksi hakkerit laiskistuvat – ja vaarallisemmiksi käyvät?

Miksi hakkerit laiskistuvat – ja vaarallisemmiksi käyvät?

Kyberrikolliset heittävät hienot haittaohjelmat romukoppaan. Sen sijaan ne kääntävät tietokoneesi omat työkalut sinua vastaan. Tällainen temppu tekee antivirusohjelmistasi täysin sokean – hyökkäys voi käydä jo nyt.

Miksi hakkerit laiskistuvat – ja muuttuvat vaarallisemmiksi

Tiesitkö tämän? Suurin osa nykypäivän kyberhyökkäyksistä ei käytä lainkaan haittaohjelmia.

Kuulostaa hullulta, eikö? Olemme tottuneet ajattelemaan hakkerit nerokkaina koodaajina, jotka kehittävät salaisia viruksia kellareissaan. Todellisuus on toinen. Rikolliset käyttävät sun koneella jo valmiiksi olevia työkaluja. Ne ovat luotettavia ja täysin laillisia.

Tervetuloa "Living Off the Land" -hyökkäysten eli LOTL:n maailmaan. Kun homma aukeaa, sun suhteesi tietokoneeseen muuttuu ikuisesti.

Miksi koodata uutta, kun valmista löytyy?

Kuvittele rikollisen näkökulma. Haittaohjelman tekeminen on työlästä. Tarvitsee osaamista, päivityksiä ja väistelyä turvaohjelmilta. Mutta Windows-koneessasi pyörii jo PowerShell ja WMI – hallintatyökaluja, jotka kuuluvat systeemiin.

Miksi vääntää omaa koodia kuukausia? Riittää, kun kaapataan valmiit työkalut. Sun antivirus ei huomaa mitään.

Se on kuin murtomies käyttäisi sun omaa tikapuita ullakolle. Miksi raahata omat, kun uhrilla on paremmat?

Raporttien mukaan lähes 75 prosenttia havaituista hyökkäyksistä on malwaritta. Turvaohjelmat passivoituvat. Ovikello soi, mutta varas on jo sisällä avaimilla.

Näin hyökkäys etenee – askel askeleelta

LOTL-hyökkäykset noudattavat tuttua kaavaa. Se on hyvä uutinen: osataan estää, jos tunnistetaan.

Vaihe 1: Sisäänpääsy

Aloitus on yksinkertainen: varastetaan työntekijän tunnus. Tapahtuu jatkuvasti.

  • Kalastelusähköpostit, jotka näyttävät aidoilta kahvitauolla.
  • Heikot salasanat kuten "Salasana1", murrettavissa sekunneissa.
  • Puuttuva kaksivaiheinen tunnistautuminen, joka torppaisi kaiken.
  • Vanhentunut softa, jonka reiät löytyvät netistä.

Pienyritykset kompastuvat ainakin yhteen näistä. Usein kaikkiin.

Vaihe 2: Tutkinta ja valta nousuun

Sisällä ei ryödytä heti tietoja. Hyökkääjä kartoittaa: mitkä työkalut saatavilla, mitkä oikeudet, missä aarteet.

Sitten nousee tasoja systeemin ominaisuuksilla. Hiljaista ja suunnitelmallista.

Vaihe 3: Varsinainen isku

Admin-oikeuksilla ja natiivityökaluilla:

  • Varastetaan asiakas- tai taloustietoja.
  • Avataan takaportteja.
  • Sammutetaan valvonta.
  • Lukitaan tiedostot ja vaaditaan lunnaita.
  • Poistetaan kriittiset tiedostot.

Kaikki näyttää normaalilta hallinnolta. EDR-järjestelmäkin (jos sellainen on) sokea.

Perinteinen turva pettää

Tavallinen antivirus on hyödytön LOTL:ää vastaan. Se on kuin lukko ovella, kun varas pyörii jo kämpässä sun avaimilla.

Siksi firmat ihmettelevät: murruttu kuukausia, vuosia huomaamatta. Rahat turvaan menivät hukkaan.

Ei kuitenkaan toivoton tilanne. Siirry "allekirjoituspohjaisesta" (tunnetut pahikset) kohti "käyttäytymispohjaista" (epätavalliset teot).

Puolustuskeinot, jotka toimivat

1. Kaksivaiheinen tunnistautuminen pakolliseksi

Tärkein temppu heti tänään. Ilman tunnuksia LOTL ei ala. Toinen este on vaikea kiertää.

Jopa MFA pettää fiksulla kalastelulla, mutta heikot kohdat katoavat. Hyökkääjä siirtyy muualle.

2. Kouluta porukkaa kunnolla

Työntekijät ovat etulinja. Eivät expertejä, mutta he saavat viestit.

Koulutuksessa:

  • Epäilyttävät meilit (väärä lähettäjä, kiire, salaisuudet).
  • Eri salasanat eri paikkoihin.
  • Toiminta, jos mokattu.

Pidä käytännöllisenä, esimerkeillä. Uhka konkretisoituu paremmin kuin luennot.

3. Hanki EDR-järjestelmä

Antivirusin korvaaja. Seuraa outoja kuviot:

  • PowerShell epänormaalisti.
  • Hallintatyökalu keskellä yötä.
  • Tiedostot uudesta paikasta.

Ei täydellinen, mutta LOTL:ää vastaan ylivertainen.

4. Päivitä softat systemaattisesti

Perusjuttu, mutta kriittinen. Vanhussofta on sisäänkäynti. Ne päivitykset? Ne tukkeutuvat reiät.

Painopisteet:

  • Käyttöjärjestelmä.
  • PowerShell ym. hallintaohjelmat.
  • Nettiyhteyksien softat.
  • Verkolaitteiden firmikset.

5. Rajoita admin-oikeudet

Kaikilla ei tarvi olla yliaikaa koneella. Kompromisoitu tili ei pääse natiivityökaluihin.

Ilmeistä, mutta monet antaa kaikille "helppouden" takia.

6. Valvo ja lokita kaiken

Tiedä, mitä tapahtuu. Seuraa:

  • PowerShellin käyttöä.
  • WMI-toimintaa.
  • Epäonnistuneita kirjautumisia.
  • Liikkumista verkossa.
  • Outoja tiedostokäyntejä.

Lokit eivät pysäytä, mutta paljastavat aikaisin. Viikot vs. kuukaudet.

Yhteenveto

Hyvä puoli: LOTL nojaa estettäviin heikkouksiin. Ei mahdoton voima, vaan laiska reitti.

MFA, koulutus, EDR ja kovetus tekevät susta vaikean kohteen. Ei läpipääsemätön – mikään ei ole – mutta tarpeeksi hankala. Hyökkääjä valitsee helpomman uhrin.

Kyberpuolustuksessa voitto on olla vähemmän houkutteleva kuin naapuri.

Tagit: ['cyber attacks', 'living off the land attacks', 'malware', 'cybersecurity', 'endpoint detection', 'business security', 'phishing prevention', 'multifactor authentication', 'windows security', 'threat detection']