Miért lustulnak el a hackerok – és miért lesznek közben veszélyesebbek?

Miért lustulnak el a hackerok – és miért lesznek közben veszélyesebbek?

A kiberbűnözők eldobták a menő kártevőiket, és a saját géped beépített eszközeit fordítják ellened. Ez a taktikai váltás miatt az antivíruszod vakon marad az éppen zajló támadásra.

Miért válnak lusta hackerek egyre veszélyesebbé?

Elképesztő, amit most mondok: a mai kibertámadások többsége egyáltalán nem használ kártevőt.

Furcsán hangzik, ugye? Mindannyian azt képzeljük, hogy a hackerek zseniális kódokat írnak sötét pincékben. Pedig a valóság más. Sok támadás simán kihasználja a gépeden már meglévő, teljesen legális eszközöket. Ezek beépítettek, megbízhatónak tartja őket a rendszer.

Ez a "Földön Élés" támadások világa, röviden LOTL. Ha egyszer megértetted, másképp nézel a számítógépedre.

Miért spórolnak a hackerek a saját kóddal?

Képzeld magad a támadó helyébe. Malware-t írni macerás: kell hozzá tudás, folyamatos frissítés, és mindig egy lépéssel előrébb kell járni a védelmeknél. De miért vacakodjanak ezzel, ha a Windowsod tele van erős adminisztrációs eszközökkel, mint a PowerShell vagy a WMI? Ezek gyárilag benne vannak, senki sem gyanakszik rájuk.

Ugyanaz, mintha betörnél egy házba, és a lakó saját létráját használnád a második emeletre. Miért cipelj saját cuccot?

Friss jelentések szerint ez a módszer nagyon bejött nekik. A támadások háromnegyede mentes a valódi kártevőktől. A vírusirtód? Semmit sem ér. Mint ha lakásriasztót szerelsz fel arra a tolvajra, akinek megvan a kulcs.

Így zajlik egy ilyen támadás (Egyszerűbb, mint gondolnád)

Az LOTL támadásoknak van egy tipikus menete. Ez jó hír: ha tudod, mire figyelj, meg lehet állítani őket.

1. lépés: Belépés

Általában egy munkatárs jelszavát szedik meg. Ez a legegyszerűbb rész, és naponta megtörténik. Hogyan?

  • Hamis e-mailek, amik elég jól néznek ki egy gyors pillantásnál.
  • Gyenge jelszavak, mint "jelszo123", amit pillanatok alatt feltörnek.
  • Hiányzó kétfaktoros ellenőrzés, ami azonnal megállítaná őket.
  • Régi szoftverek, amiknek a hibáit bárki megtalálja az interneten.

A kis cégek többségénél legalább egy hiba megvan. Soknál mindegyik.

2. lépés: Körbenézés és szintlépés

Benne vannak, de nem rohannak. Feltérképezik az elérhető eszközöket, megnézik a jogosultságaikat, és megkeresik a legfontosabb adatokat.

Aztán lépésről lépésre emelik a jogosultságaikat – a rendszer saját funkcióival. Csendesen, módszeresen.

3. lépés: A támadás

Itt jön a lényeg. Admin hozzáféréssel és legális eszközökkel:

  • Ellopják az ügyféladatokat vagy pénzügyi infókat.
  • Beépítenek hátsó ajtót későbbre.
  • Kikapcsolják a biztonsági figyelmességet.
  • Megtitkosítják a fájlokat, és váltságdíjat kérnek.
  • Törölnek kulcsfontosságú dolgokat.

Mindezt Windows-eszközökkel, így a védelmi szoftvered semmi furcsát nem lát. Normál admin-munka. Az EDR-ed (ha van) vak.

A régi védelem csődje

Nyílt titok: a hagyományos vírusirtó tehetetlen az LOTL ellen. Mint ha bezárnád az ajtót, miközben a betolakodó már bent van a te kulcsaidal.

Ezért döbbennek sok cég azzal szembesülve, hogy hónapokig, évekig jártak náluk, észrevétlenül. Milliókat költöttek védelemre, de a veszélyes támadások átcsúsztak.

Nem reménytelen. Váltani kell: ne csak ismert rossz dolgokat keress (szignatúra-alapú), hanem furcsa viselkedéseket figyelj (viselkedés-alapú).

Így védekezz hatékonyan

1. Kétfaktoros ellenőrzés kötelező

Ez a legfontosabb lépés ma. Ha nincs kezdeti jelszó, az LOTL semmit sem ér. A MFA igazi akadály.

Igaz, kifinomult csalással áttörhető, de a buta támadásokat kiszűri. A legtöbben továbblépnek.

2. Oktasd a csapatot (Komolyan)

A dolgozók az első vonal. Nem azért, mert szakértők, hanem mert ők kapják a csaló e-maileket.

Tanítsd meg nekik:

  • Gyanús e-maileket felismerni (furcsa feladó, sietség, érzékeny infók kérése).
  • Ne használjanak ugyanazt a jelszót mindenhol.
  • Mit tegyenek, ha baj van.

Légy gyakorlati: mutass valós példákat. Így figyelnek, nem elvont tanácsoknál.

3. Vegyél EDR-t (Endpoint Detection and Response)

Ez a vírusirtó utódja. Nem kártevőt keres, hanem szokatlan viselkedést.

PowerShell furcsán fut? Éjjel 3-kor indul admin-eszköz? Idegen helyről férnek fájlokhoz? Ezt megfogja.

Nem tökéletes, de LOTL ellen fényévekkel jobb.

4. Frissítsd a szoftvereket (Tényleg)

Unalmas, de régi programok a fő bejárat. A frissítések foltozzák a lyukakat, amiket kihasználnak.

Elsőbbség:

  • Operációs rendszer.
  • PowerShell-szerű eszközök.
  • Internetre kötött cuccok.
  • Hálózati eszközök firmware-je.

5. Korlátozd az admin-jogosultságokat

Nem kell mindenkinek adminnak lenni. Ha megvan a sima fiók, a támadó nem tudja azonnal használni a erős eszközöket.

Triviálisnak tűnik, de sok cég "könnyebbség" miatt mindenkinek adja.

6. Mindenről naplót vezess

Amit nem látsz, azt nem állítod meg. Figyeld:

  • PowerShell-futtatásokat.
  • WMI-tevékenységet.
  • Sikertelen bejelentkezéseket.
  • Hálózati mozgást.
  • Furcsa fájlhozzáféréseket.

A naplók nem állítanak meg, de korán jelzik a bajt. Két hét vs. hat hónap – ez a különbség.

Összefoglalva

LOTL támadások okosak, de megelőzhető hibákon múlnak. Nem legyőzhetetlenek. Csak a könnyű utat keresik.

MFA, oktatás, EDR és rendszerzárás kombóval nehezebb célpont leszel. Nem lehetetlen, de elég kellemetlen ahhoz, hogy máshová menjenek.

Kiberbiztonságban néha nem a tökéletes védelem a cél. Csak az, hogy neked legyen a legkevésbé kényelmes betörni.

Címkék: ['cyber attacks', 'living off the land attacks', 'malware', 'cybersecurity', 'endpoint detection', 'business security', 'phishing prevention', 'multifactor authentication', 'windows security', 'threat detection']