Programele de malware invizibile sunt aici și software-ul dvs. de securitate nu îl poate prinde

„Malware invizibil”, o nouă rasă de malware, este în curs de marș și, dacă vă lovește serverele, este posibil să nu faceți prea multe despre asta. De fapt, s-ar putea să nu poți spune chiar că este acolo. În unele cazuri, malware-ul invizibil trăiește doar din memorie, ceea ce înseamnă că nu există fișiere pe discuri pe care să le găsească software-ul dvs. de protecție finală. În alte cazuri, malware-ul invizibil poate trăi în sistemul de bază de intrare / ieșire (BIOS), unde poate utiliza una dintre câteva tactici pentru a vă ataca. În unele cazuri, poate apărea chiar ca o actualizare a firmware-ului unde înlocuiește firmware-ul existent cu o versiune infectată și aproape imposibil de găsit sau de eliminat.

"Odată cu avansarea software-ului anti-malware și pentru detecția și răspunsul Endpoint (EDR), ceea ce face mai ușor să prindă malware-ul de zero zile, scriitorii de malware se mișcă mai jos pe stivă", a spus Alissa Knight, un analist senior cu practica cibersecurității Aite Group.. Ea este specializată în amenințări hardware. Knight a spus că acest nou tip de malware este dezvoltat care poate sustrage detectarea prin software-ul vechi.

Software-ul EDR, care este mai avansat decât pachetele AV vechi, este mult mai eficient la atragerea atacurilor și acest software folosește o varietate de metode pentru a determina când un atacator este la serviciu. "Dezvoltarea EDR face ca pălăria neagră să răspundă și să creeze kituri rădăcină de sâmbure și kituri rădăcină de firmware, în hardware unde se poate scrie la înregistrarea principală de boot", a spus Knight.

De asemenea, s-a dus la crearea de kituri rădăcină virtuale, care se vor porni înainte de sistemul de operare (OS), creând o mașină virtuală (VM) pentru malware, astfel încât acesta să nu poată fi detectat de software-ul care rulează pe sistemul de operare. - Asta face aproape imposibil de prins, a spus ea.

Blue Pill Malware și multe altele

Din fericire, instalarea unui kit rădăcină virtuală pe un server este încă dificilă - în măsura în care atacatorii care o încearcă funcționează în general ca atacatori sponsorizați de stat. În plus, cel puțin unele dintre activități pot fi detectate și câteva pot fi oprite. Knight spune că „malware fără filă”, care funcționează doar în memorie, poate fi învins prin oprirea forțată a computerului pe care rulează.

Însă Knight a spus că un astfel de malware poate fi însoțit de ceea ce se numește „Blue Pill malware”, care este o formă de kit rădăcină virtuală care se încarcă într-o mașină virtuală și apoi încarcă sistemul de operare într-o mașină virtuală. Acest lucru îi permite să falsifice o oprire și să repornească, lăsând programul malware să continue. Acesta este motivul pentru care nu puteți utiliza doar opțiunea de oprire în Microsoft Windows 10; numai tragerea mufei va funcționa.

Din fericire, alte tipuri de atacuri hardware pot fi uneori detectate în timp ce acestea sunt în desfășurare. Knight a spus că o companie, SentinelOne, a creat un pachet EDR care este mai eficient decât majoritatea și poate detecta uneori când malware atacă BIOS-ul sau firmware-ul pe o mașină.

Chris Bates este directorul global al arhitecturii produselor la SentinelOne. El a spus că agenții produsului funcționează în mod autonom și pot combina informațiile cu alte obiective atunci când este nevoie. "Fiecare agent SentinelOne construiește contextul", a spus Bates. El a spus că contextul și evenimentele care se întâmplă în timp ce contextul este construit creează povești care pot fi utilizate pentru a detecta operațiunile malware.

Bates a spus că fiecare punct final poate lua remedierea pe cont propriu prin eliminarea malware-ului sau plasarea acestuia în carantină. Dar Bates a mai spus că pachetul său EDR nu poate prinde totul, mai ales atunci când se întâmplă în afara sistemului de operare. O unitate USB de tip thumb care rescrie BIOS-ul înainte de pornirea computerului este un exemplu.

Nivelul următor de pregătire

Aici intervine următorul nivel de pregătire, a explicat Knight. Ea a arătat către un proiect comun între Intel și Lockheed Martin, care a creat o soluție de securitate întărită care se desfășoară pe procesoare standard de generație Intel Xeon de a doua generație, denumită „Soluție Intel Selectată pentru securitate îngreunată cu Lockheed Martin”. Această nouă soluție este concepută pentru a preveni infecțiile cu malware prin izolarea resurselor critice și protejarea acestor resurse.

Între timp, Intel a anunțat, de asemenea, o altă serie de măsuri preventive hardware numite „Hardware Shield”, care blochează BIOS-ul. "Aceasta este o tehnologie în care, dacă există un fel de injecție de cod rău intenționat, atunci BIOS-ul poate răspunde", a explicat Stephanie Hallford, vicepreședinte și directorul general al platformelor pentru clienții de afaceri la Intel. "Unele versiuni vor avea capacitatea de a comunica între sistemul de operare și BIOS. Sistemul de operare poate răspunde și proteja împotriva atacului."

Din păcate, nu puteți face multe pentru a proteja mașinile existente. „Trebuie să înlocuiți serverele critice”, a spus Knight, adăugând că va trebui, de asemenea, să determinați care sunt datele dvs. critice și unde se rulează.

"Intel și AMD vor trebui să se ridice și să democratizeze acest lucru", a spus Knight. „Pe măsură ce scriitorii de malware devin mai buni, vânzătorii de hardware vor trebui să capteze accesul și să le facă accesibile”.

Problema este doar înrăutățirea

Din păcate, Knight a spus că problema se va agrava. "Trusele crimei și kiturile malware vor deveni mai ușoare", a spus ea.

Knight a adăugat că singura modalitate prin care majoritatea companiilor evită problema este să-și mute datele și procesele critice în cloud, numai dacă furnizorii de servicii cloud se pot proteja mai bine împotriva acestui tip de atac hardware. "Este timpul să transferați riscul", a spus ea.

Și Knight a avertizat că, cu viteza lucrurile se mișcă, este puțin timp pentru a vă proteja datele critice. "Acest lucru se va transforma într-un vierme", a prezis ea. „Va deveni un fel de vierme autopropulător.” Este viitorul cyberwarfare, a spus Knight. Nu va rămâne în viziunea actorilor sponsorizați de stat pentru totdeauna.

Pași de făcut

Deci, cu viitorul acesta sumbr, ce poți face acum? Iată câteva etape inițiale pe care ar trebui să le faceți imediat:

Dacă nu aveți deja un software EDR eficient, cum ar fi SentinelOne, atunci obțineți unul acum.

Identificați datele dvs. critice și lucrați pentru a le proteja prin criptare în timp ce actualizați serverele la care datele sunt pe mașini protejate împotriva vulnerabilităților hardware și a exploatărilor care profită de ele.

În cazul în care datele dvs. critice trebuie să rămână interne, înlocuiți serverele care conțin aceste date pe platforme care utilizează tehnologiile hardware, cum ar fi Hardware Shield pentru clienți și soluția Intel Select pentru securitate îngreunată cu Lockheed Martin pentru servere.

Ori de câte ori este posibil, mutați datele dvs. critice către furnizorii de cloud cu procesoare protejate.

• • Cea mai bună protecție antivirus pentru 2019 Cea mai bună protecție antivirus pentru 2019
  • Cel mai bun software de protecție și securitate pentru gazdă finalizat pentru 2019 Cel mai bun software de protecție și securitate pentru gazele terminate pentru 2019
  • Cel mai bun software de eliminare și protecție împotriva programelor malware pentru anul 2019 Cel mai bun software de eliminare și protecție împotriva programelor malware pentru anul 2019

  Formați-vă personalul într-o igienă bună de securitate, astfel încât acestea să nu fie cele care conectează un dispozitiv de deget pulverizat infectat pe unul dintre serverele dvs.

Asigurați-vă că securitatea fizică este suficient de puternică pentru a proteja serverele și restul punctelor finale din rețea. Dacă toate acestea fac să vi se pară că securitatea este o cursă de armament, atunci ar fi corect.