Cuprins:
- Detectarea programelor malware
- Explicarea în aer liber
- Împiedicarea comunicării programelor malware
- Ștergerea programelor Malware bazate pe hardware
Video: Antivirus vs Anti-malware as Fast As Possible (Noiembrie 2024)
Știind că există un astfel de malware invizibil asta este la îndemâna software-ului dvs. anti-malware este suficient de înfricoșător. Dar ce spuneți când aflați că, chiar dacă localizați aceste lucruri, s-ar putea să nu puteți scăpa de el? Din păcate, în funcție de tipul de malware bazat pe hardware despre care vorbim, acesta ar putea fi bine.
Detectarea programelor malware
Din fericire, experții au găsit modalități prin care acest malware invizibil poate fi dezvăluit, dar ca și cum cei răi vor păstra ritmul, există și noi modalități de instalare. Totuși, sarcina de a-l găsi este ușor ușor. De exemplu, o nouă vulnerabilitate în procesoarele Intel numite „ZombieLoad” poate fi atacată prin intermediul codului de exploatare livrat în software. Această vulnerabilitate poate permite introducerea de programe malware în BIOS-ul computerului de la distanță.
În timp ce cercetătorii încă studiază ZombieLoad, încearcă să determine amploarea problemei din această ultimă rundă de exploatări Intel, cert este că astfel de exploatări hardware se pot extinde în întreaga întreprindere. „Firmware-ul este cod programabil care stă pe un cip”, explică Jose E. Gonzalez, co-fondator și CEO al Trapezoid. „Aveți o grămadă de coduri pe sistemul dvs. la care nu vă uitați.”
Exacerbarea acestei probleme constă în faptul că acest firmware poate exista în toată rețeaua dvs., în dispozitive care variază de la camere web și dispozitive de securitate la comutatoare și routere până la computerele din camera serverului. Toate sunt în esență dispozitive de calcul, astfel încât oricare dintre ele poate conține malware care deține cod de exploatare. De fapt, doar astfel de dispozitive au fost folosite pentru a lansa atacuri de refuz de serviciu (atacuri DoS) de la roboți, bazate pe firmware-ul lor.
Trapezoid 5 este capabil să detecteze prezența malware-ului bazat pe firmware printr-un sistem unic de filigrane care leagă criptografic firmware-ul fiecărui dispozitiv de orice hardware pe care este rulat vreodată. Aceasta include dispozitive virtuale, inclusiv mașini virtuale (VM-uri) amplasate fie în spații, fie în infrastructura virtuală-ca-serviciu (IaaS) rulate în cloud. Aceste filigrane pot dezvălui dacă s-a schimbat ceva din firmware-ul dispozitivului. Adăugarea de malware la firmware îl va schimba astfel încât filigranul să fie nevalid.
Trapezoidul include un motor de verificare a integrității firmware-ului care ajută la identificarea problemelor în firmware și permite personalului de securitate să le examineze. Trapezoidul se integrează, de asemenea, cu multe instrumente de gestionare și raportare a politicilor de securitate, astfel încât să puteți adăuga strategii adecvate de atenuare pentru dispozitivele infectate.
Explicarea în aer liber
Alissa Knight este specializată în probleme de securitate hardware. Este analistul senior al grupului Aite și autorul cărții viitoare Hacking Connected Cars: Tactics, Techniques and Procedures . Cavaler a spus că profesioniștii IT care doresc să scaneze malware invizibil vor avea probabil nevoie de un instrument precum Trapezoid 5. Nimic mai puțin specializat nu va face acest lucru. „Există un aspect fundamental al aerului din spate, care le face greu de detectat, deoarece așteaptă anumite declanșatoare care să le trezească”, a explicat ea.
Knight a spus că, dacă există un astfel de backdoor, indiferent dacă face parte dintr-un atac malware sau există din alte motive, atunci cel mai bun lucru pe care îl puteți face este să nu-i funcționați, împiedicându-i să detecteze declanșatorii. Ea a indicat Silencing Hardware Backdoors , un raport de cercetare realizat de Adam Waksman și Simha Sethumadhavan, ambele Laborator de arhitectură și tehnologie de securitate, Departamentul de informatică al Universității Columbia.
Cercetările lui Waksman și Sethumadhavan arată că aceste declanșatoare de malware pot fi împiedicate să funcționeze prin trei tehnici: în primul rând, o resetare a puterii (pentru malware rezidenți în memorie și atacuri bazate pe timp); în al doilea rând, ofuscarea datelor; și al treilea, ruperea secvenței. Obfuscarea presupune criptarea datelor care intră în intrări poate împiedica declanșarea declanșatorilor, așa cum poate randomiza fluxul de comenzi.
Problema acestor abordări este că acestea pot fi nepracticabile într-un mediu IT pentru toate implementările, cu excepția celor mai critice. Knight a subliniat că unele dintre aceste atacuri sunt mai probabil să fie conduse de atacatori sponsorizați de stat decât de cibernetici. Cu toate acestea, merită remarcat faptul că acești atacatori sponsorizați de stat merg după mici pentru a întreprinde mijlocii întreprinderile (SMB) în încercarea de a obține informații sau alte acces la țintele lor finale, astfel încât profesioniștii IT ai SMB nu pot ignora pur și simplu această amenințare ca fiind prea sofisticați pentru a le aplica.
Împiedicarea comunicării programelor malware
Cu toate acestea, o strategie care funcționează este prevenirea comunicării malware, ceea ce este adevărat pentru majoritatea programelor malware și în aer liber. Chiar dacă sunt acolo, nu pot face nimic dacă nu pot fi pornite sau dacă nu își pot trimite sarcinile utile. Un bun aparat de analiză de rețea poate face acest lucru. „trebuie să comunice cu baza de domiciliu”, a explicat Arie Fred, vicepreședinte al Managementului produselor la SecBI, care folosește un sistem de răspuns și detecție a amenințărilor bazate pe inteligență artificială (AI) pentru a împiedica comunicarea malware-ului.
"Folosim o abordare bazată pe jurnal folosind date de pe dispozitivele existente pentru a crea vizibilitate completă", a spus Fred. Această abordare evită problemele create de comunicațiile criptate de la malware, pe care unele tipuri de sisteme de detectare a malware nu le pot prinde.
"Putem face investigații autonome și atenuări automate", a spus el. În acest fel, comunicațiile suspecte de la un dispozitiv la o destinație neașteptată pot fi urmărite și blocate, iar informațiile pot fi partajate în altă parte din rețea.
Ștergerea programelor Malware bazate pe hardware
Așadar, ați găsit poate niște malware invizibile și, probabil, ați reușit să îl blocați să continue o conversație cu nava sa maternă. Bine, dar ce să scapi de asta? Se dovedește că acest lucru nu este doar dificil, poate că este imposibil.
Dintre cazurile în care este posibil, vindecarea imediată constă în reîncărcarea firmware-ului. Acest lucru poate elimina malware-ul, cu excepția cazului în care a trecut prin lanțul de aprovizionare propriu al dispozitivului, caz în care veți reîncărca malware.
- Cel mai bun software de monitorizare a rețelei pentru anul 2019 Cel mai bun software de monitorizare a rețelei pentru 2019
- Cel mai bun software de eliminare și protecție împotriva programelor malware pentru anul 2019 Cel mai bun software de eliminare și protecție împotriva programelor malware pentru anul 2019
- Programele de securitate invizibile sunt aici și software-ul dvs. de securitate nu îl pot prinde Malware-ul invizibil este aici și software-ul dvs. de securitate nu îl poate prinde
Dacă faceți reflash, atunci este important, de asemenea, să urmăriți rețeaua dvs. pentru semne de reinfectare. Acest malware a trebuit să intre în hardware-ul dvs. de undeva și, dacă nu a venit de la producător, atunci este posibil ca aceeași sursă să-l trimită din nou pentru a se restabili.
Ceea ce reduce acest lucru este mai multă monitorizare. Aceasta ar continua să vă monitorizeze traficul de rețea pentru semne de comunicații malware, precum și păstrarea file pe diversele instalații de firmware ale dispozitivului pentru semne de infecție. Și dacă monitorizați, poate puteți afla de unde provine și să eliminați și asta.
