Невидимият зловреден софтуер е тук и вашият софтуер за сигурност не може да го хване

„Невидимият зловреден софтуер“, нова порода злонамерен софтуер, е на поход и ако удари сървърите ви, може да не можете да направите много за него. Всъщност може дори да не успеете да кажете, че го има. В някои случаи невидимият зловреден софтуер живее само в паметта, което означава, че на дисковете ви няма файл, който софтуерът за защита на крайната ви точка да намери. В други случаи невидимият зловреден софтуер може да живее във вашата основна система за вход / изход (BIOS), където може да използва една от няколко тактики, за да ви атакува. В някои случаи той дори може да се появи като актуализация на фърмуера, където той заменя съществуващия ви фърмуер с заразена версия и почти невъзможно да се намери или премахне.

„С напредването на софтуера за борба с зловредния софтуер и за откриване и отговор на крайни точки (EDR), улесняващ улавянето на зловреден софтуер с нулев ден, писателите на зловреден софтуер се движат по-ниско в стека“, казва Алиса Найт, старши анализатор в практиката на киберсигурност на Aite Group, Тя е специализирана в хардуерни заплахи. Knight заяви, че се разработва този нов тип злонамерен софтуер, който може да избегне откриването чрез наследен софтуер.

Софтуерът EDR, който е по-напреднал от наследените AV пакети, е много по-ефективен при улавяне на атаки и този софтуер използва различни методи, за да определи кога нападателят е на работа. "Развитието на EDR кара черната шапка да реагира и да създаде коренни комплекти на ядрото и коренни комплекти на фърмуер, той в хардуер, където може да запише към основния запис на зареждане", каза Найт.

Това също доведе до създаването на виртуални коренни комплекти, които ще се зареждат преди операционната система (OS), създавайки виртуална машина (VM) за злонамерения софтуер, така че да не може да бъде открит от софтуера, работещ на операционната система. "Това прави почти невъзможно да се хване", каза тя.

Blue Pill Malware и др

За щастие, инсталирането на виртуален корен на сървър все още е трудно - дотолкова, доколкото атакуващите, които го опитват, обикновено работят като държавни спонсорирани нападатели. В допълнение, поне някои от дейностите могат да бъдат открити и няколко могат да бъдат спрени. Найт казва, че „без файл безработен софтуер“, който работи само в паметта, може да бъде победен чрез насилствено изключване на компютъра, на който работи.

Но Knight също каза, че такъв злонамерен софтуер може да бъде придружен от това, което се нарича „Blue Pill malware“, което е форма на виртуален корен комплект, който се зарежда във VM и след това зарежда ОС във VM. Това позволява фалшиво изключване и рестартиране, като оставя злонамерения софтуер да продължава да работи. Ето защо не можете просто да използвате избора за изключване в Microsoft Windows 10; само дърпането на щепсела ще работи.

За щастие понякога могат да бъдат открити и други видове хардуерни атаки, докато те са в ход. Найт каза, че една компания, SentinelOne, е създала EDR пакет, който е по-ефективен от повечето и понякога може да открие кога злонамерен софтуер атакува BIOS или фърмуера на машина.

Крис Бейтс е глобален директор на продуктовата архитектура в SentinelOne. Той каза, че агентите на продукта работят автономно и при необходимост могат да комбинират информация с други крайни точки. "Всеки агент на SentinelOne изгражда контекст", каза Бейтс. Той каза, че контекстът и събитията, които се случват, докато контекстът се изгражда, създават истории, които могат да бъдат използвани за откриване на операциите на злонамерен софтуер.

Бейтс каза, че всяка крайна точка може да предприеме отстраняване сама по себе си чрез премахване на злонамерения софтуер или поставянето му в карантина. Бейтс също каза, че неговият пакет за EDR не може да хване всичко, особено когато това се случва извън ОС. USB пример за палец, който пренаписва BIOS, преди компютърът да се стартира е един пример.

Следващо ниво на подготовка

Тук идва следващото ниво на подготовка, обясни Найт. Тя посочи съвместен проект между Intel и Lockheed Martin, който създаде втвърдено решение за сигурност, работещо на стандартни процесори за мащабируеми процесори Intel Xeon от второ поколение, наречено „Intel Select Solution for Hardened Security with Lockheed Martin“. Това ново решение е предназначено за предотвратяване на злонамерени програми чрез изолиране на критични ресурси и защита на тези ресурси.

Междувременно Intel обяви и друга серия от мерки за превенция на хардуера, наречена "Hardware Shield", която блокира BIOS. „Това е технология, при която, ако има някаква инжекция от злонамерен код, тогава BIOS може да реагира“, обясни Стефани Холфорд, вицепрезидент и генерален мениджър на бизнес клиентските платформи в Intel. „Някои версии ще имат възможност да комуникират между ОС и BIOS. ОС също може да реагира и да се защити от атаката.“

За съжаление, няма какво много да направите, за да защитите съществуващите машини. „Трябва да замените критичните сървъри“, каза Найт и добави, че вие ​​също ще трябва да определите какви са вашите критични данни и къде се изпълняват.

"Intel и AMD ще трябва да постигнат топката и да демократизират това", каза Найт. „Тъй като авторите на зловреден софтуер стават по-добри, доставчиците на хардуер ще трябва да изравнят и да го направят достъпно.“

Проблемът е само влошаване

За съжаление Найт каза, че проблемът само се задълбочава. „Комплектите за престъпления и зловредния софтуер ще станат по-лесни“, каза тя.

Найт добави, че единственият начин за повечето компании да избегнат проблема е да преместят своите критични данни и процеси в облака, дори и само защото доставчиците на облачни услуги могат по-добре да се защитят от този вид хардуерна атака. „Време е да прехвърлим риска“, каза тя.

И Найт предупреди, че с бързината нещата се движат, има малко време да защитим критичните си данни. "Това ще се превърне в червей", прогнозира тя. „Ще стане някакъв вид саморазпространяващ се червей“. Това е бъдещето на кибервоенството, каза Найт. Това няма да остане завинаги в компетенциите на държавно спонсорираните актьори.

Стъпки за предприемане

И така, с бъдещето това мрачно, какво можете да направите сега? Ето няколко първоначални стъпки, които трябва да предприемете веднага:

Ако все още нямате ефективен софтуер за EDR, като SentinelOne, вземете такъв сега.

Определете вашите критични данни и работете за защитата им чрез криптиране, докато надграждате сървърите, на които са включени данни, на машини, защитени от хардуерните уязвимости и експлоатациите, които се възползват от тях.

Когато вашите критични данни трябва да останат вътрешни, заменете сървърите, които съдържат тези данни, на платформи, които използват хардуерните технологии, като Hardware Shield за клиенти и Intel Select Solution for Hardened Security с Lockheed Martin за сървъри.

Където е възможно, преместете критичните си данни към облачни доставчици със защитени процесори.

• • Най-добрата антивирусна защита за 2019 г. Най-добрата антивирусна защита за 2019 г.
  • Най-добрият хостван софтуер за защита и защита на крайната точка за 2019 г. Най-добрият софтуер за защита и защита на крайните точки за 2019 г.
  • Най-добрият софтуер за премахване и защита на зловреден софтуер за 2019 г. Най-добрият софтуер за премахване и защита на злонамерен софтуер за 2019 г.

  Продължавайте да обучавате персонала си в добра хигиена на сигурността, така че да не са тези, които включват инфектиран палец на един от вашите сървъри.

Уверете се, че вашата физическа сигурност е достатъчно силна, за да защити сървърите и останалите крайни точки във вашата мрежа. Ако всичко това ви накара да ви се струва, че сигурността е надпревара с оръжие, тогава бихте били прави.