У дома Бизнес Може да успеете да намерите невидим зловреден софтуер, но да се отървете от него не е лесно

Може да успеете да намерите невидим зловреден софтуер, но да се отървете от него не е лесно

Съдържание:

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Anonim

Знаейки, че има такова нещо като невидим зловреден софтуер това е извън обсега на вашия анти-зловреден софтуер е достатъчно страшно. Но какво да кажем, когато научите, че дори да намерите тези неща, може да не успеете да се отървете от него? За съжаление, в зависимост от вида на хардуерно базиран зловреден софтуер, за който говорим, това може би е така.

Вече писах миналата седмица за проблема с невидимия зловреден софтуер, който може да съществува в основната система за вход / изход (BIOS) на вашия компютър и може да съдържа виртуални руткити. След това тези руткити могат спокойно да превземат вашите сървъри, настолни компютри или други устройства. Тъй като те съществуват в хардуера, вашата защита на крайната точка или други пакети срещу злонамерен софтуер обикновено не могат да ги видят. Всъщност може никога да не разберете, че сте заразени, докато данните ви не се покажат за продажба след нарушение.

Откриване на зловреден софтуер

За щастие, експертите са открили начини, по които този невидим зловреден софтуер може да бъде разкрит, но сякаш лошите момчета вървят в крак, има и нови начини да бъде инсталиран. Все пак задачата да го намерите е направена донякъде по-лесна. Например, нова уязвимост в процесорите на Intel, наречена "ZombieLoad", може да бъде атакувана чрез експлоатационен код, доставен в софтуера. Тази уязвимост може да позволи дистанционно въвеждане на зловреден софтуер в BIOS на компютъра.

Докато изследователите все още изучават ZombieLoad, опитвайки се да определят степента на проблема в този последен кръг от експлоатации на Intel, факт е, че подобни хардуерни експлоатации могат да бъдат обхванати в предприятието. „Фърмуерът е програмируем код, който седи на чип“, обяснява Хосе Е. Гонсалес, съосновател и изпълнителен директор на Trapezoid. „Имате куп код във вашата система, който не гледате.“

Засилването на този проблем е фактът, че този фърмуер може да съществува в цялата ви мрежа, в устройства, вариращи от уеб камери и устройства за сигурност до превключватели и рутери до компютрите във вашата сървърна стая. Всички те са по същество изчислителни устройства, така че всяко от тях може да съдържа злонамерен софтуер, притежаващ експлоатационен код. Всъщност точно такива устройства са били използвани за стартиране на атаки за отказ на услуга (DoS атаки) от ботове, базирани на техния фърмуер.

Trapezoid 5 е в състояние да открие наличието на зловреден софтуер, базиран на фърмуер, чрез уникална система от водни знаци, която криптографски обвързва фърмуера на всяко устройство с всеки хардуер, на който той някога се изпълнява. Това включва виртуални устройства, включително виртуални машини (виртуални машини), разположени или в помещения или виртуална инфраструктура като услуга (IaaS), която се изпълнява в облака. Тези водни знаци могат да разкрият дали нещо във фърмуера на устройството се е променило. Добавянето на зловреден софтуер към фърмуера ще го промени, така че водният знак да е невалиден.

Trapezoid включва двигател за проверка на целостта на фърмуера, който помага да забележите проблеми във фърмуера и позволява на служителите по сигурността да ги изследват. Трапецоидът също се интегрира с много инструменти за управление на политики за сигурност и отчитане, така че можете да добавите подходящи стратегии за смекчаване на заразени устройства.

Обясняване на заден план

Алиса Найт е специализирана в проблеми с хардуерната сигурност. Тя е старши анализатор в The Aite Group и автор на предстоящата книга Hacking Connected Cars: Tactics, Techniques and Procedure . рицар каза, че ИТ специалистите, които искат да сканират невидим зловреден софтуер, вероятно ще се нуждаят от инструмент като Trapezoid 5. Нищо по-малко специализирано няма да направи. „Има фундаментален аспект на заден план, който ги прави трудни за откриване, защото чакат определени задействания, за да ги събудят“, обясни тя.

Найт каза, че ако съществува такава бекдорда, независимо дали е част от атака на злонамерен софтуер или съществува по някаква друга причина, тогава най-доброто, което можете да направите, е да ги възпрепятствате да работят, като не им позволяват да откриват техните задействания. Тя посочи Silencing Hardware Backdoors , изследователски доклад на Адам Уоксман и Симха Сетхумадхаван, и двамата от Лаборатория за компютърна архитектура и технологии за сигурност, Катедра по компютърни науки в Колумбийския университет.

Изследванията на Waksman и Sethumadhavan показват, че тези задействащи програми за злонамерен софтуер могат да бъдат предотвратени да работят с три техники: Първо, нулиране на захранването (за злонамерен софтуер с памет и временни атаки); второ, объркване на данни; и трето, нарушаване на последователността. Обмяната включва криптиране на данни, влизащи във входове, може да попречи на разпознаването на тригерите, както може да се рандомизира командния поток.

Проблемът с тези подходи е, че те могат да бъдат непрактични в ИТ среда за всички, освен най-критичните реализации. Найт посочи, че някои от тези атаки са по-склонни да бъдат проведени от спонсорирани от държавата нападатели, отколкото от киберпрестъпници. Въпреки това си струва да се отбележи, че тези спонсорирани от държавата нападатели наистина следват малки и средни предприятия (SMBs) в опит да получат информация или друг достъп до крайните си цели, така че SMB IT специалистите не могат просто да пренебрегнат тази заплаха като твърде сложна. да се кандидатства за тях.

Предотвратяване на комуникиране на злонамерен софтуер

Въпреки това, една от стратегиите, която работи, е предотвратяване на комуникацията на зловредния софтуер, нещо, което е вярно за повечето злонамерен софтуер и на заден план. Дори и да са там, те не могат да направят нищо, ако не могат да бъдат включени или ако не могат да изпратят своите полезни товари. Един добър уред за анализ на мрежата може да направи това. "трябва да комуникира с домашната база", обясни Арие Фред, заместник-председател на продуктовото управление в SecBI, който използва система за откриване и реакция на базата на изкуствен интелект (AI), за да не комуникира злонамерен софтуер.

"Ние използваме логов базиран подход, използвайки данни от съществуващите устройства, за да създадем пълна видимост", каза Фред. Този подход избягва проблемите, създадени от криптирани комуникации от зловредния софтуер, които някои видове системи за откриване на злонамерен софтуер не могат да намерят.

"Можем да правим автономни разследвания и автоматични смекчавания", каза той. По този начин подозрителни комуникации от устройство до неочаквана дестинация могат да бъдат проследени и блокирани и тази информация може да бъде споделена другаде в мрежата.

Изтриване на зловреден софтуер, базиран на хардуер

Така че може би сте намерили някакъв невидим зловреден софтуер и може би сте успели да го блокирате да води разговор с неговото майчинство. Всичко хубаво, но какво ще кажете да се отървете от него? Оказва се, че това не е просто трудно, а може и да е невъзможно.

От онези случаи, в които е възможно, незабавното излекуване е да препровери фърмуера. Това може да елиминира злонамерения софтуер, освен ако не е дошъл през собствената верига на доставката на устройството, като в този случай просто ще презаредите зловредния софтуер.

  • Най-добрият софтуер за мрежов мониторинг за 2019 г. Най-добрият софтуер за мрежов мониторинг за 2019 г.
  • Най-добрият софтуер за премахване и защита на зловреден софтуер за 2019 г. Най-добрият софтуер за премахване и защита на злонамерен софтуер за 2019 г.
  • Невидимият зловреден софтуер е тук и вашият софтуер за сигурност не може да го хване Невидимият зловреден софтуер е тук и вашият софтуер за сигурност не може да го хване

Ако правите рефлаш, тогава също е важно да наблюдавате мрежата си за признаци на повторна инфекция. Този зловреден софтуер трябваше да попадне във вашия хардуер отнякъде и ако не дойде от производителя, тогава определено е възможно същият източник да го изпрати отново, за да се възстанови отново.

Това, което се свежда до това, е повече мониторинг. Това ще продължи да следи мрежовия ви трафик за признаци на зловреден софтуер, както и да поддържа раздели на инсталациите на фърмуера на различни устройства за признаци на инфекция. И ако наблюдавате, може би можете да разберете откъде идва и да го елиминирате.

Може да успеете да намерите невидим зловреден софтуер, но да се отървете от него не е лесно