Du kan kanskje finne usynlig skadelig programvare, men å kvitte seg med det er ikke lett

Å vite at det er slikt som usynlig skadelig programvare det er utenfor rekkevidden til anti-malware-programvaren din er skummel nok. Men hva med når du får vite at selv om du finner dette, kan det hende at du ikke kan bli kvitt det? Avhengig av hvilken maskinvarebasert malware vi snakker om, kan det dessverre være tilfelle.

Jeg skrev allerede forrige uke om problemet med usynlig skadelig programvare, som kan eksistere i datamaskinens Basic Input / Output System (BIOS) og kan ha virtuelle rootkits. Disse rootkits kan da stille ta over serverne, stasjonære datamaskinene eller andre enheter. Fordi de eksisterer i maskinvare, kan ikke endepunktbeskyttelsen din eller andre anti-malware-pakker se dem. Faktisk vil du kanskje aldri vite at du er smittet før dataene dine vises for salg etter et brudd.

Oppdage skadelig programvare

Heldigvis har eksperter funnet måter denne usynlige malware kan avsløres, men som om skurkene holder tritt, er det også nye måter det kan installeres. Likevel blir oppgaven med å finne den gjort noe enklere. For eksempel kan en ny sårbarhet i Intel-prosessorer kalt "ZombieLoad" angripes gjennom utnyttingskode levert i programvare. Dette sikkerhetsproblemet kan tillate innføring av skadelig programvare i en datamaskinens BIOS eksternt.

Mens forskere fortsatt studerer ZombieLoad og prøver å bestemme omfanget av problemet i denne siste runden med Intel-utnyttelser, er faktum at slike maskinvareannytt kan strekke seg over hele bedriften. "Firmware er programmerbar kode som sitter på en brikke, " forklarer Jose E. Gonzalez, medgründer og administrerende direktør i Trapezoid. "Du har en haug med kode på systemet ditt som du ikke ser på."

Forverre dette problemet er det faktum at denne firmwaren kan eksistere over hele nettverket ditt, på enheter som spenner fra webkameraer og sikkerhetsenheter til brytere og rutere til datamaskinene i serverrommet ditt. Alle av dem er i hovedsak databehandlingsenheter, så noen av dem kan inneholde skadelig programvare med utnyttingskode. Faktisk er nettopp slike enheter blitt brukt til å lansere angrepsnektangrep (DoS-angrep) fra bots basert på firmware.

Trapezoid 5 er i stand til å oppdage tilstedeværelsen av firmwarebasert skadelig programvare gjennom et unikt system med vannmerker som kryptografisk knytter hver enhets firmware til hvilken maskinvare den noen gang er kjørt på. Dette inkluderer virtuelle enheter, inkludert virtuelle maskiner (VMer) som er lokalisert enten i lokaler eller virtuell infrastruktur-som-en-tjeneste (IaaS) som kjøres i skyen. Disse vannmerkene kan avsløre om noe i enhetens firmware har endret seg. Å legge malware til firmware vil endre det slik at vannmerket er ugyldig.

Trapezoid inkluderer en fastvareverifiseringsmotor som hjelper til med å oppdage problemer i fastvaren, og lar sikkerhetspersonalet undersøke dem. Trapezoid integreres også med mange sikkerhetspolitiske styrings- og rapporteringsverktøy, slik at du kan legge til passende avbøtningsstrategier for infiserte enheter.

Forklare bakdører

Alissa Knight spesialiserer seg på maskinvaresikkerhetsproblemer. Hun er senioranalytiker hos The Aite Group og forfatteren av den kommende boken Hacking Connected Cars: Tactics, Techniques and Procedures . Ridder sa at IT-fagfolk som ønsker å søke etter usynlig skadelig programvare sannsynligvis vil trenge et verktøy som Trapezoid 5. Ingenting mindre spesialiserte vil gjøre. "Det er et grunnleggende aspekt ved bakdører som gjør dem vanskelig å oppdage fordi de venter på at visse triggere skal vekke dem, " forklarte hun.

Knight sa at hvis en slik bakdør eksisterer, enten det er en del av et malware-angrep eller eksisterer av en eller annen grunn, så er det beste du kan gjøre å hindre dem i å fungere ved å forhindre dem i å oppdage triggerne deres. Hun pekte på Silencing Hardware Backdoors , en forskningsrapport av Adam Waksman og Simha Sethumadhavan, begge av Computer Architecture and Security Technology Lab, Institutt for informatikk ved Columbia University.

Waksman og Sethumadhavans forskning viser at disse malware-utløserne kan forhindres i å fungere ved hjelp av tre teknikker: For det første en strømtilbakestilling (for malware bosatt malware og tidsbaserte angrep); for det andre, data-obfuskering; og for det tredje sekvensbrytning. Tilsløring innebærer at kryptering av data som går inn i innganger kan forhindre at triggerne blir gjenkjent, og det samme kan kommandostrømmen tilfeldig.

Problemet med disse tilnærmingene er at de kan være upraktiske i et IT-miljø for alle unntatt de mest kritiske implementeringene. Knight påpekte at noen av disse angrepene er mer sannsynlig å bli utført av statsstøttede angripere enn av nettkriminelle. Imidlertid er det verdt å merke seg at de statsstøttede angriperne går etter små og mellomstore bedrifter (SMB) i et forsøk på å få informasjon eller annen tilgang til sine endelige mål, så SMB-IT-proffene kan ikke bare ignorere denne trusselen som en for sofistikert å søke på dem.

Forhindrer kommunikasjon av skadelig programvare

En strategi som fungerer er å forhindre malware i å kommunisere, noe som er sant for de fleste malware og bakdører. Selv om de er der, kan de ikke gjøre noe hvis de ikke kan slås på, eller hvis de ikke kan sende ut nyttelastene sine. Et godt nettverksanalyseapparat kan gjøre dette. "trenger å kommunisere med hjemmebasen, " forklarte Arie Fred, visepresident for produktstyring i SecBI, som bruker et kunstig intelligensbasert trusselregistrerings- og responssystem for å forhindre malware i å kommunisere.

"Vi bruker en loggbasert tilnærming ved å bruke data fra de eksisterende enhetene for å skape synlighet i full rekkevidde, " sa Fred. Denne tilnærmingen unngår problemene som er skapt av kryptert kommunikasjon fra skadelig programvare, som noen typer deteksjonssystemer for skadelig programvare ikke kan fange opp.

"Vi kan gjøre autonome undersøkelser og automatiske avbøtninger, " sa han. På denne måten kan mistenkelig kommunikasjon fra en enhet til en uventet destinasjon spores og blokkeres, og at informasjonen kan deles andre steder i nettverket.

Slette maskinvarebasert skadelig programvare

Så du har kanskje funnet noe usynlig skadelig programvare, og kanskje har du klart å hindre den i å føre en samtale med morselskapet. Alt bra, men hva med å bli kvitt det? Det viser seg at dette ikke bare er vanskelig, det kan godt være umulig.

Av de tilfellene der det er mulig, er den umiddelbare kuren å refash firmware. Dette kan eliminere skadelig programvare, med mindre den kom gjennom enhetens egen forsyningskjede, i så fall ville du bare lastet inn skadelig programvare.

• Den beste nettverksovervåkingsprogramvaren for 2019 Den beste nettverksovervåkingsprogramvaren for 2019
• Den beste programvaren for fjerning og beskyttelse av skadelig programvare for 2019 Den beste programvaren for fjerning og beskyttelse av skadelig programvare for 2019
• Usynlig skadelig programvare er her, og sikkerhetsprogramvaren din kan ikke fange den. Usynlig skadelig programvare er her, og sikkerhetsprogramvaren din kan ikke fange den

Hvis du refasher, er det også viktig å se på nettverket ditt for tegn på reinfeksjon. Den skadelige programvaren måtte komme inn på maskinvaren din et eller annet sted, og hvis den ikke kom fra produsenten, er det absolutt mulig at den samme kilden vil sende den igjen for å gjenopprette seg selv.

Hva dette koker ned til er mer overvåking. Det vil fortsette å overvåke nettverkstrafikken din for tegn på kommunikasjon med skadelig programvare, samt holde orden på de forskjellige firmware-installasjonene for tegn på infeksjon. Og hvis du overvåker, kan du kanskje finne ut hvor den kommer fra og eliminere det også.