Maaari kang makahanap ng hindi nakikita na malware, ngunit hindi madali ang pag-alis nito

Alam kung mayroong isang bagay na hindi nakikita ng malware na hindi maaabot ng iyong anti-malware software ay nakakatakot na sapat. Ngunit ano ang kapag nalaman mo na, kahit na hahanapin mo ang bagay na ito, baka hindi mo mapupuksa ito? Sa kasamaang palad, nakasalalay sa uri ng malware na nakabase sa hardware na pinag-uusapan natin, maaaring mangyari iyon.

Sumulat na ako noong nakaraang linggo tungkol sa problema ng hindi nakikita ng malware, na maaaring magkaroon ng Basic Input / Output System (BIOS) ng iyong computer at maaaring mag-port sa mga virtual na rootkits. Ang mga rootkits na ito ay maaaring tahimik na kukunin ang iyong mga server, desktop, o iba pang mga aparato. Dahil mayroon sila sa hardware, ang iyong proteksyon sa endpoint o iba pang mga anti-malware packages sa pangkalahatan ay hindi makikita ang mga ito. Sa katunayan, hindi mo malalaman na nahawahan ka hanggang sa lumitaw ang iyong data para ibenta pagkatapos ng paglabag.

Pag-alok ng Malware

Sa kabutihang palad, ang mga eksperto ay natagpuan ang mga paraan na maaaring maihayag ang hindi nakikita na malware, ngunit kung ang mga masasamang tao ay nagpapanatili, may mga bagong paraan din na mai-install. Gayunpaman, ang gawain ng paghahanap nito ay ginawang medyo madali. Halimbawa, ang isang bagong kahinaan sa mga processor ng Intel na tinatawag na "ZombieLoad" ay maaaring atakehin sa pamamagitan ng pagsasamantala ng code na naihatid sa software. Ang kahinaan na ito ay maaaring pahintulutan ang pagpasok ng malware sa BIOS ng isang computer nang malayuan.

Habang ang mga mananaliksik ay nag-aaral pa rin ng ZombieLoad, sinusubukan upang matukoy ang lawak ng problema sa pinakabagong pag-ikot ng mga pagsasamantala sa Intel, ang katotohanan ay ang mga ganitong pagsasamantala sa hardware ay maaaring mapalawak sa buong enterprise. "Ang firmware ay programmable code na nakaupo sa isang chip, " paliwanag ni Jose E. Gonzalez, co-founder at CEO ng Trapezoid. "Mayroon kang isang bungkos ng code sa iyong system na hindi mo tinitingnan."

Ang pagpapalala ng problemang ito ay ang katotohanan na ang firmware na ito ay maaaring umiiral sa buong network, sa mga aparato na nagmula sa mga webcams at security device upang lumipat at mga router sa mga computer sa iyong silid ng server. Ang lahat ng mga ito ay mahalagang mga aparato sa pag-compute, kaya ang alinman sa kanila ay maaaring makagambala sa malware na may hawak na pagsasamantalang code. Sa katunayan, ang mga naturang aparato ay ginagamit upang maglunsad ng pag-atake ng pagtanggi sa serbisyo (atake ng DoS) mula sa mga bot na nakabase sa kanilang firmware.

Ang Trapezoid 5 ay nakakakita ng pagkakaroon ng malware na nakabase sa firmware sa pamamagitan ng isang natatanging sistema ng mga watermark na tinutukoy ng krogrograpikong firmware ng bawat aparato sa anumang hardware na kung saan ito tumatakbo. Kasama dito ang mga virtual na aparato, kabilang ang mga virtual machine (VM) na matatagpuan sa alinman sa lugar o virtual Infrastructure-as-a-Service (IaaS) na pinapatakbo sa ulap. Ang mga watermark na ito ay maaaring magbunyag kung ang anumang bagay sa firmware ng aparato ay nagbago. Ang pagdaragdag ng malware sa firmware ay magbabago nito upang hindi wasto ang watermark.

Kasama sa Trapezoid ang isang Firmware Integrity Verification Engine na tumutulong sa mga problema sa lugar sa firmware, at pinapayagan ang mga tauhan ng seguridad na suriin ang mga ito. Sumasama rin ang Trapezoid sa maraming pamamahala ng patakaran sa seguridad at mga tool sa pag-uulat upang maaari kang magdagdag ng naaangkop na mga diskarte sa pag-iwas para sa mga nahawaang aparato.

Nagpapaliwanag sa Likod

Dalubhasa si Alissa Knight sa mga isyu sa seguridad sa hardware. Siya ang Senior Analyst sa The Aite Group at ang may-akda ng paparating na libro na Pag- uugnay na Mga Kotse: Mga taktika, Pamamaraan, at Pamamaraan . Knight sinabi na ang mga propesyonal sa IT na naghahanap upang mag-scan para sa hindi nakikita ng malware ay malamang na kailangan ng isang tool tulad ng Trapezoid 5. Walang gaanong dalubhasang gagawin. "Mayroong isang pangunahing aspeto ng mga nasa likod ng bahay na nagpapahirap sa kanila na makita dahil hinihintay nila ang ilang mga nag-uudyok na gisingin sila, " paliwanag niya.

Sinabi ni Knight na, kung mayroong umiiral na backdoor, bahagi man ito ng isang pag-atake ng malware o umiiral para sa ilang iba pang kadahilanan, kung gayon ang pinakamahusay na magagawa mo ay panatilihin ang mga ito mula sa pagpapatakbo sa pamamagitan ng pagpapanatili sa kanila mula sa pag-alis ng kanilang mga nag-trigger. Itinuro niya sa Silencing Hardware Backdoors, isang ulat ng pananaliksik nina Adam Waksman at Simha Sethumadhavan, pareho ng Ang Computer Architecture at Security Technology Lab, Kagawaran ng Computer Science sa Columbia University.

Ang pananaliksik nina Waksman at Sethumadhavan ay nagpapakita na ang mga nag-trigger ng malware na ito ay maiiwasan sa pagtatrabaho sa pamamagitan ng tatlong mga pamamaraan: Una, isang pag-reset ng kuryente (para sa mga residente ng memorya ng malware at pag-atake sa batay sa oras); ikalawa, ang data obfuscation; at pangatlo, pagkakasunud-sunod na pagsira. Ang Obfuscation ay nagsasangkot ng pag-encrypt ng data na pagpasok sa mga input ay maaaring mapigil ang mga nag-trigger mula sa pagkilala, tulad ng maaaring randomizing ang stream ng command.

Ang problema sa mga pamamaraang ito ay maaari silang maging hindi praktikal sa isang kapaligiran sa IT para sa lahat maliban sa mga pinaka kritikal na pagpapatupad. Sinabi ni Knight na ang ilan sa mga pag-atake na ito ay mas malamang na isinasagawa ng mga attackers na in-sponsor ng estado kaysa sa mga cybercriminals. Gayunpaman, nararapat na tandaan na ang mga nagsusuportang naka-sponsor ng estado ay nagpapatuloy sa maliit upang midsize ang mga negosyo (SMBs) sa isang pagtatangka upang makakuha ng impormasyon o iba pang pag-access sa kanilang pinakahuling target, kaya ang mga pros ng SMB IT ay hindi maaaring balewalain lamang ang banta na ito bilang sobrang sopistikado. mag-apply sa kanila.

Pag-iwas sa Malware mula sa Pakikipag-usap

Gayunpaman, ang isang diskarte na gumagana ay pinipigilan ang malware mula sa pakikipag-usap, isang bagay na totoo para sa karamihan sa malware at sa likod. Kahit na nandoon sila, wala silang magagawa kung hindi nila mai-on o kung hindi nila maipapadala ang kanilang mga payload. Ang isang mahusay na tool sa pagtatasa ng network ay maaaring gawin ito. "kailangang makipag-usap sa base sa bahay, " ipinaliwanag ni Arie Fred, Vice Presisent of Product Management at SecBI, na gumagamit ng isang artipisyal na intelihente (AI) -based bantaang pagtuklas at sistema ng pagtugon upang mapanatili ang malware mula sa pakikipag-usap.

"Gumagamit kami ng diskarte na nakabase sa log gamit ang data mula sa umiiral na mga aparato upang lumikha ng buong kakayahang makita ang saklaw, " sabi ni Fred. Iniiwasan ang pamamaraang ito sa mga problemang nilikha ng mga naka-encrypt na komunikasyon mula sa malware, na hindi mahuli ng ilang mga uri ng mga sistema ng pagtuklas ng malware.

"Maaari naming gawin ang mga autonomous na pagsisiyasat at awtomatikong pagpapagaan, " aniya. Sa ganitong paraan, ang mga kahina-hinalang komunikasyon mula sa isang aparato hanggang sa isang hindi inaasahang patutunguhan ay maaaring masubaybayan at mai-block, at ang impormasyong ito ay maaaring ibinahagi sa ibang lugar sa network.

Pagtanggal ng Malware batay sa Hardware

Kaya marahil ay natagpuan mo ang ilang hindi nakikita na malware, at marahil ay pinamamahalaang mong harangan ito mula sa pagsasagawa ng isang pag-uusap sa pagiging ina nito. Lahat ng mabuti, ngunit ano ang tungkol sa pag-alis nito? Lumiliko ito ay hindi lamang mahirap, maaari itong imposible.

Sa mga kaso kung saan posible, ang agarang lunas ay upang sumalamin sa firmware. Maaari nitong alisin ang malware, maliban kung dumating ito sa sariling kadena ng supply ng aparato, kung saan sakaling i-reload mo lamang ang malware.

• Ang Pinakamagandang Network Monitoring Software para sa 2019 Ang Pinakamagandang Network Monitoring Software para sa 2019
• Ang Pinakamahusay na Pag-alis ng Malware at Proteksyon ng Software para sa 2019 Ang Pinakamahusay na Pag-alis ng Malware at Proteksyon ng Software para sa 2019
• Narito ang Hindi nakikita Malware at Narito Ang Iyong Software ng Seguridad ay Hindi Makakahuli Ito Hindi Makakakita Malware Ay Narito at Hindi Makukuha Ito ng Iyong Software Software

Kung sumasalamin ka, pagkatapos ay mahalaga din na panoorin ang iyong network para sa mga palatandaan ng muling pagsasama-sama. Ang malware na iyon ay kailangang makapasok sa iyong hardware mula sa isang lugar, at kung hindi ito nagmula sa tagagawa, kung gayon tiyak na posible ang parehong mapagkukunan ay magpapadala nito muli upang muling maitaguyod ang sarili.

Ang nararanasan nito ay mas maraming pagsubaybay. Patuloy na susubaybayan nito ang iyong trapiko sa network para sa mga palatandaan ng mga komunikasyon sa malware pati na rin ang pagpapanatiling mga tab sa iyong iba't ibang mga pag-install ng firmware ng aparato para sa mga palatandaan ng impeksyon. At kung sinusubaybayan mo, marahil maaari mong malaman kung saan nanggaling at maalis din iyon.