Оглавление:
- Обнаружение вредоносных программ
- Объясняя Бэкдоры
- Предотвращение вредоносных программ от общения
- Удаление аппаратного вредоносного ПО
Видео: Blizzard Storm Sounds | Расслабляющие звуки зимнего фона | Сильный ветер и снег (Ноябрь 2024)
Зная, что существует такая вещь, как невидимая вредоносная программа это вне досягаемости вашего антивирусного программного обеспечения достаточно страшно. Но как насчет того, когда вы узнаете, что, даже если вы обнаружите этот материал, вы не сможете от него избавиться? К сожалению, в зависимости от типа аппаратного вредоносного ПО, о котором мы говорим, это вполне может иметь место.
Обнаружение вредоносных программ
К счастью, эксперты нашли способы обнаружения этой невидимой вредоносной программы, но, как будто плохие парни идут в ногу, есть и новые способы ее установки. Тем не менее, задача найти его стала несколько проще. Например, новая уязвимость в процессорах Intel под названием «ZombieLoad» может быть атакована с помощью кода эксплойта, поставляемого в программном обеспечении. Эта уязвимость позволяет удаленно вставлять вредоносные программы в BIOS компьютера.
Пока исследователи все еще изучают ZombieLoad, пытаясь определить масштабы проблемы в этом последнем цикле эксплойтов Intel, факт заключается в том, что подобные эксплойты могут распространяться на все предприятие. «Микропрограмма - это программируемый код, размещенный на микросхеме», - объясняет Хосе Э. Гонсалес, соучредитель и генеральный директор Trapezoid. «В вашей системе есть куча кода, на который вы не смотрите».
Эта проблема усугубляется тем фактом, что эта микропрограмма может существовать во всей вашей сети, на устройствах от веб-камер и устройств безопасности до коммутаторов и маршрутизаторов и компьютеров в вашей серверной комнате. Все они по сути являются вычислительными устройствами, поэтому любое из них может содержать вредоносное ПО, содержащее код эксплойта. На самом деле, именно такие устройства использовались для запуска атак типа «отказ в обслуживании» (DoS-атаки) от ботов, основанных на их прошивке.
Trapezoid 5 способен обнаруживать присутствие вредоносного ПО на основе встроенного программного обеспечения с помощью уникальной системы водяных знаков, которая криптографически связывает встроенное ПО каждого устройства с любым оборудованием, на котором оно когда-либо запускалось. Сюда входят виртуальные устройства, в том числе виртуальные машины (ВМ), расположенные либо в локальной среде, либо виртуальная инфраструктура как услуга (IaaS), работающая в облаке. Эти водяные знаки могут показать, изменилось ли что-либо в прошивке устройства. Добавление вредоносного ПО в прошивку изменит его так, что водяной знак будет недействительным.
Trapezoid включает в себя механизм проверки целостности встроенного программного обеспечения, который помогает выявлять проблемы в встроенном программном обеспечении и позволяет сотрудникам службы безопасности исследовать их. Trapezoid также интегрируется со многими инструментами управления политиками безопасности и отчетами, так что вы можете добавить соответствующие стратегии смягчения для зараженных устройств.
Объясняя Бэкдоры
Алисса Найт специализируется на вопросах безопасности оборудования. Она является старшим аналитиком в The Aite Group и автором будущей книги « Взлом подключенных машин: тактика, методы и процедуры» . рыцарь Я сказал, что ИТ-специалистам, которые хотят сканировать невидимые вредоносные программы, скорее всего, понадобится такой инструмент, как Trapezoid 5. Ничего менее специализированного не подойдет. «Есть фундаментальный аспект бэкдоров, который затрудняет их обнаружение, потому что они ждут, чтобы определенные триггеры разбудили их», - пояснила она.
Найт сказал, что, если такой бэкдор существует, является ли он частью атаки вредоносного ПО или существует по какой-либо другой причине, то лучшее, что вы можете сделать, это не дать им работать, не позволяя им обнаруживать их триггеры. Она указала на Silencing Hardware Backdoors , исследовательский отчет Адама Ваксмана и Симхи Сетхумадхаван, Лаборатория компьютерной архитектуры и технологий безопасности, факультет компьютерных наук Колумбийского университета.
Исследования Ваксмана и Сетхумадхавана показывают, что эти триггеры вредоносных программ можно предотвратить, используя три метода: во-первых, сброс питания (для резидентных вредоносных программ и атак на основе времени); во-вторых, запутывание данных; и в-третьих, нарушение последовательности. Обфускация включает в себя шифрование данных, поступающих на входы, может помешать распознаванию триггеров, а также может рандомизировать поток команд.
Проблема этих подходов состоит в том, что они могут быть непрактичными в ИТ-среде для всех, кроме самых важных реализаций. Найт отметил, что некоторые из этих атак, скорее всего, будут проводиться спонсируемыми государством злоумышленниками, а не киберпреступниками. Тем не менее, стоит отметить, что эти спонсируемые государством злоумышленники стремятся к малым и средним предприятиям (SMB) в попытке получить информацию или другой доступ к своим конечным целям, поэтому ИТ-специалисты малого и среднего бизнеса не могут просто игнорировать эту угрозу как слишком сложную. применить к ним.
Предотвращение вредоносных программ от общения
Тем не менее, одна стратегия, которая работает, - это предотвращение взаимодействия вредоносных программ, что верно для большинства вредоносных программ и бэкдоров. Даже если они там, они ничего не могут сделать, если их нельзя включить или если они не могут отправить свои полезные данные. Хорошее устройство анализа сети может сделать это. «Нужно общаться с домашней базой», - объяснил Эри Фред, вице-президент по управлению продуктами в SecBI, которая использует систему обнаружения угроз и реагирования на них, основанную на искусственном интеллекте, для предотвращения взаимодействия вредоносных программ.
«Мы используем основанный на журналах подход, используя данные с существующих устройств для создания полной видимости», - сказал Фред. Этот подход позволяет избежать проблем, создаваемых зашифрованными сообщениями от вредоносных программ, которые не могут обнаружить некоторые типы систем обнаружения вредоносных программ.
«Мы можем проводить автономные расследования и автоматические меры», - сказал он. Таким образом, подозрительные сообщения от устройства к неожиданному месту назначения могут быть отслежены и заблокированы, и эта информация может быть передана в другом месте в сети.
Удаление аппаратного вредоносного ПО
Таким образом, вы, возможно, нашли какое-то невидимое вредоносное ПО, и, возможно, вам удалось заблокировать его от продолжения разговора с его материнством. Все хорошо, но как насчет того, чтобы избавиться от этого? Оказывается, это не просто сложно, а вполне возможно.
Из тех случаев, когда это возможно, немедленное лечение - перепрошить прошивку. Это может устранить вредоносное ПО, если оно не прошло через собственную цепочку поставок устройства, и в этом случае вы просто перезагрузите вредоносное ПО.
- Лучшее программное обеспечение для мониторинга сети на 2019 год Лучшее программное обеспечение для мониторинга сети на 2019 год
- Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год
- Невидимое вредоносное ПО здесь, и ваше программное обеспечение безопасности не может его поймать Невидимое вредоносное ПО здесь, и ваше программное обеспечение безопасности не может его поймать
Если вы перепрошиваете, то также важно следить за вашей сетью на наличие признаков повторного заражения. Эта вредоносная программа должна была откуда-то проникнуть в ваше оборудование, и если она не была получена от производителя, то вполне возможно, что тот же источник отправит ее снова, чтобы восстановить себя.
То, к чему это сводится, больше мониторинга. Это будет продолжать следить за вашим сетевым трафиком на наличие признаков вредоносных программ, а также следить за установкой прошивки вашего устройства на наличие признаков заражения. И если вы ведете мониторинг, возможно, вы сможете выяснить, откуда он исходит и устранить его.
