Зміст:
- Виявлення шкідливих програм
- Пояснення на задньому плані
- Захист від спілкування зловмисних програм
- Видалення шкідливих програм на основі апаратних засобів
Відео: Настя и сборник весёлых историй (Листопад 2024)
Знаючи, що існує таке поняття, як невидиме зловмисне програмне забезпечення це поза досяжністю вашого програмного забезпечення проти зловмисних програм досить страшно. Але як бути, коли ви дізнаєтесь, що навіть якщо ви знайдете цей матеріал, ви, можливо, не зможете його позбутися? На жаль, це залежно від типу зловмисного програмного забезпечення на основі апаратних засобів.
На минулому тижні я вже писав про проблему невидимого зловмисного програмного забезпечення, яке може існувати в базовій системі вводу / виводу (BIOS) вашого комп'ютера і може містити віртуальні руткіти. Потім ці руткіти можуть спокійно захоплювати ваші сервери, настільні ПК чи інші пристрої. Оскільки вони існують у апаратному забезпеченні, ваш захист кінцевої точки або інші пакети проти зловмисних програм, як правило, не бачать їх. Насправді ви ніколи не можете знати, що ви заражені, поки ваші дані не з’являться до продажу після порушення.
Виявлення шкідливих програм
На щастя, експерти знайшли способи виявлення цієї невидимої шкідливої програми, але, якби недоброзичливці йдуть в ногу, є також нові способи її встановлення. І все-таки завдання знайти його стає дещо простішим. Наприклад, нова вразливість процесорів Intel під назвою "ZombieLoad" може бути атакована через код експлуатації, що постачається в програмному забезпеченні. Ця вразливість може дозволяти дистанційно вставляти зловмисне програмне забезпечення в BIOS комп'ютера.
Поки дослідники все ще вивчають ZombieLoad, намагаючись визначити масштаб проблеми в цьому останньому раунді експлуатації Intel, факт полягає в тому, що такі апаратні подвиги можуть поширюватися на всьому підприємстві. "Прошивка - це програмований код, що сидить на чіпі", - пояснює Хосе Е. Гонсалес, співзасновник і генеральний директор компанії Trapezoid. "У вашій системі є купа коду, на який ви не дивитесь."
Посилює цю проблему той факт, що ця прошивка може існувати по всій мережі, на пристроях, починаючи від веб-камер та пристроїв безпеки, до комутаторів та маршрутизаторів, до комп'ютерів у вашій серверній кімнаті. Усі вони по суті є обчислювальними пристроями, тому будь-який з них може містити зловмисне програмне забезпечення, що містить код експлуатації. Насправді саме такі пристрої використовувались для запуску атак відмови в обслуговуванні (DoS-атаки) від ботів, що базуються на їх прошивці.
Трапеція 5 здатна виявити наявність зловмисного програмного забезпечення на основі прошивки за допомогою унікальної системи водяних знаків, яка криптографічно прив’язує програмне забезпечення кожного пристрою до будь-якого обладнання, на якому воно коли-небудь працює. Сюди входять віртуальні пристрої, включаючи віртуальні машини (VM), розташовані або в приміщеннях, або у віртуальній інфраструктурі як послуга (IaaS), яка працює в хмарі. Ці водяні знаки дозволяють виявити, чи змінилось щось у прошивці пристрою. Додавання зловмисного програмного забезпечення до програмного забезпечення змінить його, так що водяний знак недійсний.
Трапеція включає механізм перевірки цілісності вбудованого програмного забезпечення, який допомагає виявити проблеми в прошивці та дозволяє співробітникам служби безпеки їх вивчити. Трапеція також інтегрується з багатьма інструментами управління політикою безпеки та звітності, щоб ви могли додати відповідні стратегії пом'якшення наслідків заражених пристроїв.
Пояснення на задньому плані
Alissa Knight спеціалізується на питаннях апаратної безпеки. Вона є старшим аналітиком групи «Aite» та автором майбутньої книги «Злому пов'язаних машин: тактика, техніка та процедури» . Лицар сказав, що ІТ-фахівцям, які прагнуть сканувати невидимі зловмисні програми, ймовірно, знадобиться такий інструмент, як Trapezoid 5. Нічого менш спеціалізованого не зробить. "Існує фундаментальний аспект роботи на задньому плані, що робить їх важким для виявлення, оскільки вони чекають певних тригерів, щоб розбудити їх", - пояснила вона.
Найт сказав, що, якщо існує така бекдорда, чи є це частиною нападу зловмисного програмного забезпечення або існує з якоїсь іншої причини, то найкраще, що ви можете зробити, це утримати їх функціонування, не даючи їм виявити їхні тригери. Вона вказала на Silencing Hardware Backdoors, дослідницький звіт Адама Ваксмана та Сімхи Сетумадхавана, обох Лабораторія комп’ютерної архітектури та технологій безпеки, кафедра комп'ютерних наук Колумбійського університету.
Дослідження Waksman і Sethumadhavan показують, що ці тригери зловмисного програмного забезпечення можна запобігти роботі трьома методами: По-перше, скидання живлення (для зловмисного програмного забезпечення, що зберігається в пам'яті, і тимчасових атак); по-друге, затуплення даних; по-третє, порушення послідовності. Обфускування включає в себе шифрування даних, що надходять на входи, може утримати розпізнавання тригерів, як і рандомізація потоку команд.
Проблема цих підходів полягає в тому, що вони можуть бути непрактичними в ІТ-середовищі для всіх, крім найбільш критичних реалізацій. Найт зазначив, що деякі з цих нападів скоріше проводяться нападниками, які фінансуються державою, ніж кіберзлочинцями. Однак варто зазначити, що ті, хто фінансується державою, зловмисники намагаються отримати середній бізнес (СМБ), намагаючись отримати інформацію або інший доступ до їх кінцевих цілей, тому ІТ-профі серед SMB не можуть просто ігнорувати цю загрозу як занадто складну. звертатися до них.
Захист від спілкування зловмисних програм
Однак одна з стратегій, яка спрацьовує, - це запобігання комунікації зловмисного програмного забезпечення, що є правдою для більшості зловмисних програм та інших людей. Навіть якщо вони там, вони нічого не можуть зробити, якщо їх не ввімкнути або якщо вони не можуть відправити свої корисні навантаження. Хороший пристрій для аналізу мереж може це зробити. "Необхідно спілкуватися з домашньою базою", - пояснив Арі Фред, віце-президент із управління продуктами в SecBI, який використовує систему виявлення та реагування на загрозу на основі штучного інтелекту (AI), щоб запобігти спілкуванню зловмисних програм.
"Ми використовуємо підхід на основі журналу, використовуючи дані з існуючих пристроїв для створення видимості в повному обсязі", - сказав Фред. Такий підхід дозволяє уникнути проблем, що створюються зашифрованими повідомленнями від зловмисного програмного забезпечення, які деякі види систем виявлення зловмисних програм не можуть наздогнати.
"Ми можемо робити автономні розслідування та автоматичні пом'якшення наслідків", - сказав він. Таким чином, підозрілі комунікації з пристрою до несподіваного пункту призначення можуть відслідковуватися та блокуватися, а цією інформацією можна ділитися в інших місцях мережі.
Видалення шкідливих програм на основі апаратних засобів
Отже, ви, можливо, знайшли якусь невидиму шкідливу програму, і, можливо, вам вдалося заблокувати її в проведенні розмови зі своїм материнським судном. Все добре, а як же позбутися від цього? Виявляється, це не просто складно, це може бути неможливо.
З тих випадків, коли це можливо, негайним способом лікування є перепрошивка мікропрограмного забезпечення. Це може усунути зловмисне програмне забезпечення, якщо воно не надходило через власну ланцюг живлення пристрою; тоді ви просто перезавантажуєте шкідливе програмне забезпечення.
- Найкраще програмне забезпечення для моніторингу мережі на 2019 рік. Найкраще програмне забезпечення для моніторингу мережі на 2019 рік
- Найкраще програмне забезпечення для видалення та захисту від зловмисних програм на 2019 рік. Найкраще програмне забезпечення для видалення та захисту від зловмисних програм на 2019 рік
- Невидимий зловмисне програмне забезпечення є тут, а ваше програмне забезпечення не може зловити його Невидиме зловмисне програмне забезпечення є тут, і ваше програмне забезпечення безпеки не може його зловити
Якщо ви робите рефліш, то також важливо стежити за своєю мережею на предмет ознак повторного зараження. Це зловмисне програмне забезпечення довелося десь потрапити до вашого обладнання, і якщо воно не надійшло від виробника, то, безумовно, можливо, те саме джерело надішле його знову, щоб відновити себе.
Що зводиться до цього, це більше спостереження. Це буде продовжувати відстежувати ваш мережевий трафік на предмет ознак зловмисного програмного забезпечення, а також вести вкладки на різних установах мікропрограмного забезпечення для ознак зараження. І якщо ви здійснюєте моніторинг, можливо, ви зможете дізнатися, звідки це відбувається, і усунути це також.