Itt van egy láthatatlan rosszindulatú program, amelyet a biztonsági szoftver nem tud elkapni

A "Láthatatlan rosszindulatú programok" egy újfajta rosszindulatú program van a felvonuláson, és ha a szervereire üt, akkor lehet, hogy nem sok mindent tehet meg. Valójában nem is tudja elmondani, hogy ott van. Egyes esetekben a láthatatlan rosszindulatú programok csak a memóriában élnek, ami azt jelenti, hogy a lemezeken nincs olyan fájl, amelyet a végpontvédő szoftver megtalálhat. Más esetekben a láthatatlan rosszindulatú programok élhetnek az alapvető bemeneti / kimeneti rendszerben (BIOS), ahol a néhány taktika egyike segítségével támadhat meg. Egyes esetekben firmware-frissítésként is megjelenhet, ha a meglévő firmware-t egy olyan fertőzött verzióra cseréli, amelyet szinte lehetetlen megtalálni vagy eltávolítani.

"A rosszindulatú programok és a végpont-felismerő és -reagáló (EDR) szoftverek fejlődésével megkönnyítik a nulla napos rosszindulatú szoftverek begyűjtését, a rosszindulatú programok írói egyre alacsonyabban mozognak a kötegben" - mondta Alissa Knight, az Aite Group kiberbiztonsági gyakorlatának vezető elemzője.. Hardver alapú fenyegetésekre szakosodott. Knight szerint ez az új típusú rosszindulatú program fejlesztés alatt áll, amely képes megkerülni a régi szoftverek általi észlelést.

Az EDR szoftver, amely fejlettebb, mint a régi AV-csomagok, sokkal hatékonyabb a támadások elkapásában, és ez a szoftver különféle módszereket alkalmaz annak meghatározására, hogy a támadó mikor dolgozik. "Az EDR fejlesztése a fekete kalapot reagálja, és kernelgyökér-készleteket és firmware-gyökérkészleteket hoz létre, olyan hardverben, ahol írható a mesterindító rekordhoz" - mondta Knight.

Ez egy virtuális gyökérkészlet létrehozásához is vezet, amely az operációs rendszer (OS) elõtt indul, és létrehoz egy virtuális gépet (VM) a rosszindulatú programok számára, így az operációs rendszeren futó szoftverek nem észlelhetik azt. "Ez szinte lehetetlenné teszi a fogást" - mondta.

Blue Pill malware és még sok más

Szerencsére még mindig nehéz telepíteni a virtuális gyökérkészletet egy kiszolgálóra - olyan mértékben, hogy a támadók, akik ezt kipróbálják, általában állami támogatású támadókként működnek. Ezenkívül a tevékenységek legalább egy része felismerhető, néhányat pedig meg lehet állítani. Knight azt mondja, hogy a "fájl nélküli rosszindulatú programok", amelyek csak a memóriában működnek, legyőzhetők azáltal, hogy a számítógépet erőszakkal kikapcsolják, amelyen fut.

De Knight azt is mondta, hogy az ilyen rosszindulatú szoftverekhez társulhat az úgynevezett "Blue Pill malware", amely egy olyan virtuális gyökér készlet, amely egy virtuális gépbe tölti be, majd az operációs rendszert egy virtuális gépbe tölti be. Ez lehetővé teszi a hamis leállítást és az újraindítást, miközben hagyja, hogy a rosszindulatú programok továbbra is működjenek. Ez az oka annak, hogy nem csak a Microsoft Windows 10 rendszerben használja a leállítás választását; csak a dugó meghúzása fog működni.

Szerencsére más típusú hardver támadások is észlelhetők folyamatban. Knight elmondta, hogy az egyik vállalat, a SentinelOne olyan EDR csomagot hozott létre, amely sokkal hatékonyabb, mint a legtöbb, és néha felismeri, amikor a rosszindulatú programok megtámadják a gép BIOS-ét vagy firmware-jét.

Chris Bates a SentinelOne termék-építészet globális igazgatója. Azt mondta, hogy a termék ügynökei önállóan működnek, és szükség esetén kombinálhatják az információkat más végpontokkal. "Minden SentinelOne ügynök kontextust épít" - mondta Bates. Azt mondta, hogy a kontextus és a kontextus felépítése közben bekövetkező események olyan történeteket hoznak létre, amelyek felhasználhatók a rosszindulatú programok működésének felismerésére.

Bates azt mondta, hogy minden végpont önmagában is képes helyrehozni azáltal, hogy megszünteti a rosszindulatú programokat vagy karanténba helyezi azokat. De Bates azt is mondta, hogy az EDR csomagja nem képes mindent elkapni, különösen, ha az operációs rendszeren kívül történik. Példa erre az USB hüvelykujj-meghajtó, amely átírja a BIOS-t a számítógép indítása előtt.

Az előkészítés következő szintje

Itt jön az előkészítés következő szintje - magyarázta Knight. Rámutatott az Intel és a Lockheed Martin közös projektjére, amely létrehozott egy kiemelt biztonsági megoldást, amely a 2. generációs Intel Xeon Scalable szabványos processzorokon működik, és amelyet "Intel Select Solution for Hardened Security with Lockheed Martin" processzornak hívtak. Ez az új megoldás a rosszindulatú programok okozta fertőzések megelőzésére szolgál a kritikus erőforrások elkülönítése és az erőforrások védelme révén.

Időközben az Intel egy másik hardvermegelőző sorozatot is bejelentett, a "Hardware Shield" néven, amely lezárja a BIOS-t. "Ez egy olyan technológia, ahol ha van valamilyen rosszindulatú kód befecskendezése, akkor a BIOS képes reagálni" - magyarázta Stephanie Hallford, az Intel üzleti ügyfélplatformjainak alelnöke és vezérigazgatója. "Egyes verziók képesek lesznek kommunikálni az operációs rendszer és a BIOS között. Az operációs rendszer képes reagálni és megvédeni a támadást."

Sajnos nincs sok tennivaló a meglévő gépek védelme érdekében. "Ki kell cserélnie a kritikus kiszolgálókat" - mondta Knight, és hozzátette, hogy meg kell határoznia a kritikus adatait is, és hol fut.

"Az Intelnek és az AMD-nek meg kell szereznie a labdát és demokratizálnia kell ezt" - mondta Knight. "A rosszindulatú szoftverek íróinak javulásával a hardvergyártóknak fel kell lépniük, és megfizethetővé kell tenniük."

A probléma csak romlik

Knight sajnos azt mondta, hogy a probléma csak egyre rosszabbá válik. "A bűncselekmények és a rosszindulatú szoftverek egyre könnyebbé válnak" - mondta.

Knight hozzátette, hogy a legtöbb vállalat számára a probléma elkerülésének egyetlen módja a kritikus adatok és folyamatok felhőbe helyezése, csak azért, mert a felhőszolgáltatók jobban védekezhetnek az ilyen típusú hardver támadások ellen. "Ideje átadni a kockázatot" - mondta.

És Knight figyelmeztette, hogy a dolgok haladásának sebességében kevés idő van a kritikus adatok védelmére. "Ez féreggé válik" - jósolta. "Ez valamiféle önterjesztő féreggé válik." Ez a kiberharc jövője - mondta Knight. Ez nem marad örökre az államilag támogatott színészek felelősségi körében.

A megteendő lépések

Szóval, mit tehet a jövőben ezzel a vakítóval? Íme néhány első lépés, amelyet azonnal meg kell tennie:

Ha még nem rendelkezik hatékony EDR szoftverrel, mint például a SentinelOne, akkor szerezze be most.

Azonosítsa a kritikus adatait, és törekedjen titkosítással történő védelemre, miközben az adatokat kiszolgálókat hardver sérülékenységekkel és az azokat kihasználó gépektől védett gépekre frissíti.

Ahol a kritikus adatoknak házon belül kell maradni, cserélje ki azokat az kiszolgálókat, amelyek tartalmazzák az adatokat, olyan hardver technológiákat használó platformokra, mint például a Hardverpajzs ügyfelek számára és az Intel Select Solution for Soldened Security a Lockheed Martin kiszolgálókra.

Ahol lehetséges, vigye át a kritikus adatait a felhőszolgáltatókhoz védett processzorokkal.

• • A legjobb antivírusvédelem 2019-ig A legjobb antivírusvédelem 2019-ig
  • A legjobb üzemeltetett végpont-védelmi és biztonsági szoftver 2019-ig A legjobb üzemeltetett végpont-védelmi és biztonsági szoftver 2019-re
  • A legjobb malware eltávolító és védő szoftver 2019-re A legjobb malware eltávolító és védő szoftver 2019-re

  A személyzet képzését tartsa be a megfelelő biztonsági higiéniánál, hogy azok ne azok, akik a fertőzött hüvelykujj-meghajtót csatlakoztassák az egyik szerveréhez.

Ellenőrizze, hogy fizikai biztonsága elég erős-e a kiszolgálók és a hálózat többi végpontjának védelméhez. Ha mindez úgy tűnik számodra, hogy a biztonság fegyverkezési verseny, akkor helyes lenne.