Voit ehkä löytää näkymättömän haittaohjelman, mutta päästä eroon siitä ei ole helppoa

Tietäen, että on olemassa sellainen asia kuin näkymätön haittaohjelma joka on haittaohjelmien torjuntaohjelman ulottumattomissa, on tarpeeksi pelottava. Mutta entä kun opit, että vaikka etsitkin nämä asiat, et ehkä pysty eroon siitä? Valitettavasti kyseessä olevista laitteistopohjaisista haittaohjelmista voi olla kyse.

Kirjoitin jo viime viikolla näkymättömien haittaohjelmien ongelmasta, jota voi esiintyä tietokoneesi perustulojärjestelmässä (BIOS) ja joka voi tallentaa virtuaalisia juurikomplekteja. Nämä rootkit-sovellukset voivat sitten ottaa hiljaa palvelimet, työasemasi tai muut laitteet. Koska niitä on laitteistossa, päätepisteiden suojaus tai muut haittaohjelmien vastaiset paketit eivät yleensä näe niitä. Itse asiassa et koskaan voi tietää, että olet tartunnan saanut, ennen kuin tietosi ilmestyvät myytäväksi rikkomuksen jälkeen.

Haittaohjelmien havaitseminen

Onneksi asiantuntijat ovat löytäneet tapoja, joilla tämä näkymätön haittaohjelma voidaan paljastaa, mutta ikään kuin pahat pojat pysyisivät vauhdissa, on myös uusia tapoja asentaa se. Silti sen löytämistä on helpotettu. Esimerkiksi Intelin suorittimien uusi haavoittuvuus, nimeltään "ZombieLoad", voidaan hyökätä ohjelmistoon toimitetun hyödyntämiskoodin avulla. Tämä haavoittuvuus saattaa sallia haittaohjelmien asettamisen tietokoneen BIOS: iin etäyhteyden kautta.

Tutkijoiden tutkiessa vielä ZombieLoad -yritystä yrittäessään selvittää ongelman laajuus Intelin viimeisimmällä kierroksella, tosiasia on, että tällaiset laitteistojen hyväksikäytöt voivat ulottua koko yrityksessä. "Firmware on ohjelmoitava koodi, joka istuu sirulla", selittää Trapezoidin perustaja ja toimitusjohtaja Jose E. Gonzalez. "Järjestelmässäsi on joukko koodeja, joita et katso."

Tämä ongelma pahentaa tosiasiaa, että tämä laiteohjelmisto voi olla olemassa koko verkon alueella, laitteissa, jotka vaihtelevat verkkokameroista ja suojauslaitteista kytkimiin ja reitittimiin palvelinhuoneessa oleviin tietokoneisiin. Kaikki ne ovat pääosin tietokonelaitteita, joten kuka tahansa voi sisältää haittaohjelmia, joilla on hyväksikäyttökoodi. Itse asiassa juuri sellaisia ​​laitteita on käytetty käynnistämään palvelunestohyökkäykset (DoS-hyökkäykset) heidän ohjelmistoon perustuvista robotista.

Trapetsoid 5 pystyy havaitsemaan laiteohjelmistopohjaisen haittaohjelman ainutlaatuisen vesileimajärjestelmän avulla, joka salaa kryptografisesti jokaisen laitteen laiteohjelmiston laitteistoon, jolla sitä on koskaan käytetty. Tähän sisältyy virtuaalilaitteet, mukaan lukien virtuaalikoneet (VM), jotka sijaitsevat joko tiloissa tai pilvessä ajavat virtuaaliset infrastruktuuri-palveluna (IaaS). Nämä vesileimat voivat paljastaa, onko jokin laitteen laiteohjelmistossa muuttunut. Haittaohjelmien lisääminen laiteohjelmistoon muuttaa sitä siten, että vesileima on virheellinen.

Trapezoidi sisältää kiinteän ohjelmiston eheyden tarkistusmoottorin, joka auttaa havaitsemaan laiteohjelmiston ongelmat ja sallii turvallisuushenkilöstön tutkimaan niitä. Trapezoidi integroituu myös moniin tietoturvapolitiikan hallinta- ja raportointityökaluihin, jotta voit lisätä asianmukaisia ​​lieventämisstrategioita tartunnan saaneille laitteille.

Selitä takaovia

Alissa Knight on erikoistunut laitteistoturvallisuuteen. Hän on Aite-ryhmän vanhempi analyytikko ja kirjoittamassa tulevaa kirjaa Hacking Connected Cars: Tactics, Techniques and Procedure . Ritari sanoi, että tietotekniikan ammattilaiset, jotka etsivät näkymättömiä haittaohjelmia, tarvitsevat todennäköisesti työkalun, kuten Trapezoid 5. Mikään vähemmän erikoistunut ei tee. "Takaovien eräs perustavanlaatuinen näkökohta tekee niistä vaikea havaita, koska he odottavat tiettyjä laukaisevia herättämään heidät", hän selitti.

Knight kertoi, että jos tällainen takaovi on olemassa, onko kyse haittaohjelmahyökkäyksestä vai jostain muusta syystä, niin parasta mitä voit tehdä on estää heitä toimimasta estämällä heitä havaitsemasta laukaisemiaan. Hän huomautti laitteiden takaovien äänen hiljentämisestä , Adam Waksmanin ja Simha Sethumadhavanin, molemmat Tietokonearkkitehtuurin ja tietotekniikan laboratorio, Tietotekniikan laitos Columbian yliopistossa.

Waksmanin ja Sethumadhavanin tutkimus osoittaa, että nämä haittaohjelmien laukaisemat voidaan estää toimimasta kolmella tekniikalla: Ensinnäkin virran nollaaminen (muistin asukkaiden haittaohjelmille ja aikapohjaisille hyökkäyksille); toiseksi, tietojen hämärtäminen; ja kolmas, sekvenssin rikkominen. Häiriöihin sisältyy sisääntuloihin menevän tiedon salaaminen voi estää liipaisimien tunnistamisen, samoin kuin komentovirran satunnaistaminen.

Näiden lähestymistapojen ongelmana on, että ne voivat olla epäkäytännöllisiä IT-ympäristössä kaikille paitsi kriittisimmille toteutuksille. Knight huomautti, että jotkut näistä hyökkäyksistä tapahtuvat todennäköisemmin valtion sponsoroimien hyökkääjien kuin verkkorikollisten toimesta. On kuitenkin syytä huomata, että nämä valtion tukemat hyökkääjät käyvät pienten keskikokoisten yritysten jälkeen yrittäessään saada tietoa tai muuta pääsyä perimmäisiin tavoitteisiinsa, joten pienten ja keskisuurten yritysten IT-ammattilaiset eivät voi yksinkertaisesti sivuuttaa tätä uhkaa liian hienostuneena. hakea heihin.

Estä haittaohjelmien viestintä

Yksi toimiva strategia on kuitenkin estää haittaohjelmia kommunikoimasta, mikä pätee useimpiin haittaohjelmiin ja takaoviin. Vaikka he olisivat siellä, he eivät voi tehdä mitään, ellei niitä voida kytkeä päälle tai jos he eivät voi lähettää hyötykuormiaan. Hyvä verkkoanalyysilaite voi tehdä tämän. "on kommunikoitava kotitukin kanssa", selitti SecBI: n tuotehallinnan varapuheenjohtaja Arie Fred, joka käyttää keinotekoisen älykkyyden (AI) pohjaista uhkien havaitsemis- ja vastausjärjestelmää haittaohjelmien kommunikoinnin estämiseksi.

"Käytämme lokipohjaista lähestymistapaa käyttämällä olemassa olevien laitteiden tietoja luodaksemme täyden laajuuden näkyvyyden", Fred sanoi. Tämä lähestymistapa välttää haittaohjelmien salatun tiedonsiirron aiheuttamat ongelmat, joita tietyt haittaohjelmien havaitsemisjärjestelmät eivät pysty tarttumaan.

"Voimme tehdä itsenäisiä tutkimuksia ja automaattisia lieventämisiä", hän sanoi. Tällä tavalla epäilyttäviä yhteyksiä laitteelta odottamattomaan määränpäähän voidaan seurata ja estää, ja nämä tiedot voidaan jakaa muualle verkkoon.

Laitteistopohjaisten haittaohjelmien poistaminen

Joten olet ehkä löytänyt näkymättömän haittaohjelman, ja ehkä olet onnistunut estämään sitä keskustelemasta äitinsä kanssa. Kaikki hyvä, mutta entä päästä eroon siitä? Osoittautuu, että tämä ei ole vain vaikeaa, se voi olla mahdotonta.

Niistä tapauksista, joissa se on mahdollista, välitön parannus on laiteohjelmiston uusinta. Tämä voi poistaa haittaohjelman, ellei se tule laitteen oman toimitusketjun läpi, jolloin lataat haittaohjelman vain uudelleen.

• Paras verkonvalvontaohjelma vuodelle 2019 Paras verkonvalvontaohjelmisto vuodelle 2019
• Paras haittaohjelmien poisto- ja suojausohjelmisto vuodelle 2019 Paras haittaohjelmien poisto- ja suojausohjelmisto vuodelle 2019
• Näkymätön haittaohjelma on täällä, ja tietoturvaohjelmasi ei voi kiinni sitä. Näkymätön haittaohjelma on täällä, ja tietoturvaohjelmistosi ei voi kiinni sitä

Jos teet reflash, niin on myös tärkeää seurata verkkoasi merkkejä uudelleen tartuntaa. Tämän haittaohjelman piti päästä laitteistoosi jostain, ja jos se ei tullut valmistajalta, niin on ehdottomasti mahdollista, että sama lähde lähettää sen uudestaan ​​voidakseen palauttaa itsensä.

Se, mitä tämä johtaa, on enemmän seurantaa. Se seuraisi edelleen verkkoliikennettä haittaohjelmien viestinnän varalta ja seurasi välilehtiä laitteen eri laiteohjelmistojen asennuksen varalta. Ja jos tarkkailet, voit ehkä selvittää mistä se tulee ja poistaa myös sen.