Onzichtbare malware is hier en uw beveiligingssoftware kan het niet detecteren

'Onzichtbare malware', een nieuw soort malware, is in opmars en als het uw servers treft, kunt u er misschien niet veel aan doen. In feite kun je misschien niet eens zeggen dat het er is. In sommige gevallen leeft onzichtbare malware alleen in het geheugen, wat betekent dat er geen bestand op uw schijven is dat uw eindpuntbeschermingssoftware kan vinden. In andere gevallen kan onzichtbare malware in uw Basic Input / Output System (BIOS) leven, waar het een van de weinige tactieken kan gebruiken om u aan te vallen. In sommige gevallen kan het zelfs verschijnen als een firmware-update waarbij het uw bestaande firmware vervangt door een geïnfecteerde versie die vrijwel niet te vinden of te verwijderen is.

"Met de vooruitgang in anti-malware en Endpoint Detection and Response (EDR) -software die het gemakkelijker maakt om zero-day malware te vangen, schuiven de malwareschrijvers lager op de stapel, " zei Alissa Knight, een senior analist bij de cyberbeveiligingspraktijk van Aite Group. Ze is gespecialiseerd in hardware-gebaseerde bedreigingen. Knight zei dat dit nieuwe type malware wordt ontwikkeld dat detectie door oudere software kan ontwijken.

EDR-software, die geavanceerder is dan oudere AV-pakketten, is veel effectiever in het vangen van aanvallen en deze software gebruikt verschillende methoden om te bepalen wanneer een aanvaller aan het werk is. "De ontwikkeling van EDR laat de Black Hat reageren en kernel rootkits en firmware rootkits maken, in hardware waar het naar het master boot record kan schrijven, " zei Knight.

Het heeft ook geleid tot het maken van virtuele rootkits, die vóór het besturingssysteem (OS) worden opgestart, waardoor een virtuele machine (VM) voor de malware wordt gemaakt, zodat deze niet kan worden gedetecteerd door software die op het besturingssysteem wordt uitgevoerd. "Dat maakt het bijna onmogelijk om te vangen, " zei ze.

Blue Pill-malware en meer

Gelukkig is het nog steeds moeilijk om een ​​virtuele rootkit op een server te installeren - voor zover de aanvallers die het proberen over het algemeen als door de staat gesponsorde aanvallers werken. Bovendien kunnen ten minste enkele van de activiteiten worden gedetecteerd en kunnen enkele worden gestopt. Knight zegt dat 'fileless malware', die alleen in het geheugen werkt, kan worden verslagen door de computer waarop deze wordt uitgevoerd met geweld uit te schakelen.

Maar Knight zei ook dat dergelijke malware gepaard kan gaan met wat "Blue Pill-malware" wordt genoemd, een vorm van virtuele rootkit die zichzelf in een VM laadt en vervolgens het besturingssysteem in een VM laadt. Hierdoor kan het nep afsluiten en opnieuw opstarten terwijl de malware blijft draaien. Dit is de reden waarom u niet alleen de afsluitoptie in Microsoft Windows 10 kunt gebruiken; alleen aan de stekker trekken werkt.

Gelukkig kunnen andere soorten hardware-aanvallen soms worden gedetecteerd terwijl ze bezig zijn. Knight zei dat één bedrijf, SentinelOne, een EDR-pakket heeft gemaakt dat effectiever is dan de meeste en soms kan detecteren wanneer malware het BIOS of de firmware op een machine aanvalt.

Chris Bates is Global Director of Product Architecture bij SentinelOne. Hij zei dat de agenten van het product autonoom werken en informatie kunnen combineren met andere eindpunten wanneer dat nodig is. "Elke SentinelOne-agent bouwt context, " zei Bates. Hij zei dat de context en de gebeurtenissen die plaatsvinden terwijl de context wordt gebouwd, verhalen creëren die kunnen worden gebruikt om de werking van malware te detecteren.

Bates zei dat elk eindpunt zelf kan worden hersteld door de malware te verwijderen of in quarantaine te plaatsen. Maar Bates zei ook dat zijn EDR-pakket niet alles kan vangen, vooral als het buiten het besturingssysteem gebeurt. Een USB-stick die het BIOS herschrijft voordat de computer opstart, is een voorbeeld.

Volgende voorbereidingsniveau

Hier komt het volgende voorbereidingsniveau, legt Knight uit. Ze wees op een gezamenlijk project tussen Intel en Lockheed Martin dat een verharde beveiligingsoplossing creëerde die op standaard 2e generatie Intel Xeon schaalbare processors werd uitgevoerd, genaamd "Intel Select Solution for Hardened Security with Lockheed Martin." Deze nieuwe oplossing is ontworpen om malware-infecties te voorkomen door kritieke bronnen te isoleren en die bronnen te beschermen.

Ondertussen heeft Intel ook een andere reeks hardwarepreventiemaatregelen aangekondigd, genaamd "Hardware Shield", waarmee het BIOS wordt vergrendeld. "Dit is een technologie waarbij, als er een soort injectie van kwaadaardige code is, het BIOS kan reageren", legt Stephanie Hallford, Vice President en General Manager van Business Client Platforms bij Intel uit. "Sommige versies kunnen communiceren tussen het besturingssysteem en het BIOS. Het besturingssysteem kan ook reageren en beschermen tegen de aanval."

Helaas kunt u niet veel doen om bestaande machines te beschermen. "U moet kritieke servers vervangen, " zei Knight en voegde eraan toe dat u ook moet bepalen wat uw kritieke gegevens zijn en waar deze worden uitgevoerd.

"Intel en AMD moeten de bal gaan pakken en dit democratiseren, " zei Knight. "Naarmate schrijvers van malware beter worden, moeten hardwareleveranciers hun achterstand inhalen en betaalbaar maken."

Probleem wordt alleen maar erger

Helaas zei Knight dat het probleem alleen maar erger wordt. "Misdaadpakketten en malwarekits worden gemakkelijker", zei ze.

Knight voegde eraan toe dat de enige manier voor de meeste bedrijven om het probleem te voorkomen, is om hun kritieke gegevens en processen naar de cloud te verplaatsen, al was het alleen omdat cloudserviceproviders zich beter kunnen beschermen tegen dit soort hardware-aanvallen. "Het is tijd om het risico over te dragen, " zei ze.

En Knight waarschuwde dat, met de snelheid van de dingen, er weinig tijd is om uw kritieke gegevens te beschermen. "Dit wordt een worm", voorspelde ze. "Het wordt een soort zichzelf propagerende worm." Het is de toekomst van cyberwarfare, zei Knight. Het blijft niet voor altijd het bereik van door de overheid gesponsorde acteurs.

Te nemen stappen

Dus, met de toekomst zo somber, wat kun je nu doen? Hier zijn enkele eerste stappen die u meteen moet nemen:

Als je nog geen effectieve EDR-software hebt, zoals SentinelOne, koop er dan nu een.

Identificeer uw kritieke gegevens en probeer deze te beschermen door codering terwijl u een upgrade uitvoert van de servers die gegevens bevatten naar machines die zijn beschermd tegen hardwarekwetsbaarheden en de exploits die hiervan profiteren.

Waar uw kritieke gegevens intern moeten blijven, vervangt u de servers die die gegevens bevatten naar platforms die gebruikmaken van hardwaretechnologieën, zoals Hardware Shield voor clients en de Intel Select-oplossing voor verharde beveiliging door Lockheed Martin voor servers.

Verplaats uw kritieke gegevens waar mogelijk naar cloudproviders met beschermde processors.

• • De beste antivirusbescherming voor 2019 De beste antivirusbescherming voor 2019
  • De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019 De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019
  • De beste software voor het verwijderen en beschermen van malware voor 2019 De beste software voor het verwijderen en beschermen van malware voor 2019

  Blijf uw personeel trainen in goede veiligheidshygiëne, zodat zij niet degenen zijn die een geïnfecteerde thumb drive op een van uw servers aansluiten.

Zorg ervoor dat uw fysieke beveiliging sterk genoeg is om de servers en de rest van de eindpunten in uw netwerk te beschermen. Als dit alles je lijkt te doen denken dat veiligheid een wapenwedloop is, dan heb je gelijk.