Inhoudsopgave:
- Malware detecteren
- Achterdeuren uitleggen
- Voorkomen dat malware communiceert
- Op hardware gebaseerde malware verwijderen
Video: Virus en Malware verwijderen (November 2024)
Wetende dat er zoiets bestaat als onzichtbare malware dat is buiten het bereik van uw anti-malware software is eng genoeg. Maar hoe zit het als je leert dat, zelfs als je dit soort dingen lokaliseert, je er misschien niet vanaf kunt komen? Helaas, afhankelijk van het type hardware-gebaseerde malware waar we het over hebben, kan dat heel goed het geval zijn.
Malware detecteren
Gelukkig hebben experts manieren gevonden om deze onzichtbare malware te onthullen, maar alsof de slechteriken gelijke tred houden, zijn er ook nieuwe manieren om deze te installeren. Toch is de taak om het te vinden iets gemakkelijker gemaakt. Een nieuwe kwetsbaarheid in Intel-processors met de naam "ZombieLoad" kan bijvoorbeeld worden aangevallen via exploit-code die wordt geleverd in software. Door dit beveiligingslek kan malware op afstand in het BIOS van een computer worden ingevoegd.
Hoewel onderzoekers nog steeds ZombieLoad bestuderen en proberen de omvang van het probleem in deze nieuwste ronde van Intel-exploits te bepalen, is het feit dat dergelijke hardware-exploits zich over de hele onderneming kunnen uitbreiden. "Firmware is programmeerbare code die op een chip zit", legt Jose E. Gonzalez, mede-oprichter en CEO van Trapezoid uit. "Je hebt een heleboel code op je systeem waar je niet naar kijkt."
Dit probleem wordt nog verergerd door het feit dat deze firmware overal in uw netwerk kan voorkomen, in apparaten variërend van webcams en beveiligingsapparatuur tot switches en routers voor de computers in uw serverruimte. Het zijn allemaal in wezen computerapparaten, dus elk van hen kan malware bevatten die exploit-code bevat. In feite zijn juist dergelijke apparaten gebruikt om denial-of-service-aanvallen (DoS-aanvallen) te lanceren vanuit bots die zijn gebaseerd op hun firmware.
Trapezoid 5 is in staat de aanwezigheid van op firmware gebaseerde malware te detecteren via een uniek systeem van watermerken dat de firmware van elk apparaat cryptografisch koppelt aan hardware waarop het ooit wordt uitgevoerd. Dit omvat virtuele apparaten, waaronder virtuele machines (VM's) die zich op locatie bevinden of virtuele Infrastructure-as-a-Service (IaaS) die in de cloud wordt uitgevoerd. Deze watermerken kunnen onthullen of er iets in de firmware van het apparaat is veranderd. Door malware aan de firmware toe te voegen, wordt deze zodanig gewijzigd dat het watermerk ongeldig is.
Trapezoid bevat een Firmware Integrity Verification Engine die problemen in de firmware helpt opsporen en het beveiligingspersoneel in staat stelt deze te onderzoeken. Trapezoid integreert ook met vele beveiligingsbeleid management- en rapportagetools, zodat u passende mitigatiestrategieën voor geïnfecteerde apparaten kunt toevoegen.
Achterdeuren uitleggen
Alissa Knight is gespecialiseerd in problemen met hardwarebeveiliging. Ze is de Senior Analyst bij The Aite Group en de auteur van het aankomende boek Hacking Connected Cars: Tactics, Techniques and Procedures . Ridder zei dat IT-professionals die op zoek zijn naar onzichtbare malware waarschijnlijk een tool zoals Trapezoid 5 nodig hebben. "Er is een fundamenteel aspect van achterdeuren waardoor ze moeilijk te detecteren zijn omdat ze wachten op bepaalde triggers om ze wakker te maken, " legde ze uit.
Knight zei dat, als een dergelijke achterdeur bestaat, of deze deel uitmaakt van een malware-aanval of om een andere reden bestaat, u het beste kunt voorkomen dat ze blijven werken door te voorkomen dat ze hun triggers detecteren. Ze wees op Silencing Hardware Backdoors , een onderzoeksrapport van Adam Waksman en Simha Sethumadhavan, beide van de Computer Architecture and Security Technology Lab, Department of Computer Science aan de Columbia University.
Het onderzoek van Waksman en Sethumadhavan toont aan dat deze malware-triggers kunnen worden verhinderd door drie technieken: ten eerste, een power-reset (voor geheugenresidente malware en op tijd gebaseerde aanvallen); ten tweede, data-obfuscatie; en ten derde, reeksbreuk. Obfuscation omvat het coderen van gegevens die naar ingangen gaan, waardoor de triggers niet worden herkend, net als het willekeurig maken van de opdrachtstroom.
Het probleem met deze benaderingen is dat ze onpraktisch kunnen zijn in een IT-omgeving voor alle behalve de meest kritische implementaties. Knight wees erop dat sommige van deze aanvallen vaker worden uitgevoerd door door de staat gesponsorde aanvallers dan door cybercriminelen. Het is echter vermeldenswaard dat deze door de staat gesponsorde aanvallers achter kleine en middelgrote bedrijven aan gaan in een poging om informatie of andere toegang tot hun uiteindelijke doelen te krijgen, dus IT-professionals in het MKB kunnen deze dreiging niet gewoon negeren als te geavanceerd op hen van toepassing zijn.
Voorkomen dat malware communiceert
Eén strategie die wel werkt, is voorkomen dat de malware communiceert, iets dat geldt voor de meeste malware en backdoors. Zelfs als ze er zijn, kunnen ze niets doen als ze niet kunnen worden ingeschakeld of als ze hun payloads niet kunnen verzenden. Een goed netwerkanalyseapparaat kan dit. "moet communiceren met de thuisbasis", aldus Arie Fred, vice-president Productbeheer bij SecBI, die een op kunstmatige intelligentie (AI) gebaseerd systeem voor detectie en reactie van bedreigingen gebruikt om te voorkomen dat malware communiceert.
"We gebruiken een log-gebaseerde benadering met behulp van gegevens van de bestaande apparaten om volledige zichtbaarheid te creëren, " zei Fred. Deze aanpak vermijdt de problemen die worden veroorzaakt door gecodeerde communicatie van de malware, die sommige typen malwaredetectiesystemen niet kunnen vangen.
"We kunnen autonome onderzoeken en automatische mitigaties uitvoeren", zei hij. Op deze manier kan verdachte communicatie van een apparaat naar een onverwachte bestemming worden gevolgd en geblokkeerd, en die informatie kan elders in het netwerk worden gedeeld.
Op hardware gebaseerde malware verwijderen
Dus je hebt misschien wat onzichtbare malware gevonden, en misschien ben je erin geslaagd om te voorkomen dat het een gesprek voert met het moederschip. Allemaal goed, maar hoe zit het om er vanaf te komen? Blijkt dat dit niet alleen moeilijk is, het kan ook onmogelijk zijn.
Van die gevallen waarin het mogelijk is, is de onmiddellijke oplossing om de firmware opnieuw te laten flitsen. Dit kan de malware elimineren, tenzij het door de eigen toeleveringsketen van het apparaat is gekomen, in welk geval u de malware opnieuw laadt.
- De beste netwerkbewakingssoftware voor 2019 De beste netwerkbewakingssoftware voor 2019
- De beste software voor het verwijderen en beschermen van malware voor 2019 De beste software voor het verwijderen en beschermen van malware voor 2019
- Onzichtbare malware is hier en uw beveiligingssoftware kan het niet vangen Onzichtbare malware is hier en uw beveiligingssoftware kan het niet vangen
Als u reflasht, is het ook belangrijk om uw netwerk te controleren op tekenen van herinfectie. Die malware moest ergens in uw hardware terechtkomen en als het niet van de fabrikant kwam, is het zeker mogelijk dat dezelfde bron het opnieuw verzendt om zichzelf te herstellen.
Waar het op neer komt is meer monitoring. Dat zou uw netwerkverkeer blijven controleren op tekenen van malwarecommunicatie en de verschillende firmware-installaties van uw apparaat in de gaten houden op tekenen van infectie. En als u toezicht houdt, kunt u misschien ontdekken waar het vandaan komt en dat ook elimineren.
