Il malware invisibile è qui e il tuo software di sicurezza non può rilevarlo

"Invisible malware", una nuova generazione di malware, è in marcia e, se colpisce i tuoi server, potrebbe non esserci molto da fare al riguardo. In effetti, potresti non essere nemmeno in grado di dire che è lì. In alcuni casi, il malware invisibile vive solo nella memoria, il che significa che non è presente alcun file sui dischi da trovare per il software di protezione degli endpoint. In altri casi, malware invisibili possono vivere nel tuo BIOS (Basic Input / Output System) in cui può utilizzare una delle poche tattiche per attaccarti. In alcuni casi, potrebbe persino apparire come un aggiornamento del firmware in cui sostituisce il firmware esistente con una versione infetta e quasi impossibile da trovare o rimuovere.

"Con l'avanzamento del software anti-malware e del software Endpoint Detection and Response (EDR) che semplifica la cattura di malware zero-day, gli autori di malware si stanno spostando più in basso nello stack", ha affermato Alissa Knight, analista senior con la pratica della sicurezza informatica di Aite Group. È specializzata in minacce basate sull'hardware. Knight ha affermato che questo nuovo tipo di malware è in fase di sviluppo in grado di eludere il rilevamento da parte di software legacy.

Il software EDR, che è più avanzato dei pacchetti AV legacy, è molto più efficace nel catturare gli attacchi e questo software utilizza una varietà di metodi per determinare quando un attaccante è al lavoro. "Lo sviluppo di EDR fa sì che il black hat risponda e crei i kit root del kernel e i kit root del firmware, in hardware dove può scrivere sul record di avvio principale", ha detto Knight.

Ha anche portato alla creazione di root kit virtuali, che verranno avviati prima del sistema operativo (OS), creando una macchina virtuale (VM) per il malware in modo che non possa essere rilevata dal software in esecuzione sul sistema operativo. "Ciò rende quasi impossibile la cattura", ha detto.

Blue Pill Malware e altro

Fortunatamente, l'installazione di un kit di root virtuale su un server è ancora difficile, nella misura in cui gli aggressori che lo stanno provando in genere funzionano come attaccanti sponsorizzati dallo stato. Inoltre, almeno alcune delle attività possono essere rilevate e alcune possono essere interrotte. Knight afferma che il "malware senza file", che funziona solo nella memoria, può essere sconfitto spegnendo forzatamente il computer su cui è in esecuzione.

Ma Knight ha anche affermato che tale malware può essere accompagnato da quello che viene chiamato "malware Blue Pill", che è una forma di root kit virtuale che si carica in una VM e quindi carica il sistema operativo in una VM. Ciò consente di simulare l'arresto e il riavvio lasciando che il malware continui a funzionare. Questo è il motivo per cui non puoi semplicemente usare la scelta di spegnimento in Microsoft Windows 10; funziona solo staccando la spina.

Fortunatamente, altri tipi di attacchi hardware a volte possono essere rilevati mentre sono in corso. Knight ha affermato che una società, SentinelOne, ha creato un pacchetto EDR che è più efficace della maggior parte e che a volte è in grado di rilevare quando un malware sta attaccando il BIOS o il firmware su una macchina.

Chris Bates è Global Director of Product Architecture di SentinelOne. Ha detto che gli agenti del prodotto operano in modo autonomo e possono combinare informazioni con altri endpoint quando necessario. "Ogni agente SentinelOne sta creando un contesto", ha affermato Bates. Ha affermato che il contesto e gli eventi che si verificano durante la creazione del contesto creano storie che possono essere utilizzate per rilevare le operazioni del malware.

Bates ha affermato che ogni endpoint può essere risolto autonomamente eliminando il malware o ponendolo in quarantena. Ma Bates ha anche affermato che il suo pacchetto EDR non è in grado di catturare tutto, specialmente quando accade al di fuori del sistema operativo. Ne è un esempio una chiavetta USB che riscrive il BIOS prima dell'avvio del computer.

Prossimo livello di preparazione

È qui che arriva il prossimo livello di preparazione, ha spiegato Knight. Ha indicato un progetto congiunto tra Intel e Lockheed Martin che ha creato una soluzione di sicurezza avanzata in esecuzione su processori scalabili Intel Xeon di seconda generazione standard chiamata "Intel Select Solution for Hardened Security with Lockheed Martin". Questa nuova soluzione è progettata per prevenire le infezioni da malware isolando le risorse critiche e proteggendole.

Nel frattempo, Intel ha anche annunciato un'altra serie di misure preventive hardware denominate "Hardware Shield", che blocca il BIOS. "Questa è una tecnologia in cui, se esiste una sorta di iniezione di codice dannoso, il BIOS può rispondere", ha spiegato Stephanie Hallford, Vice President e General Manager delle piattaforme client aziendali di Intel. "Alcune versioni saranno in grado di comunicare tra il sistema operativo e il BIOS. Il sistema operativo può anche rispondere e proteggere dagli attacchi."

Sfortunatamente, non c'è molto che puoi fare per proteggere le macchine esistenti. "Devi sostituire i server critici", ha affermato Knight, aggiungendo che dovrai anche determinare quali sono i tuoi dati critici e dove sono in esecuzione.

"Intel e AMD avranno bisogno di mettersi in gioco e democratizzare questo", ha detto Knight. "Man mano che i produttori di malware migliorano, i fornitori di hardware dovranno recuperare e renderlo accessibile".

Il problema sta solo peggiorando

Sfortunatamente, Knight ha affermato che il problema non farà che peggiorare. "I kit per il crimine e i malware saranno più facili", ha detto.

Knight ha aggiunto che l'unico modo per la maggior parte delle aziende di evitare il problema è spostare i dati e i processi critici nel cloud, anche solo perché i fornitori di servizi cloud possono proteggere meglio da questo tipo di attacco hardware. "È tempo di trasferire il rischio", ha detto.

E Knight ha avvertito che, alla velocità con cui le cose si muovono, c'è poco tempo per proteggere i tuoi dati critici. "Questo si trasformerà in un verme", ha previsto. "Diventerà una sorta di worm auto-propagante." È il futuro della guerra informatica, ha detto Knight. Non rimarrà per sempre di competenza degli attori sponsorizzati dallo stato.

Passi da prendere

Quindi, con il futuro questo desolante, cosa puoi fare adesso? Ecco alcuni passaggi iniziali che dovresti prendere subito:

Se non disponi già di un software EDR efficace, come SentinelOne, acquistane uno ora.

Identifica i tuoi dati critici e lavora per proteggerli con la crittografia mentre aggiorni i server su cui si trovano i dati a macchine protette contro le vulnerabilità hardware e gli exploit che ne approfittano.

Laddove i dati critici devono rimanere interni, sostituire i server che contengono tali dati con piattaforme che utilizzano le tecnologie hardware, come Hardware Shield per client e Intel Select Solution for Hardened Security con Lockheed Martin per server.

Ove possibile, sposta i tuoi dati critici su provider cloud con processori protetti.

• • La migliore protezione antivirus per il 2019 La migliore protezione antivirus per il 2019
  • Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019 Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019
  • Il miglior software di rimozione e protezione malware per il 2019 Il miglior software di rimozione e protezione malware per il 2019

  Continua a formare il tuo personale in una buona igiene della sicurezza in modo che non siano quelli che collegano una chiavetta infetta a uno dei tuoi server.

Assicurati che la tua sicurezza fisica sia abbastanza forte da proteggere i server e il resto degli endpoint nella tua rete. Se tutto ciò ti fa sembrare che la sicurezza sia una corsa agli armamenti, allora avresti ragione.