Sommario:
- Rilevamento di malware
- Spiegare Backdoor
- Prevenire la comunicazione di malware
- Eliminazione di malware basato su hardware
Video: Come rimuovere un virus da Windows - Cosa fare e cosa non fare (Settembre 2024)
Sapendo che esiste un malware invisibile che è al di fuori della portata del tuo software anti-malware è abbastanza spaventoso. Ma cosa succede quando lo scopri, anche se trovi queste cose, potresti non essere in grado di liberartene? Sfortunatamente, a seconda del tipo di malware basato sull'hardware di cui stiamo parlando, potrebbe essere il caso.
Rilevamento di malware
Fortunatamente, gli esperti hanno trovato il modo in cui questo malware invisibile può essere rivelato, ma come se i cattivi stessero tenendo il passo, ci sono anche nuovi modi per installarlo. Tuttavia, il compito di trovarlo è reso in qualche modo più semplice. Ad esempio, una nuova vulnerabilità nei processori Intel denominata "ZombieLoad" potrebbe essere attaccata attraverso il codice exploit fornito nel software. Questa vulnerabilità può consentire l'inserimento remoto di malware nel BIOS di un computer.
Mentre i ricercatori stanno ancora studiando ZombieLoad, cercando di determinare l'entità del problema in questo ultimo round di exploit Intel, il fatto è che tali exploit hardware possono estendersi in tutta l'azienda. "Il firmware è un codice programmabile che si trova su un chip", spiega Jose E. Gonzalez, co-fondatore e CEO di Trapezoid. "Hai un sacco di codice sul tuo sistema che non stai guardando."
Ad aggravare questo problema è il fatto che questo firmware può esistere su tutta la rete, in dispositivi che vanno da webcam e dispositivi di sicurezza a switch e router ai computer nella stanza del server. Tutti sono essenzialmente dispositivi informatici, quindi ognuno di essi può contenere malware con codice di exploit. In effetti, proprio tali dispositivi sono stati utilizzati per lanciare attacchi denial of service (attacchi DoS) da robot basati sul loro firmware.
Trapezoid 5 è in grado di rilevare la presenza di malware basato sul firmware attraverso un sistema unico di filigrane che lega crittograficamente il firmware di ciascun dispositivo a qualsiasi hardware su cui sia mai stato eseguito. Ciò include i dispositivi virtuali, comprese le macchine virtuali (VM) situate in locale o IaaS (Virtual Infrastructure-as-a-Service) in esecuzione nel cloud. Queste filigrane possono rivelare se qualcosa nel firmware del dispositivo è cambiato. L'aggiunta di malware al firmware lo modificherà in modo che la filigrana non sia valida.
Trapezoid include un motore di verifica dell'integrità del firmware che aiuta a individuare i problemi nel firmware e consente al personale di sicurezza di esaminarli. Trapezoid si integra anche con molti strumenti di gestione e reportistica delle policy di sicurezza in modo da poter aggiungere appropriate strategie di mitigazione per i dispositivi infetti.
Spiegare Backdoor
Alissa Knight è specializzata in problemi di sicurezza hardware. È Analista senior presso The Aite Group e autrice del libro di prossima uscita Hacking Connected Cars: Tattica, Tecnica e Procedimento . Cavaliere ha affermato che i professionisti IT che desiderano cercare malware invisibili avranno probabilmente bisogno di uno strumento come Trapezoid 5. Non farà nulla di meno specializzato. "C'è un aspetto fondamentale delle backdoor che le rende difficili da rilevare perché attendono che alcuni trigger le attivino", ha spiegato.
Knight ha detto che, se esiste una backdoor di questo tipo, che sia parte di un attacco di malware o esiste per qualche altro motivo, il meglio che puoi fare è impedirgli di funzionare impedendo loro di rilevare i loro trigger. Ha indicato Silencing Hardware Backdoor , un rapporto di ricerca di Adam Waksman e Simha Sethumadhavan, entrambi Computer Architecture and Security Technology Lab, Dipartimento di Informatica presso la Columbia University.
La ricerca di Waksman e Sethumadhavan mostra che è possibile impedire a questi trigger di malware di funzionare con tre tecniche: in primo luogo, un ripristino dell'alimentazione (per malware residenti in memoria e attacchi basati sul tempo); secondo, offuscamento dei dati; e terzo, l'interruzione della sequenza. L'offuscamento implica che la crittografia dei dati che vanno negli input può impedire il riconoscimento dei trigger, così come la randomizzazione del flusso di comandi.
Il problema con questi approcci è che possono essere poco pratici in un ambiente IT per tutti tranne le implementazioni più critiche. Knight ha sottolineato che alcuni di questi attacchi hanno maggiori probabilità di essere condotti da aggressori sponsorizzati dallo stato che da criminali informatici. Tuttavia, vale la pena notare che quegli aggressori sponsorizzati dallo stato inseguono le piccole e medie imprese (PMI) nel tentativo di ottenere informazioni o altri accessi ai loro obiettivi finali, quindi i professionisti IT delle PMI non possono semplicemente ignorare questa minaccia perché troppo sofisticata applicare a loro.
Prevenire la comunicazione di malware
Tuttavia, una strategia che funziona è impedire al malware di comunicare, cosa vera per la maggior parte dei malware e backdoor. Anche se sono lì, non possono fare nulla se non possono essere accesi o se non possono inviare i loro payload. Un buon dispositivo per l'analisi della rete può farlo. "deve comunicare con l'home base", ha spiegato Arie Fred, Vicepresidente della gestione dei prodotti presso SecBI, che utilizza un sistema di rilevamento e risposta alle minacce basato sull'intelligenza artificiale (AI) per impedire la comunicazione di malware.
"Utilizziamo un approccio basato su log che utilizza i dati dei dispositivi esistenti per creare una visibilità completa dell'ambito", ha affermato Fred. Questo approccio evita i problemi creati dalle comunicazioni crittografate dal malware, che alcuni tipi di sistemi di rilevamento del malware non riescono a rilevare.
"Possiamo fare indagini autonome e mitigazioni automatiche", ha detto. In questo modo, è possibile tenere traccia e bloccare le comunicazioni sospette da un dispositivo a una destinazione imprevista e tali informazioni possono essere condivise altrove sulla rete.
Eliminazione di malware basato su hardware
Quindi forse hai trovato del malware invisibile e forse sei riuscito a impedirgli di continuare una conversazione con la sua nave madre. Tutto bene, ma che ne dici di sbarazzartene? Si scopre che questo non è solo difficile, potrebbe anche essere impossibile.
Di quei casi in cui è possibile, la cura immediata è il reflash del firmware. Ciò potrebbe eliminare il malware, a meno che non sia entrato nella catena di approvvigionamento del dispositivo, nel qual caso ricaricheresti il malware.
- Il miglior software di monitoraggio della rete per il 2019 Il miglior software di monitoraggio della rete per il 2019
- Il miglior software di rimozione e protezione malware per il 2019 Il miglior software di rimozione e protezione malware per il 2019
- Il malware invisibile è qui e il tuo software di sicurezza non può catturarlo Il malware invisibile è qui e il tuo software di sicurezza non può catturarlo
Se esegui il reflash, è anche importante controllare la tua rete per segni di reinfezione. Quel malware doveva entrare nel tuo hardware da qualche parte e se non proveniva dal produttore, allora è sicuramente possibile che la stessa fonte lo invierà di nuovo per ristabilire se stesso.
Ciò a cui si riduce è un maggiore monitoraggio. Ciò continuerebbe a monitorare il traffico di rete alla ricerca di segni di comunicazioni di malware, nonché a tenere sotto controllo le varie installazioni del firmware del dispositivo per segni di infezione. E se stai monitorando, forse puoi scoprire da dove viene ed eliminare anche quello.
