Neviditeľný malware je tu a váš bezpečnostný softvér ho nedokáže zachytiť

„Neviditeľný malware“ je na pochode nový druh škodlivého softvéru, a ak zasiahne vaše servery, nemusí sa s tým veľa robiť. V skutočnosti možno ani nebudete môcť povedať, že je tam. V niektorých prípadoch neviditeľný malware žije iba v pamäti, čo znamená, že na vašich diskoch nie je žiadny súbor, ktorý by váš softvér na ochranu koncových zariadení našiel. V iných prípadoch môže neviditeľný malware žiť vo vašom systéme BIOS (Basic Input / Output System), kde na vás môže zaútočiť pomocou niektorej z mála taktík. V niektorých prípadoch sa môže javiť dokonca ako aktualizácia firmvéru, kde nahradí váš existujúci firmvér verziou, ktorá je infikovaná a takmer nemožné ju nájsť alebo odstrániť.

„S pokrokom v softvéri na ochranu proti malvérom a detekcii a odozve koncového bodu (EDR), ktorý uľahčuje zachytávanie škodlivého softvéru za deň, sa autori škodlivého softvéru pohybujú nižšie na komíne, “ uviedla Alissa Knight, senior analytička v praxi kybernetickej bezpečnosti skupiny Aite Group., Špecializuje sa na hardvérové ​​hrozby. Knight uviedol, že sa vyvíja tento nový typ škodlivého softvéru, ktorý sa môže vyhnúť detekcii pomocou staršieho softvéru.

Softvér EDR, ktorý je pokročilejší ako staršie AV balíčky, je oveľa účinnejší pri zachytávaní útokov a tento softvér používa celý rad metód na určenie toho, kedy útočník pracuje. „Vývoj EDR spôsobuje, že čierny klobúk reaguje, a vytvára koreňové sady jadra a koreňové sady firmvéru, a to v hardvéri, kde môže zapisovať do hlavného zavádzacieho záznamu, “ uviedol Knight.

Vedie to tiež k vytvoreniu virtuálnych súprav root, ktoré sa zavedú pred operačným systémom (OS), vytvoria sa virtuálny stroj (VM) pre malware, takže ho nebude možné zistiť pomocou softvéru bežiaceho na OS. „Vďaka tomu je takmer nemožné chytiť, “ povedala.

Modrý tabletový malware a ďalšie

Našťastie je inštalácia virtuálnej koreňovej súpravy na server stále náročná - do tej miery, že útočníci, ktorí sa o ňu pokúšajú, vo všeobecnosti pracujú ako útočníci sponzorovaní štátom. Okrem toho je možné zistiť aspoň niektoré z činností a niektoré z nich možno zastaviť. Knight hovorí, že „bezfilmový malware“, ktorý funguje iba v pamäti, možno poraziť násilným vypnutím počítača, na ktorom je spustený.

Ale Knight tiež povedal, že takýto malware môže byť sprevádzaný tzv. „Blue Pill malware“, čo je forma virtuálnej koreňovej súpravy, ktorá sa načíta do VM a potom načíta OS do VM. To mu umožňuje falošné vypnutie a reštart, zatiaľ čo necháva malware bežať. To je dôvod, prečo nemôžete použiť iba vypnutie v systéme Microsoft Windows 10; funguje iba vytiahnutie zástrčky.

Našťastie sa niekedy môžu objaviť ďalšie typy útokov na hardvér počas ich vývoja. Knight povedal, že jedna spoločnosť, SentinelOne, vytvorila balík EDR, ktorý je efektívnejší ako väčšina a niekedy dokáže zistiť, kedy malware útočí na BIOS alebo firmvér na počítači.

Chris Bates je globálnym riaditeľom produktovej architektúry v spoločnosti SentinelOne. Povedal, že agenti produktu pracujú autonómne a podľa potreby môžu kombinovať informácie s inými koncovými bodmi. „Každý agent spoločnosti SentinelOne vytvára kontext, “ povedal Bates. Kontext a udalosti, ku ktorým dôjde počas vytvárania kontextu, uviedol, že vytvárajú príbehy, ktoré môžu byť použité na odhaľovanie operácií škodlivého softvéru.

Bates uviedol, že každý koncový bod môže sám vykonať nápravu odstránením škodlivého softvéru alebo jeho umiestnením do karantény. Ale Bates tiež povedal, že jeho balíček EDR nedokáže zachytiť všetko, najmä keď sa to stane mimo OS. Príkladom je palcová jednotka USB, ktorá prepisuje systém BIOS pred zavedením počítača.

Ďalšia úroveň prípravy

Tu prichádza ďalšia úroveň prípravy, vysvetlil Knight. Poukázala na spoločný projekt medzi spoločnosťami Intel a Lockheed Martin, ktorý vytvoril tvrdené bezpečnostné riešenie bežiace na štandardných škálovateľných procesoroch Intel Xeon 2. generácie s názvom „Intel Select Solution for Hardened Security with Lockheed Martin“. Toto nové riešenie je navrhnuté tak, aby predchádzalo škodlivým kódom izoláciou kritických zdrojov a ich ochranou.

Medzitým spoločnosť Intel oznámila aj ďalšiu sériu preventívnych hardvérových opatrení s názvom „Hardvérový štít“, ktorá blokuje systém BIOS. „Je to technológia, v ktorej môže BIOS reagovať, ak dôjde k nejakému vstreknutiu škodlivého kódu, “ vysvetlila Stephanie Hallford, viceprezidentka a generálna riaditeľka obchodných klientskych platforiem spoločnosti Intel. „Niektoré verzie budú schopné komunikovať medzi OS a BIOSom. OS môže tiež reagovať a chrániť pred útokom.“

Bohužiaľ, nemáte čo robiť na ochranu existujúcich strojov. „Potrebujete vymeniť kritické servery, “ povedal Knight a dodal, že budete tiež musieť zistiť, aké sú vaše kritické údaje a kde sú spustené.

"Intel a AMD sa budú musieť dostať na loptu a demokratizovať to, " uviedol Knight. „Keď sa autori škodlivého softvéru zlepšia, predajcovia hardvéru budú musieť dohnať a sprístupniť ho.“

Problém sa iba zhoršuje

Bohužiaľ, Knight povedal, že problém sa bude len zhoršovať. „Zostavy zločinov a malware zostanú ľahšie, “ uviedla.

Knight dodal, že jediný spôsob, ako sa väčšine spoločností vyhnúť tomuto problému, je presunúť ich kritické údaje a procesy do cloudu, a to len preto, že poskytovatelia cloudových služieb môžu lepšie chrániť pred takýmto útokom hardvéru. „Je čas preniesť riziko, “ povedala.

A Knight varoval, že pri rýchlom pohybe vecí je málo času na ochranu vašich kritických údajov. „Toto sa zmení na červa, “ predpovedala. "Stane sa to akýmsi samo sa množiacim červom." Je to budúcnosť kybernetického priemyslu, povedal Knight. Nezostane to navždy štátnymi sponzormi.

Kroky, ktoré treba urobiť

Takže s budúcnosťou tejto bezútešnej, čo teraz môžete urobiť? Tu je niekoľko úvodných krokov, ktoré by ste mali podniknúť ihneď:

Ak ešte nemáte efektívny softvér EDR, ako je napríklad SentinelOne, získajte jeden teraz.

Identifikujte svoje kritické údaje a pracujte na ich ochrane šifrovaním, keď inovujete servery, na ktorých sú údaje, na počítače chránené pred zraniteľnosťou hardvéru a pred zneužitím, ktoré ich využíva.

Tam, kde vaše kritické údaje musia zostať interne, vymeňte servery, ktoré ich obsahujú, za platformy, ktoré používajú hardvérové ​​technológie, ako je napríklad hardvérový štít pre klientov a riešenie Intel Select Solution for Hardened Security, servermi Lockheed Martin.

Kdekoľvek je to možné, presuňte svoje kritické údaje k poskytovateľom cloudu s chránenými procesormi.

• • Najlepšie antivírusová ochrana pre rok 2019 Najlepšie antivírusová ochrana pre rok 2019
  • Najlepší hostovaný softvér na ochranu koncových bodov a zabezpečenie za rok 2019 Najlepší hostovaný softvér na ochranu koncových bodov a zabezpečenie za rok 2019
  • Najlepšie softvér na odstránenie a ochranu malwaru za rok 2019 Najlepšie softvér na odstránenie a ochranu malwaru za rok 2019

  Udržujte školenie svojich zamestnancov v dobrej bezpečnostnej hygiene tak, aby to neboli tí, ktorí pripájajú infikovaný palec disku k jednému z vašich serverov.

Uistite sa, že vaše fyzické zabezpečenie je dostatočne silné na ochranu serverov a zvyšných koncových bodov v sieti. Ak sa vám zdá, že bezpečnosť je závod v zbrojení, mali by ste mať pravdu.