Mục lục:
- Phát hiện phần mềm độc hại
- Giải thích Backreen
- Ngăn chặn phần mềm độc hại giao tiếp
- Xóa phần mềm độc hại dựa trên phần cứng
Video: Cá sấu mất ná»a bá» hà m sau khi bại tráºn trÆ°á»c Äá»ng loại (Tháng Chín 2024)
Biết có một thứ như phần mềm độc hại vô hình Điều đó vượt quá khả năng của phần mềm chống phần mềm độc hại của bạn là đủ đáng sợ. Nhưng những gì về khi bạn học được điều đó, ngay cả khi bạn xác định vị trí của công cụ này, bạn có thể không thể thoát khỏi nó? Thật không may, tùy thuộc vào loại phần mềm độc hại dựa trên phần cứng mà chúng ta đang nói đến, đó có thể là trường hợp.
Phát hiện phần mềm độc hại
May mắn thay, các chuyên gia đã tìm ra cách mà phần mềm độc hại vô hình này có thể được tiết lộ, nhưng như thể kẻ xấu đang theo kịp, cũng có những cách mới để cài đặt nó. Tuy nhiên, nhiệm vụ tìm kiếm nó được thực hiện phần nào dễ dàng hơn. Ví dụ, một lỗ hổng mới trong bộ xử lý Intel có tên "ZombieLoad" có thể bị tấn công thông qua mã khai thác được phân phối trong phần mềm. Lỗ hổng này có thể cho phép chèn phần mềm độc hại vào BIOS của máy tính từ xa.
Trong khi các nhà nghiên cứu vẫn đang nghiên cứu ZombieLoad, cố gắng xác định mức độ của vấn đề trong vòng khai thác mới nhất của Intel, thì thực tế là việc khai thác phần cứng như vậy có thể mở rộng ra toàn doanh nghiệp. "Phần sụn là mã lập trình nằm trên chip", Jose E. Gonzalez, đồng sáng lập và CEO của Trapezoid giải thích. "Bạn có một loạt mã trên hệ thống của mình mà bạn không nhìn vào."
Làm trầm trọng thêm vấn đề này là thực tế là phần sụn này có thể tồn tại trên tất cả các mạng của bạn, trong các thiết bị từ webcam và thiết bị bảo mật đến thiết bị chuyển mạch và bộ định tuyến đến các máy tính trong phòng máy chủ của bạn. Tất cả chúng về cơ bản là các thiết bị điện toán, vì vậy bất kỳ trong số chúng đều có thể chứa phần mềm độc hại chứa mã khai thác. Trên thực tế, chỉ những thiết bị như vậy đã được sử dụng để khởi động các cuộc tấn công từ chối dịch vụ (tấn công DoS) từ các bot dựa trên phần sụn của chúng.
Trapezoid 5 có thể phát hiện sự hiện diện của phần mềm độc hại dựa trên phần sụn thông qua một hệ thống hình mờ duy nhất liên kết mật mã với mỗi phần sụn của thiết bị với bất kỳ phần cứng nào mà nó từng chạy. Điều này bao gồm các thiết bị ảo, bao gồm các máy ảo (VM) được đặt tại cơ sở hoặc Cơ sở hạ tầng ảo (IaaS) đang chạy trong đám mây. Những hình mờ này có thể tiết lộ liệu mọi thứ trong phần sụn của thiết bị có thay đổi hay không. Thêm phần mềm độc hại vào phần sụn sẽ thay đổi nó để hình mờ không hợp lệ.
Hình thang bao gồm Công cụ xác minh tính toàn vẹn phần sụn giúp phát hiện các vấn đề trong phần sụn và cho phép nhân viên an ninh kiểm tra chúng. Hình thang cũng tích hợp với nhiều công cụ báo cáo và quản lý chính sách bảo mật để bạn có thể thêm các chiến lược giảm thiểu thích hợp cho các thiết bị bị nhiễm.
Giải thích Backreen
Alissa Knight chuyên về các vấn đề bảo mật phần cứng. Cô là Nhà phân tích cao cấp tại Tập đoàn Aite và là tác giả của cuốn sách sắp ra mắt Hacking Connected Cars: Tactics, Techn kỹ thuật, and Thủ tục . Hiệp sỹ nói rằng các chuyên gia CNTT đang tìm cách quét phần mềm độc hại vô hình có thể sẽ cần một công cụ như Trapezoid 5. Không có gì ít chuyên môn sẽ làm. "Có một khía cạnh cơ bản của các cửa hậu khiến chúng khó phát hiện vì chúng chờ một số tác nhân nhất định đánh thức chúng", cô giải thích.
Knight nói rằng, nếu một cửa hậu như vậy tồn tại, cho dù đó là một phần của cuộc tấn công phần mềm độc hại hay tồn tại vì một lý do nào khác, thì cách tốt nhất bạn có thể làm là ngăn không cho chúng hoạt động bằng cách ngăn chúng phát hiện ra các tác nhân. Cô chỉ vào Im lặng Phần cứng Backreen, một báo cáo nghiên cứu của Adam Waksman và Simha Sethumadhavan, cả hai Phòng thí nghiệm công nghệ kiến trúc và bảo mật máy tính, Khoa Khoa học máy tính tại Đại học Columbia.
Nghiên cứu của Waksman và Sethumadhavan cho thấy các trình kích hoạt phần mềm độc hại này có thể được ngăn chặn hoạt động bằng ba kỹ thuật: Thứ nhất, thiết lập lại nguồn (đối với phần mềm độc hại thường trú trong bộ nhớ và các cuộc tấn công dựa trên thời gian); thứ hai, dữ liệu obfuscation; và thứ ba, phá vỡ chuỗi. Obfuscation liên quan đến việc mã hóa dữ liệu đi vào đầu vào có thể giữ cho các kích hoạt không được nhận ra, như có thể ngẫu nhiên hóa dòng lệnh.
Vấn đề với các phương pháp này là chúng có thể không thực tế trong môi trường CNTT cho tất cả các triển khai quan trọng nhất. Knight chỉ ra rằng một số trong các cuộc tấn công này có nhiều khả năng được thực hiện bởi những kẻ tấn công được nhà nước bảo trợ hơn là tội phạm mạng. Tuy nhiên, điều đáng chú ý là những kẻ tấn công được nhà nước bảo trợ này đã theo đuổi các doanh nghiệp vừa và nhỏ (SMB) trong nỗ lực lấy thông tin hoặc quyền truy cập khác vào các mục tiêu cuối cùng của họ, vì vậy, SMB IT không thể bỏ qua mối đe dọa này vì quá tinh vi để áp dụng cho họ.
Ngăn chặn phần mềm độc hại giao tiếp
Tuy nhiên, một chiến lược hoạt động là ngăn phần mềm độc hại giao tiếp, một điều đúng với hầu hết các phần mềm độc hại và backtime. Ngay cả khi họ ở đó, họ không thể làm bất cứ điều gì nếu họ không thể bật hoặc nếu họ không thể gửi tải trọng của mình. Một thiết bị phân tích mạng tốt có thể làm điều này. "Cần liên lạc với cơ sở tại nhà", Arie Fred, Phó chủ tịch quản lý sản phẩm tại SecBI giải thích, sử dụng hệ thống phát hiện và phản ứng đe dọa dựa trên trí tuệ nhân tạo (AI) để ngăn chặn phần mềm độc hại liên lạc.
"Chúng tôi sử dụng cách tiếp cận dựa trên nhật ký bằng cách sử dụng dữ liệu từ các thiết bị hiện có để tạo khả năng hiển thị toàn bộ phạm vi", Fred nói. Cách tiếp cận này tránh các vấn đề được tạo ra bởi truyền thông được mã hóa từ phần mềm độc hại mà một số loại hệ thống phát hiện phần mềm độc hại không thể nắm bắt được.
"Chúng tôi có thể thực hiện các cuộc điều tra tự trị và giảm nhẹ tự động", ông nói. Bằng cách này, các liên lạc đáng ngờ từ thiết bị đến đích bất ngờ có thể bị theo dõi và chặn và thông tin đó có thể được chia sẻ ở nơi khác trên mạng.
Xóa phần mềm độc hại dựa trên phần cứng
Vì vậy, có lẽ bạn đã tìm thấy một số phần mềm độc hại vô hình và có lẽ bạn đã quản lý để ngăn chặn nó tiếp tục cuộc trò chuyện với quyền làm mẹ của nó. Tất cả đều tốt, nhưng còn việc thoát khỏi nó thì sao? Hóa ra điều này không chỉ khó, nó có thể là không thể.
Trong những trường hợp có thể, cách chữa trị ngay lập tức là làm lại phần sụn. Điều này có thể loại bỏ phần mềm độc hại, trừ khi nó đi qua chuỗi cung ứng riêng của thiết bị, trong trường hợp bạn chỉ cần tải lại phần mềm độc hại.
- Phần mềm giám sát mạng tốt nhất năm 2019 Phần mềm giám sát mạng tốt nhất năm 2019
- Phần mềm bảo vệ và loại bỏ phần mềm độc hại tốt nhất cho năm 2019 Phần mềm bảo vệ và loại bỏ phần mềm độc hại tốt nhất cho năm 2019
- Phần mềm độc hại vô hình có ở đây và Phần mềm bảo mật của bạn không thể bắt được Phần mềm độc hại vô hình ở đây và Phần mềm bảo mật của bạn không thể bắt được
Nếu bạn thực hiện phản xạ, thì điều quan trọng là phải xem mạng của bạn để tìm dấu hiệu tái nhiễm. Phần mềm độc hại đó phải xâm nhập vào phần cứng của bạn từ một nơi nào đó và nếu nó không đến từ nhà sản xuất, thì chắc chắn cùng một nguồn sẽ gửi lại để tự thiết lập lại.
Những gì điều này sôi xuống là giám sát nhiều hơn. Điều đó sẽ tiếp tục theo dõi lưu lượng truy cập mạng của bạn để biết các dấu hiệu liên lạc với phần mềm độc hại cũng như giữ các tab trên các bản cài đặt phần sụn thiết bị khác nhau của bạn để tìm dấu hiệu lây nhiễm. Và nếu bạn đang theo dõi, có lẽ bạn có thể tìm ra nó đến từ đâu và cũng loại bỏ điều đó.
