สารบัญ:
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
การรู้ว่ามีมัลแวร์ที่มองไม่เห็น สิ่งที่เกินความสามารถของซอฟต์แวร์ป้องกันมัลแวร์ของคุณนั้นน่ากลัวเพียงพอ แต่เมื่อคุณเรียนรู้สิ่งนั้นแม้ว่าคุณจะค้นหาสิ่งนี้คุณอาจไม่สามารถกำจัดมันได้? น่าเสียดายที่ขึ้นอยู่กับประเภทของมัลแวร์ที่ใช้ฮาร์ดแวร์ที่เรากำลังพูดถึง
ฉันได้เขียนเมื่อสัปดาห์ที่แล้วเกี่ยวกับปัญหาของมัลแวร์ที่มองไม่เห็นซึ่งสามารถมีอยู่ในระบบอินพุต / เอาท์พุตพื้นฐาน (BIOS) ของคอมพิวเตอร์ของคุณและสามารถซ่อนรูทคิทเสมือนได้ รูทคิทเหล่านี้สามารถนำเซิร์ฟเวอร์เดสก์ท็อปหรืออุปกรณ์อื่น ๆ ของคุณไปอย่างเงียบ ๆ เนื่องจากมีอยู่ในฮาร์ดแวร์การป้องกันปลายทางของคุณหรือแพ็คเกจป้องกันมัลแวร์อื่น ๆ จึงไม่สามารถมองเห็นได้ ที่จริงแล้วคุณอาจไม่มีทางรู้ว่าคุณติดไวรัสจนกว่าข้อมูลของคุณจะปรากฏขึ้นเพื่อการขายหลังจากการฝ่าฝืน
ตรวจจับมัลแวร์
โชคดีที่ผู้เชี่ยวชาญค้นพบวิธีที่มัลแวร์ที่มองไม่เห็นนี้สามารถเปิดเผยได้ แต่ราวกับว่าคนร้ายกำลังก้าวไปข้างหน้าก็มีวิธีใหม่ในการติดตั้ง ถึงกระนั้นงานในการค้นหาก็ทำง่ายขึ้นบ้าง ตัวอย่างเช่นช่องโหว่ใหม่ในโปรเซสเซอร์ของ Intel ที่เรียกว่า "ZombieLoad" อาจถูกโจมตีผ่านช่องโหว่ที่ส่งมอบมาในซอฟต์แวร์ ช่องโหว่นี้อาจอนุญาตให้มีการแทรกมัลแวร์ใน BIOS ของคอมพิวเตอร์จากระยะไกล
ในขณะที่นักวิจัยยังคงศึกษา ZombieLoad อยู่พยายามที่จะกำหนดขอบเขตของปัญหาในการหาประโยชน์จาก Intel รอบล่าสุดความจริงก็คือการหาประโยชน์จากฮาร์ดแวร์ดังกล่าวสามารถขยายไปทั่วทั้งองค์กร “ เฟิร์มแวร์นั้นเป็นรหัสที่ตั้งโปรแกรมได้บนชิป” Jose E. Gonzalez ผู้ร่วมก่อตั้งและซีอีโอของ Trapezoid อธิบาย "คุณมีรหัสมากมายในระบบของคุณที่คุณไม่ได้ดู"
ปัญหาที่ทวีความรุนแรงยิ่งขึ้นคือความจริงที่ว่าเฟิร์มแวร์นี้มีอยู่ทั่วเครือข่ายของคุณในอุปกรณ์ต่าง ๆ ตั้งแต่เว็บแคมและอุปกรณ์ความปลอดภัยไปจนถึงสวิตช์และเราเตอร์ไปยังคอมพิวเตอร์ในห้องเซิร์ฟเวอร์ของคุณ ทั้งหมดเป็นอุปกรณ์การประมวลผลดังนั้นสิ่งใดก็ตามสามารถดักจับมัลแวร์ที่ถือรหัสการโกง อันที่จริงมีเพียงอุปกรณ์ดังกล่าวเท่านั้นที่ถูกใช้เพื่อเริ่มการโจมตีแบบปฏิเสธการให้บริการ (การโจมตี DoS) จากบ็อตที่อยู่ในเฟิร์มแวร์
Trapezoid 5 สามารถตรวจจับการปรากฏตัวของมัลแวร์ที่ใช้เฟิร์มแวร์ผ่านระบบลายน้ำที่เป็นเอกลักษณ์ซึ่งเข้ารหัสลับเฟิร์มแวร์ของอุปกรณ์แต่ละตัวกับฮาร์ดแวร์ใด ๆ ที่เคยทำงาน ซึ่งรวมถึงอุปกรณ์เสมือนจริงรวมถึงเครื่องเสมือน (VM) ที่อยู่ในสถานที่หรือโครงสร้างพื้นฐานเสมือน -a-a-Service (IaaS) ที่กำลังทำงานอยู่ในระบบคลาวด์ ลายน้ำเหล่านี้สามารถเปิดเผยได้ว่ามีอะไรเปลี่ยนแปลงในเฟิร์มแวร์ของอุปกรณ์หรือไม่ การเพิ่มมัลแวร์ในเฟิร์มแวร์จะเปลี่ยนเพื่อให้ลายน้ำไม่ถูกต้อง
สี่เหลี่ยมคางหมูรวมถึง Firmware Integrity Verification Engine ที่ช่วยตรวจสอบปัญหาในเฟิร์มแวร์และอนุญาตให้เจ้าหน้าที่รักษาความปลอดภัยตรวจสอบได้ สี่เหลี่ยมคางหมูยังทำงานร่วมกับเครื่องมือการจัดการนโยบายความปลอดภัยและการรายงานจำนวนมากเพื่อให้คุณสามารถเพิ่มกลยุทธ์บรรเทาผลกระทบที่เหมาะสมสำหรับอุปกรณ์ที่ติดไวรัส
อธิบาย Backdoors
Alissa Knight เชี่ยวชาญด้านปัญหาความปลอดภัยของฮาร์ดแวร์ เธอเป็นนักวิเคราะห์อาวุโสที่ The Aite Group และเป็นผู้แต่งหนังสือเกี่ยวกับ Hacking Connected Cars: Tactics, เทคนิคและขั้นตอน อัศวิน กล่าวว่าผู้เชี่ยวชาญด้านไอทีที่ต้องการสแกนหามัลแวร์ที่มองไม่เห็นจะต้องใช้เครื่องมือเช่น Trapezoid 5 ไม่เฉพาะผู้เชี่ยวชาญเท่านั้น “ มีลักษณะพื้นฐานของแบ็คดอร์ที่ทำให้ตรวจจับได้ยากเพราะพวกมันรอให้ตัวกระตุ้นบางตัวตื่นขึ้นมา” เธออธิบาย
Knight กล่าวว่าหากแบ็คดอร์นั้นมีอยู่ไม่ว่าจะเป็นส่วนหนึ่งของการโจมตีของมัลแวร์หรือด้วยเหตุผลอื่นใดก็ตามสิ่งที่ดีที่สุดที่คุณสามารถทำได้คือป้องกันไม่ให้พวกเขาทำงานโดยการตรวจจับทริกเกอร์ เธอชี้ไปที่ Silencing Hardware Backdoors รายงานการวิจัยโดย Adam Waksman และ Simha Sethumadhavan ทั้งสองคน ห้องปฏิบัติการสถาปัตยกรรมคอมพิวเตอร์และเทคโนโลยีความปลอดภัยภาควิชาวิทยาการคอมพิวเตอร์มหาวิทยาลัยโคลัมเบีย
การวิจัยของ Waksman และ Sethumadhavan แสดงให้เห็นว่าทริกเกอร์มัลแวร์เหล่านี้สามารถป้องกันได้จากการทำงานด้วยสามเทคนิค: ขั้นแรกเป็นการรีเซ็ตพลังงาน (สำหรับมัลแวร์ที่อาศัยอยู่ในหน่วยความจำและการโจมตีตามเวลา) สองข้อมูลทำให้งงงวย; และสามลำดับทำลาย การทำให้ยุ่งเหยิงเกี่ยวข้องกับการเข้ารหัสข้อมูลที่จะเข้าไปในอินพุตสามารถป้องกันไม่ให้ทริกเกอร์ถูกจดจำเช่นเดียวกับการสุ่มสตรีมคำสั่ง
ปัญหาเกี่ยวกับวิธีการเหล่านี้คือพวกเขาอาจไม่สามารถปฏิบัติได้ในสภาพแวดล้อมไอทีสำหรับทุกคนยกเว้นการใช้งานที่สำคัญที่สุด Knight ชี้ให้เห็นว่าการโจมตีเหล่านี้มีแนวโน้มที่จะดำเนินการโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐมากกว่าอาชญากรไซเบอร์ อย่างไรก็ตามเป็นที่น่าสังเกตว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐจะดำเนินธุรกิจขนาดกลางถึงขนาดกลาง (SMBs) เพื่อพยายามรับข้อมูลหรือการเข้าถึงเป้าหมายอื่น ๆ ของพวกเขาดังนั้นผู้เชี่ยวชาญด้านไอทีของ SMB จึงไม่สามารถมองข้ามภัยคุกคามนี้ได้ เพื่อนำไปใช้กับพวกเขา
การป้องกันมัลแวร์จากการสื่อสาร
อย่างไรก็ตามหนึ่งในกลยุทธ์ที่ทำงานได้ป้องกันมัลแวร์จากการสื่อสารสิ่งที่เป็นจริงสำหรับมัลแวร์และแบ็คดอร์ส่วนใหญ่ แม้ว่าพวกเขาจะอยู่ที่นั่นพวกเขาไม่สามารถทำอะไรได้หากพวกเขาไม่สามารถเปิดใช้งานได้หรือหากพวกเขาไม่สามารถส่ง payload ได้ เครื่องมือวิเคราะห์เครือข่ายที่ดีสามารถทำได้ "ต้องการสื่อสารกับฐานบ้าน" Arie Fred รองประธานฝ่ายการจัดการผลิตภัณฑ์ของ SecBI ซึ่งใช้ระบบตรวจจับภัยคุกคามและระบบตรวจจับภัยคุกคามที่อิงตามปัญญาประดิษฐ์ (AI) เพื่อป้องกันมัลแวร์จากการสื่อสาร
"เราใช้วิธีการบันทึกข้อมูลโดยใช้ข้อมูลจากอุปกรณ์ที่มีอยู่เพื่อสร้างการมองเห็นขอบเขตแบบเต็ม" Fred กล่าว วิธีการนี้หลีกเลี่ยงปัญหาที่เกิดจากการสื่อสารที่เข้ารหัสจากมัลแวร์ซึ่งระบบตรวจจับมัลแวร์บางประเภทไม่สามารถตรวจจับได้
“ เราสามารถทำการตรวจสอบแบบอิสระและการบรรเทาอัตโนมัติ” เขากล่าว ด้วยวิธีนี้การสื่อสารที่น่าสงสัยจากอุปกรณ์ไปยังปลายทางที่ไม่คาดคิดสามารถถูกติดตามและบล็อกและข้อมูลนั้นสามารถแชร์ที่อื่นบนเครือข่าย
การลบมัลแวร์ที่ใช้ฮาร์ดแวร์
ดังนั้นคุณอาจพบมัลแวร์ที่มองไม่เห็นและบางทีคุณอาจปิดกั้นไม่ให้พูดคุยกับความเป็นแม่ของมัน ทุกอย่างดี แต่สิ่งที่เกี่ยวกับการกำจัดมันได้หรือไม่ ปรากฎว่านี่ไม่ใช่เรื่องยากมันอาจเป็นไปไม่ได้
ในกรณีที่เป็นไปได้การรักษาทันทีคือการ reflash เฟิร์มแวร์ สิ่งนี้อาจกำจัดมัลแวร์ได้เว้นแต่จะผ่านห่วงโซ่อุปทานของอุปกรณ์ซึ่งในกรณีนี้คุณเพียงแค่โหลดมัลแวร์ใหม่
- ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับ 2019 ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับปี 2562
- ซอฟต์แวร์กำจัดและป้องกันมัลแวร์ที่ดีที่สุดสำหรับปี 2562 ซอฟต์แวร์กำจัดและป้องกันมัลแวร์ที่ดีที่สุดสำหรับปี 2562
- ซอฟต์แวร์รักษาความปลอดภัยของคุณไม่สามารถตรวจจับได้มัลแวร์ที่มองไม่เห็นอยู่ที่นี่และซอฟต์แวร์ความปลอดภัยของคุณไม่สามารถตรวจจับได้
หากคุณทำ reflash คุณควรดูสัญญาณเครือข่ายของคุณอีกครั้ง มัลแวร์นั้นต้องเข้าไปในฮาร์ดแวร์ของคุณจากที่ไหนสักแห่งและถ้ามันไม่ได้มาจากผู้ผลิตก็อาจเป็นไปได้แน่นอนที่แหล่งเดียวกันจะส่งอีกครั้งเพื่อสร้างตัวเองขึ้นมาใหม่
สิ่งนี้ทำให้การเฝ้าระวังมากขึ้น นั่นคือการตรวจสอบปริมาณการใช้เครือข่ายของคุณอย่างต่อเนื่องเพื่อหาสัญญาณของการสื่อสารมัลแวร์รวมถึงการดูแลแท็บในการติดตั้งเฟิร์มแวร์ของอุปกรณ์ต่าง ๆ เพื่อหาสัญญาณการติดเชื้อ และหากคุณกำลังตรวจสอบอยู่คุณอาจจะทราบได้ว่ามันมาจากไหนและกำจัดสิ่งนั้นด้วย