O malware invisível está aqui e seu software de segurança não pode pegá-lo

O "malware invisível", uma nova geração de malware, está em marcha e, se atingir seus servidores, talvez não haja muito o que fazer. De fato, você pode nem ser capaz de dizer que está lá. Em alguns casos, o malware invisível fica apenas na memória, o que significa que não há nenhum arquivo em seus discos para o seu software de proteção de terminais. Em outros casos, o malware invisível pode residir no seu BIOS (Basic Input / Output System), onde pode usar uma das poucas táticas para atacá-lo. Em alguns casos, pode até aparecer como uma atualização de firmware, substituindo o firmware existente por uma versão infectada e quase impossível de encontrar ou remover.

"Com o avanço do software antimalware e do Endpoint Detection and Response (EDR), que facilita a captura de malware de dia zero, os criadores de malware estão se movendo cada vez mais na pilha", disse Alissa Knight, analista sênior da prática de segurança cibernética do Aite Group. Ela é especialista em ameaças baseadas em hardware. Knight disse que esse novo tipo de malware está sendo desenvolvido para evitar a detecção por software legado.

O software EDR, que é mais avançado que os pacotes AV herdados, é muito mais eficaz na captura de ataques, e usa vários métodos para determinar quando um invasor está trabalhando. "O desenvolvimento do EDR faz o black hat responder e criar kits raiz do kernel e kits raiz do firmware, em hardware onde pode gravar no registro mestre de inicialização", disse Knight.

Isso também levou à criação de kits raiz virtuais, que serão inicializados antes do sistema operacional (SO), criando uma máquina virtual (VM) para o malware, para que ele não possa ser detectado pelo software em execução no SO. "Isso torna quase impossível capturar", disse ela.

Blue Pill Malware e mais

Felizmente, a instalação de um kit raiz virtual em um servidor ainda é difícil - na medida em que os invasores que o estão testando geralmente trabalham como invasores patrocinados pelo estado. Além disso, pelo menos algumas das atividades podem ser detectadas e algumas podem ser interrompidas. Knight diz que "o malware sem arquivo", que opera apenas na memória, pode ser derrotado desligando à força o computador em que está sendo executado.

Mas Knight também disse que esse malware pode ser acompanhado pelo chamado "malware Blue Pill", que é uma forma de kit raiz virtual que se carrega em uma VM e depois carrega o sistema operacional em uma VM. Isso permite fingir um desligamento e reiniciar enquanto o malware continua em execução. É por isso que você não pode simplesmente usar a opção de desligamento no Microsoft Windows 10; apenas puxar o plugue funcionará.

Felizmente, outros tipos de ataques de hardware às vezes podem ser detectados enquanto estão em andamento. Knight disse que uma empresa, o SentinelOne, criou um pacote EDR mais eficaz do que a maioria e às vezes pode detectar quando um malware está atacando o BIOS ou firmware em uma máquina.

Chris Bates é diretor global de arquitetura de produtos do SentinelOne. Ele disse que os agentes do produto operam de forma autônoma e podem combinar informações com outros pontos de extremidade quando necessário. "Todo agente do SentinelOne está construindo um contexto", disse Bates. Ele disse que o contexto e os eventos que acontecem enquanto o contexto está sendo criado criam histórias que podem ser usadas para detectar as operações de malware.

Bates disse que cada ponto de extremidade pode ser remediado sozinho, eliminando o malware ou colocando-o em quarentena. Mas Bates também disse que seu pacote EDR não pode pegar tudo, especialmente quando isso acontece fora do sistema operacional. Um pen drive USB que reescreve o BIOS antes da inicialização do computador é um exemplo.

Próximo nível de preparação

É aqui que entra o próximo nível de preparação, explicou Knight. Ela apontou para um projeto conjunto entre a Intel e a Lockheed Martin que criou uma solução de segurança reforçada em execução nos processadores escalonáveis ​​padrão Intel Xeon de segunda geração, denominada "Solução Intel Select para segurança reforçada com a Lockheed Martin". Esta nova solução foi projetada para evitar infecções por malware, isolando recursos críticos e protegendo esses recursos.

Enquanto isso, a Intel também anunciou outra série de medidas preventivas de hardware, chamadas "Hardware Shield", que bloqueiam o BIOS. "Esta é uma tecnologia em que, se houver algum tipo de injeção de código malicioso, o BIOS poderá responder", explicou Stephanie Hallford, vice-presidente e gerente geral de plataformas de clientes empresariais da Intel. "Algumas versões terão a capacidade de se comunicar entre o sistema operacional e o BIOS. O sistema operacional também pode responder e proteger contra o ataque".

Infelizmente, não há muito que você possa fazer para proteger as máquinas existentes. "Você precisa substituir servidores críticos", disse Knight, acrescentando que também será necessário determinar quais são seus dados críticos e onde estão sendo executados.

"Intel e AMD precisarão entrar em ação e democratizar isso", disse Knight. "À medida que os criadores de malware melhoram, os fornecedores de hardware precisam atualizar e torná-lo acessível".

O problema está apenas piorando

Infelizmente, Knight disse que o problema só vai piorar. "Os kits para crimes e os malwares ficarão mais fáceis", disse ela.

Knight acrescentou que a única maneira de a maioria das empresas evitar o problema é transferir dados e processos críticos para a nuvem, apenas porque os provedores de serviços em nuvem podem se proteger melhor contra esse tipo de ataque de hardware. "É hora de transferir o risco", disse ela.

E Knight alertou que, na velocidade em que as coisas estão se movendo, há pouco tempo para proteger seus dados críticos. "Isso vai se transformar em um verme", previu ela. "Vai se tornar algum tipo de verme autopropagável". É o futuro da guerra cibernética, disse Knight. Não ficará para sempre o alcance de atores patrocinados pelo Estado.

Passos a Seguir

Então, com o futuro tão sombrio, o que você pode fazer agora? Aqui estão algumas etapas iniciais que você deve executar imediatamente:

Se você ainda não possui um software EDR eficaz, como o SentinelOne, obtenha um agora.

Identifique seus dados críticos e trabalhe para protegê-los por criptografia enquanto estiver atualizando os servidores em que os dados estão em máquinas protegidas contra vulnerabilidades de hardware e as explorações que os tiram proveito.

Onde seus dados críticos devem permanecer internamente, substitua os servidores que os contêm por plataformas que usam as tecnologias de hardware, como o Shield de hardware para clientes e a solução Intel Select Solution para segurança reforçada com a Lockheed Martin para servidores.

Sempre que possível, mova seus dados críticos para provedores de nuvem com processadores protegidos.

• • A melhor proteção antivírus para 2019 A melhor proteção antivírus para 2019
  • O melhor software de proteção e segurança de endpoint hospedado para 2019 O melhor software de proteção e segurança de endpoint hospedado para 2019
  • O melhor software de proteção e remoção de malware de 2019 O melhor software de proteção e remoção de malware de 2019

  Continue treinando sua equipe em boa higiene de segurança, para que não sejam as que conectam um pen drive infectado a um de seus servidores.

Verifique se a segurança física é forte o suficiente para proteger os servidores e o restante dos pontos de extremidade na sua rede. Se tudo isso lhe parecer que a segurança é uma corrida armamentista, você estará correto.