Você pode encontrar malware invisível, mas se livrar dele não é fácil

Sabendo que existe um malware invisível isso está além do alcance do seu software anti-malware já é assustador o suficiente. Mas e quando você aprende que, mesmo se você localizar essas coisas, talvez não consiga se livrar delas? Infelizmente, dependendo do tipo de malware baseado em hardware de que estamos falando, pode muito bem ser o caso.

Eu já escrevi na semana passada sobre o problema de malware invisível, que pode existir no BIOS (Basic Input / Output System) do seu computador e pode abrigar rootkits virtuais. Esses rootkits podem então assumir silenciosamente seus servidores, desktops ou outros dispositivos. Como eles existem no hardware, sua proteção de terminal ou outros pacotes antimalware geralmente não podem vê-los. Na verdade, você talvez nunca saiba que está infectado até que seus dados apareçam à venda após uma violação.

Detectando malware

Felizmente, os especialistas descobriram maneiras pelas quais esse malware invisível pode ser revelado, mas como se os bandidos estivessem acompanhando o ritmo, também há novas maneiras de ser instalado. Ainda assim, a tarefa de encontrá-lo se torna um pouco mais fácil. Por exemplo, uma nova vulnerabilidade nos processadores Intel chamada "ZombieLoad" pode ser atacada por meio do código de exploração fornecido no software. Essa vulnerabilidade pode permitir a inserção de malware no BIOS de um computador remotamente.

Enquanto os pesquisadores ainda estudam o ZombieLoad, tentando determinar a extensão do problema nesta última rodada de explorações da Intel, o fato é que essas explorações de hardware podem se estender por toda a empresa. "O firmware é um código programável em um chip", explica Jose E. Gonzalez, co-fundador e CEO da Trapezoid. "Você tem um monte de código em seu sistema que não está vendo".

Exacerbando esse problema está o fato de que esse firmware pode existir em toda a sua rede, em dispositivos que variam de webcams e dispositivos de segurança a comutadores e roteadores até os computadores na sala do servidor. Todos eles são essencialmente dispositivos de computação; portanto, qualquer um deles pode abrigar malware com código de exploração. De fato, apenas esses dispositivos foram usados ​​para iniciar ataques de negação de serviço (ataques de negação de serviço) a partir de bots baseados em seu firmware.

O Trapezoid 5 é capaz de detectar a presença de malware baseado em firmware por meio de um sistema exclusivo de marcas d'água que vincula criptograficamente o firmware de cada dispositivo a qualquer hardware no qual ele seja executado. Isso inclui dispositivos virtuais, incluindo máquinas virtuais (VMs) localizadas no local ou infraestrutura virtual como serviço (IaaS) sendo executadas na nuvem. Essas marcas d'água podem revelar se alguma coisa no firmware do dispositivo mudou. Adicionar malware ao firmware irá alterá-lo para que a marca d'água seja inválida.

O trapézio inclui um mecanismo de verificação de integridade do firmware que ajuda a detectar problemas no firmware e permite que a equipe de segurança os examine. O Trapezoid também se integra a muitas ferramentas de gerenciamento de políticas e relatórios de segurança, para que você possa adicionar estratégias de mitigação apropriadas para dispositivos infectados.

Explicando Backdoors

Alissa Knight é especialista em questões de segurança de hardware. Ela é analista sênior do The Aite Group e autora do próximo livro Hacking Connected Cars: Tactics, Techniques, Procedures . Cavaleiro disse que os profissionais de TI que procuram verificar malware invisível provavelmente precisarão de uma ferramenta como o Trapezoid 5. Nada menos especializado será necessário. "Há um aspecto fundamental das backdoors que as torna difíceis de detectar porque esperam que certos gatilhos os acordem", explicou ela.

Knight disse que, se esse backdoor existe, se faz parte de um ataque de malware ou existe por algum outro motivo, o melhor que você pode fazer é impedi-los de operar, impedindo-os de detectar seus gatilhos. Ela apontou para Silencing Hardware Backdoors , um relatório de pesquisa de Adam Waksman e Simha Sethumadhavan, ambos Laboratório de Arquitetura de Computadores e Tecnologia de Segurança, Departamento de Ciência da Computação da Columbia University.

A pesquisa de Waksman e Sethumadhavan mostra que esses gatilhos de malware podem ser impedidos de funcionar por três técnicas: Primeiro, uma redefinição de energia (para malware residente na memória e ataques baseados em tempo); segundo, ofuscação de dados; e terceiro, quebra de sequência. A ofuscação envolve a criptografia de dados que entram nas entradas, pode impedir que os gatilhos sejam reconhecidos, assim como a randomização do fluxo de comandos.

O problema com essas abordagens é que elas podem ser impraticáveis ​​em um ambiente de TI para todas as implementações, exceto as mais críticas. Knight apontou que alguns desses ataques são mais prováveis ​​de serem realizados por atacantes patrocinados pelo Estado do que por cibercriminosos. No entanto, vale a pena notar que esses invasores patrocinados pelo Estado perseguem pequenas e médias empresas (SMBs) na tentativa de obter informações ou outro acesso aos seus objetivos finais, para que os profissionais de TI de pequenas e médias empresas não possam simplesmente ignorar essa ameaça por serem muito sofisticados. para aplicar a eles.

Impedindo a comunicação de malware

No entanto, uma estratégia que funciona é impedir que o malware se comunique, algo verdadeiro para a maioria dos malwares e backdoors. Mesmo se estiverem lá, eles não poderão fazer nada se não puderem ser ativados ou se não puderem enviar suas cargas úteis. Um bom dispositivo de análise de rede pode fazer isso. "precisa se comunicar com a base", explicou Arie Fred, vice-presidente de gerenciamento de produtos da SecBI, que usa um sistema de resposta e detecção de ameaças baseado em inteligência artificial (AI) para impedir a comunicação de malware.

"Usamos uma abordagem baseada em log usando dados dos dispositivos existentes para criar visibilidade total do escopo", disse Fred. Essa abordagem evita os problemas criados pelas comunicações criptografadas do malware, que alguns tipos de sistemas de detecção de malware não conseguem detectar.

"Podemos fazer investigações autônomas e mitigações automáticas", disse ele. Dessa forma, as comunicações suspeitas de um dispositivo para um destino inesperado podem ser rastreadas e bloqueadas, e essas informações podem ser compartilhadas em outro local da rede.

Excluindo malware com base em hardware

Talvez você tenha encontrado algum malware invisível e talvez tenha impedido que ele continuasse uma conversa com sua nave-mãe. Tudo bem, mas que tal se livrar disso? Acontece que isso não é apenas difícil, pode muito bem ser impossível.

Naqueles casos em que é possível, a cura imediata é atualizar novamente o firmware. Isso pode eliminar o malware, a menos que ele tenha passado pela própria cadeia de suprimentos do dispositivo; nesse caso, você apenas estaria recarregando o malware.

• O melhor software de monitoramento de rede para 2019 O melhor software de monitoramento de rede para 2019
• O melhor software de proteção e remoção de malware de 2019 O melhor software de proteção e remoção de malware de 2019
• O malware invisível está aqui e o seu software de segurança não consegue pegá-lo O malware invisível está aqui e o seu software de segurança não consegue pegá-lo

Se você fizer reflash, também é importante observar sua rede quanto a sinais de reinfecção. Esse malware teve que entrar no seu hardware de algum lugar e, se não veio do fabricante, é definitivamente possível que a mesma fonte o envie novamente para se restabelecer.

O que isso se resume é mais monitoramento. Isso continuaria monitorando o tráfego da rede em busca de sinais de comunicação de malware, além de acompanhar as várias instalações de firmware do dispositivo quanto a sinais de infecção. E se você estiver monitorando, talvez possa descobrir de onde vem e eliminar isso também.