El malware invisible está aquí y su software de seguridad no puede detectarlo

El "malware invisible", una nueva generación de malware, está en marcha y, si ataca sus servidores, puede que no haya mucho que pueda hacer al respecto. De hecho, es posible que ni siquiera puedas decir que está ahí. En algunos casos, el malware invisible solo vive en la memoria, lo que significa que no hay archivos en sus discos para que los encuentre su software de protección de punto final. En otros casos, el malware invisible puede vivir en su Sistema básico de entrada / salida (BIOS), donde puede usar una de las pocas tácticas para atacarlo. En algunos casos, incluso puede aparecer como una actualización de firmware donde reemplaza su firmware existente con una versión infectada y casi imposible de encontrar o eliminar.

"Con el avance en el software anti-malware y Endpoint Detection and Response (EDR) que facilita la captura de malware de día cero, los escritores de malware se están moviendo más abajo en la pila", dijo Alissa Knight, analista senior de la práctica de ciberseguridad de Aite Group.. Ella se especializa en amenazas basadas en hardware. Knight dijo que se está desarrollando este nuevo tipo de malware que puede evadir la detección mediante software heredado.

El software EDR, que es más avanzado que los paquetes AV heredados, es mucho más efectivo para detectar ataques, y este software utiliza una variedad de métodos para determinar cuándo un atacante está en el trabajo. "El desarrollo de EDR hace que el sombrero negro responda y cree kits de raíz del núcleo y kits de raíz de firmware, en hardware donde puede escribir en el registro de arranque maestro", dijo Knight.

También condujo a la creación de kits de raíz virtual, que se iniciarán antes que el sistema operativo (SO), creando una máquina virtual (VM) para el malware para que no pueda ser detectado por el software que se ejecuta en el SO. "Eso hace que sea casi imposible atraparlo", dijo.

Blue Pill Malware y más

Afortunadamente, instalar un kit raíz virtual en un servidor sigue siendo difícil, en la medida en que los atacantes que lo intentan generalmente trabajan como atacantes patrocinados por el estado. Además, al menos algunas de las actividades pueden detectarse y algunas pueden detenerse. Knight dice que el "malware sin archivos", que opera solo en la memoria, puede ser derrotado apagando por la fuerza la computadora en la que se está ejecutando.

Pero Knight también dijo que dicho malware puede estar acompañado por lo que se llama "malware Blue Pill", que es una forma de kit raíz virtual que se carga en una máquina virtual y luego carga el sistema operativo en una máquina virtual. Esto le permite fingir un apagado y reiniciar mientras deja que el malware siga ejecutándose. Es por eso que no puede simplemente usar la opción de apagado en Microsoft Windows 10; solo tirar del enchufe funcionará.

Afortunadamente, a veces se pueden detectar otros tipos de ataques de hardware mientras están en progreso. Knight dijo que una compañía, SentinelOne, ha creado un paquete EDR que es más efectivo que la mayoría, y que a veces puede detectar cuándo el malware está atacando el BIOS o el firmware en una máquina.

Chris Bates es Director Global de Arquitectura de Producto en SentinelOne. Dijo que los agentes del producto operan de manera autónoma y pueden combinar información con otros puntos finales cuando sea necesario. "Todos los agentes de SentinelOne están construyendo contexto", dijo Bates. Dijo que el contexto y los eventos que suceden mientras se construye el contexto crean historias que pueden usarse para detectar las operaciones de malware.

Bates dijo que cada punto final puede tomar medidas correctivas por sí mismo al eliminar el malware o ponerlo en cuarentena. Pero Bates también dijo que su paquete EDR no puede atrapar todo, especialmente cuando ocurre fuera del sistema operativo. Un ejemplo es una memoria USB que reescribe el BIOS antes de que la computadora se inicie.

Siguiente nivel de preparación

Aquí es donde entra el siguiente nivel de preparación, explicó Knight. Ella señaló un proyecto conjunto entre Intel y Lockheed Martin que creó una solución de seguridad reforzada que se ejecuta en procesadores Intel Xeon escalables estándar de segunda generación llamada "Intel Select Solution for Hardened Security with Lockheed Martin". Esta nueva solución está diseñada para prevenir infecciones de malware al aislar recursos críticos y proteger esos recursos.

Mientras tanto, Intel también ha anunciado otra serie de medidas preventivas de hardware llamada "Hardware Shield", que bloquea el BIOS. "Esta es una tecnología en la que, si hay algún tipo de inyección de código malicioso, el BIOS puede responder", explicó Stephanie Hallford, vicepresidenta y gerente general de plataformas de clientes comerciales de Intel. "Algunas versiones tendrán la capacidad de comunicarse entre el sistema operativo y el BIOS. El sistema operativo también puede responder y proteger contra el ataque".

Desafortunadamente, no hay mucho que pueda hacer para proteger las máquinas existentes. "Debe reemplazar los servidores críticos", dijo Knight, y agregó que también deberá determinar cuáles son sus datos críticos y dónde se están ejecutando.

"Intel y AMD van a necesitar ponerse al día y democratizar esto", dijo Knight. "A medida que los escritores de malware mejoren, los proveedores de hardware deberán ponerse al día y hacerlo asequible".

El problema solo empeora

Desafortunadamente, Knight dijo que el problema solo va a empeorar. "Los kits de delitos y kits de malware serán cada vez más fáciles", dijo.

Knight agregó que la única forma en que la mayoría de las empresas pueden evitar el problema es mover sus datos y procesos críticos a la nube, aunque solo sea porque los proveedores de servicios en la nube pueden protegerse mejor contra este tipo de ataque de hardware. "Es hora de transferir el riesgo", dijo.

Y Knight advirtió que, a la velocidad en que se mueven las cosas, hay poco tiempo para proteger sus datos críticos. "Esto se convertirá en un gusano", predijo ella. "Se convertirá en una especie de gusano autopropagante". Es el futuro de la guerra cibernética, dijo Knight. No seguirá siendo competencia de los actores patrocinados por el estado para siempre.

Pasos a seguir

Entonces, con el futuro tan sombrío, ¿qué puedes hacer ahora? Estos son algunos pasos iniciales que debe tomar de inmediato:

Si aún no tiene un software EDR efectivo, como SentinelOne, obtenga uno ahora.

Identifique sus datos críticos y trabaje para protegerlos mediante cifrado mientras actualiza los servidores en los que se encuentran los datos en máquinas protegidas contra vulnerabilidades de hardware y las vulnerabilidades que se aprovechan de ellas.

Cuando sus datos críticos deben permanecer en la empresa, reemplace los servidores que contienen esos datos por plataformas que usan las tecnologías de hardware, como Hardware Shield para clientes y la Solución Intel Select para seguridad reforzada con Lockheed Martin para servidores.

Siempre que sea posible, mueva sus datos críticos a proveedores en la nube con procesadores protegidos.

• • La mejor protección antivirus para 2019 La mejor protección antivirus para 2019
  • El mejor software de protección y seguridad de punto final alojado para 2019 El mejor software de protección y seguridad de punto final alojado para 2019
  • El mejor software de eliminación y protección de malware para 2019 El mejor software de eliminación y protección de malware para 2019

  Siga entrenando a su personal en una buena higiene de seguridad para que no sean ellos quienes conecten una memoria USB infectada en uno de sus servidores.

Asegúrese de que su seguridad física sea lo suficientemente fuerte como para proteger los servidores y el resto de los puntos finales de su red. Si todo esto te hace pensar que la seguridad es una carrera armamentista, entonces estarías en lo correcto.