Tabla de contenido:
- Detectar Malware
- Explicando las puertas traseras
- Evitar que el malware se comunique
- Eliminar malware basado en hardware
Video: Como Eliminar Virus de Tu PC con CMD | RESUELTO | (Noviembre 2024)
Sabiendo que existe el malware invisible eso está más allá del alcance de su software anti-malware lo suficientemente aterrador. Pero, ¿qué pasa cuando aprendes que, incluso si encuentras estas cosas, es posible que no puedas deshacerte de ellas? Desafortunadamente, dependiendo del tipo de malware basado en hardware del que estamos hablando, ese podría ser el caso.
Detectar Malware
Afortunadamente, los expertos han encontrado formas de revelar este malware invisible, pero como si los malos siguieran el ritmo, también hay nuevas formas de instalarlo. Aún así, la tarea de encontrarlo se hace algo más fácil. Por ejemplo, una nueva vulnerabilidad en los procesadores Intel llamada "ZombieLoad" puede ser atacada a través de un código de explotación entregado en el software. Esta vulnerabilidad puede permitir la inserción remota de malware en el BIOS de una computadora.
Si bien los investigadores aún están estudiando ZombieLoad, tratando de determinar el alcance del problema en esta última ronda de exploits de Intel, el hecho es que dichos exploits de hardware pueden extenderse a toda la empresa. "El firmware es un código programable que se encuentra en un chip", explica José E. González, cofundador y CEO de Trapezoid. "Tienes un montón de código en tu sistema que no estás viendo".
Para exacerbar este problema está el hecho de que este firmware puede existir en toda su red, en dispositivos que van desde cámaras web y dispositivos de seguridad hasta conmutadores y enrutadores para las computadoras en la sala de servidores. Todos ellos son esencialmente dispositivos informáticos, por lo que cualquiera de ellos puede albergar malware con código de explotación. De hecho, solo dichos dispositivos se han utilizado para lanzar ataques de denegación de servicio (ataques DoS) desde bots basados en su firmware.
Trapezoid 5 es capaz de detectar la presencia de malware basado en firmware a través de un sistema único de marcas de agua que vincula criptográficamente el firmware de cada dispositivo a cualquier hardware en el que se haya ejecutado. Esto incluye dispositivos virtuales, incluidas las máquinas virtuales (VM) ubicadas en las instalaciones o en Infraestructura como servicio virtual (IaaS) que se ejecuta en la nube. Estas marcas de agua pueden revelar si algo en el firmware del dispositivo ha cambiado. Agregar malware al firmware lo cambiará para que la marca de agua no sea válida.
Trapezoid incluye un motor de verificación de integridad del firmware que ayuda a detectar problemas en el firmware y permite que el personal de seguridad los examine. Trapezoid también se integra con muchas herramientas de gestión de políticas de seguridad e informes para que pueda agregar estrategias de mitigación apropiadas para dispositivos infectados.
Explicando las puertas traseras
Alissa Knight se especializa en problemas de seguridad de hardware. Es analista sénior en The Aite Group y autora del próximo libro Hacking Connected Cars: Tactics, Techniques, and Procedure . Caballero dijo que los profesionales de TI que buscan escanear malware invisible probablemente necesitarán una herramienta como Trapezoid 5. Nada menos especializado lo hará. "Hay un aspecto fundamental de las puertas traseras que las hace difíciles de detectar porque esperan ciertos desencadenantes para despertarlas", explicó.
Knight dijo que, si existe una puerta trasera, ya sea parte de un ataque de malware o existe por alguna otra razón, lo mejor que puede hacer es evitar que operen evitando que detecten sus disparadores. Señaló a Silencing Hardware Backdoors , un informe de investigación de Adam Waksman y Simha Sethumadhavan, ambos Laboratorio de Arquitectura Informática y Tecnología de Seguridad, Departamento de Informática de la Universidad de Columbia.
La investigación de Waksman y Sethumadhavan muestra que se puede evitar que estos disparadores de malware funcionen mediante tres técnicas: Primero, un reinicio de energía (para malware residente en memoria y ataques basados en el tiempo); segundo, ofuscación de datos; y tercero, secuencia de ruptura. La ofuscación implica cifrar los datos que entran en las entradas puede evitar que se reconozcan los disparadores, al igual que la aleatorización de la secuencia de comandos.
El problema con estos enfoques es que pueden ser poco prácticos en un entorno de TI para todas las implementaciones menos las más críticas. Knight señaló que algunos de estos ataques tienen más probabilidades de ser llevados a cabo por atacantes patrocinados por el estado que por delincuentes cibernéticos. Sin embargo, vale la pena señalar que esos atacantes patrocinados por el estado persiguen a las pequeñas y medianas empresas (SMB) en un intento de obtener información u otro acceso a sus objetivos finales, por lo que los profesionales de TI de SMB no pueden simplemente ignorar esta amenaza como demasiado sofisticada para aplicar a ellos.
Evitar que el malware se comunique
Sin embargo, una estrategia que funciona es evitar que el malware se comunique, algo que es cierto para la mayoría de malware y puertas traseras. Incluso si están allí, no pueden hacer nada si no pueden encenderse o si no pueden enviar sus cargas. Un buen dispositivo de análisis de red puede hacer esto. "necesita comunicarse con la base de operaciones", explicó Arie Fred, vicepresidenta de gestión de productos de SecBI, que utiliza un sistema de detección y respuesta de amenazas basado en inteligencia artificial (IA) para evitar que el malware se comunique.
"Utilizamos un enfoque basado en el registro que utiliza datos de los dispositivos existentes para crear una visibilidad de alcance total", dijo Fred. Este enfoque evita los problemas creados por las comunicaciones cifradas del malware, que algunos tipos de sistemas de detección de malware no pueden detectar.
"Podemos hacer investigaciones autónomas y mitigaciones automáticas", dijo. De esta forma, las comunicaciones sospechosas desde un dispositivo a un destino inesperado pueden rastrearse y bloquearse, y esa información puede compartirse en cualquier otro lugar de la red.
Eliminar malware basado en hardware
Entonces, tal vez haya encontrado algún malware invisible, y tal vez haya logrado impedir que mantenga una conversación con su nave nodriza. Todo bien, pero ¿qué hay de deshacerse de él? Resulta que esto no solo es difícil, sino que puede ser imposible.
De esos casos en los que es posible, la cura inmediata es volver a actualizar el firmware. Esto puede eliminar el malware, a menos que haya pasado por la propia cadena de suministro del dispositivo, en cuyo caso simplemente estaría recargando el malware.
- El mejor software de monitoreo de red para 2019 El mejor software de monitoreo de red para 2019
- El mejor software de eliminación y protección de malware para 2019 El mejor software de eliminación y protección de malware para 2019
- El malware invisible está aquí y su software de seguridad no puede detectarlo El malware invisible está aquí y su software de seguridad no puede detectarlo
Si realiza una nueva actualización, también es importante vigilar su red en busca de signos de reinfección. Ese malware tenía que ingresar a su hardware desde algún lugar, y si no provenía del fabricante, entonces definitivamente es posible que la misma fuente lo envíe nuevamente para restablecerse.
Esto se reduce a más monitoreo. Eso continuaría monitoreando el tráfico de su red en busca de signos de comunicaciones de malware, así como vigilar las diversas instalaciones de firmware de su dispositivo para detectar signos de infección. Y si está monitoreando, tal vez pueda averiguar de dónde viene y eliminar eso también.
