Table des matières:
- Détection des logiciels malveillants
- Expliquer les backdoors
- Empêcher les logiciels malveillants de communiquer
- Suppression de logiciels malveillants basés sur du matériel
Vidéo: Un PIÈGE pour les UTILISATEURS d'IOS et ANDROID (LightSpy) (Novembre 2024)
Sachant qu'il existe un malware invisible c'est au-delà de la portée de votre logiciel anti-malware est assez effrayant. Mais qu'en est-il lorsque vous apprendrez que même si vous localisez ce matériel, vous ne pourrez peut-être pas vous en débarrasser? Malheureusement, selon le type de malware basé sur le matériel dont nous parlons, cela pourrait bien être le cas.
Détection des logiciels malveillants
Heureusement, les experts ont trouvé des moyens de révéler ce logiciel malveillant invisible, mais comme si les méchants gardaient le rythme, il existait également de nouveaux moyens de l'installer. Reste que la tâche de le trouver est quelque peu facilitée. Par exemple, une nouvelle vulnérabilité des processeurs Intel appelée "ZombieLoad" peut être attaquée via un code d’exploitation fourni dans le logiciel. Cette vulnérabilité peut permettre l'insertion de logiciels malveillants dans le BIOS d'un ordinateur à distance.
Alors que les chercheurs étudient toujours ZombieLoad et tentent de déterminer l'étendue du problème dans cette dernière série d'exploits d'Intel, le fait est que de tels exploits matériels peuvent s'étendre à l'ensemble de l'entreprise. "Le micrologiciel est un code programmable installé sur une puce", explique Jose E. Gonzalez, co-fondateur et PDG de Trapezoid. "Vous avez un tas de code sur votre système que vous ne regardez pas."
Ce problème est exacerbé par le fait que ce micrologiciel peut exister sur l’ensemble de votre réseau, dans des périphériques allant des webcams et des dispositifs de sécurité aux commutateurs et routeurs, en passant par les ordinateurs de votre salle des serveurs. Tous sont essentiellement des dispositifs informatiques, de sorte que chacun d'entre eux peut héberger un code d'exploitation exploitant un programme malveillant. En fait, de tels dispositifs ont été utilisés pour lancer des attaques par déni de service (attaques par déni de service) à partir de bots basés dans leur microprogramme.
Trapezoid 5 est capable de détecter la présence de logiciels malveillants basés sur des microprogrammes grâce à un système unique de filigranes qui lie de manière cryptographique le microprogramme de chaque périphérique à tout matériel sur lequel il est exécuté. Cela inclut les périphériques virtuels, y compris les machines virtuelles (VM) situées sur site ou sur l'infrastructure virtuelle en tant que service (IaaS) virtuelle exécutée dans le cloud. Ces filigranes peuvent révéler si quelque chose dans le micrologiciel de l'appareil a été modifié. L'ajout de programmes malveillants au micrologiciel le modifiera de sorte que le filigrane ne soit pas valide.
Trapezoid inclut un moteur de vérification de l'intégrité du micrologiciel qui permet de détecter les problèmes dans le micrologiciel et permet au personnel de sécurité de les examiner. Trapezoid s'intègre également à de nombreux outils de gestion de la stratégie de sécurité et de génération de rapports, ce qui vous permet d'ajouter des stratégies d'atténuation appropriées pour les périphériques infectés.
Expliquer les backdoors
Alissa Knight est spécialisée dans les problèmes de sécurité matérielle. Elle est l'analyste principale de The Aite Group et l'auteur du livre à paraître Hacking Connected Cars: tactiques, techniques et procédures . Chevalier a déclaré que les professionnels de l'informatique cherchant à détecter les programmes malveillants invisibles auraient probablement besoin d'un outil tel que Trapezoid 5. Rien de moins spécialisé ne suffit. "Il y a un aspect fondamental des portes dérobées qui les rend difficiles à détecter car ils attendent que certains déclencheurs les réveillent", a-t-elle expliqué.
Knight a déclaré que, si une telle porte dérobée existait, qu'elle fût une attaque de malware ou qu'elle existe pour une autre raison, le mieux que vous puissiez faire est de les empêcher de fonctionner en les empêchant de détecter leurs déclencheurs. Elle a souligné Silencing Hardware Backdoors , un rapport de recherche d’Adam Waksman et Simha Sethumadhavan, tous deux de Laboratoire de technologie de l'architecture et de la sécurité, département d'informatique de l'université de Columbia.
Les recherches de Waksman et Sethumadhavan montrent que trois techniques peuvent empêcher ces déclencheurs de programmes malveillants: premièrement, une réinitialisation de l'alimentation (pour les logiciels malveillants résidant en mémoire et les attaques basées sur le temps); deuxièmement, l'obscurcissement des données; et troisièmement, la rupture de séquence. L’obscurcissement implique que le cryptage des données entrant dans les entrées peut empêcher la reconnaissance des déclencheurs, tout comme la randomisation du flux de commandes.
Le problème avec ces approches est qu’elles peuvent être impraticables dans un environnement informatique pour toutes les implémentations, à l’exception des plus critiques. Knight a souligné que certaines de ces attaques sont plus susceptibles d'être perpétrées par des attaquants parrainés par l'État que par des cybercriminels. Cependant, il convient de noter que ces attaquants sponsorisés par l'État s'attaquent aux PME pour obtenir des informations ou un autre accès à leurs cibles ultimes. Les professionnels de l'informatique des PME ne peuvent donc pas ignorer cette menace, car elle est trop sophistiquée. à leur appliquer.
Empêcher les logiciels malveillants de communiquer
Cependant, une stratégie efficace consiste à empêcher les logiciels malveillants de communiquer, ce qui est vrai pour la plupart des logiciels malveillants et des portes dérobées. Même s'ils sont là, ils ne peuvent rien faire s'ils ne peuvent pas être allumés ou s'ils ne peuvent pas envoyer leur charge utile. Un bon appareil d'analyse de réseau peut le faire. "a besoin de communiquer avec la base d'origine", a expliqué Arie Fred, vice-présidente de la gestion des produits chez SecBI, qui utilise un système de détection et de réponse des menaces basé sur l'intelligence artificielle pour empêcher les logiciels malveillants de communiquer.
"Nous utilisons une approche basée sur les journaux en utilisant les données des périphériques existants pour créer une visibilité complète", a déclaré Fred. Cette approche évite les problèmes créés par les communications chiffrées à partir du logiciel malveillant, que certains types de systèmes de détection de logiciels malveillants ne peuvent pas détecter.
"Nous pouvons mener des enquêtes autonomes et des mesures d'atténuation automatiques", a-t-il déclaré. De cette façon, les communications suspectes d'un périphérique vers une destination inattendue peuvent être suivies et bloquées, et ces informations peuvent être partagées ailleurs sur le réseau.
Suppression de logiciels malveillants basés sur du matériel
Vous avez donc peut-être trouvé un malware invisible et vous avez peut-être réussi à l'empêcher de poursuivre la conversation avec son vaisseau mère. Tout va bien, mais qu'en est-il de s'en débarrasser? Il s'avère que ce n'est pas simplement difficile, cela peut aussi être impossible.
Dans les cas où cela est possible, la solution immédiate consiste à reflasher le firmware. Cela peut éliminer le logiciel malveillant, à moins qu'il ne provienne de la chaîne logistique de l'appareil, auquel cas vous ne feriez que de le recharger.
- Le meilleur logiciel de surveillance réseau pour 2019 Le meilleur logiciel de surveillance réseau pour 2019
- Meilleur logiciel de suppression et de protection des logiciels malveillants pour 2019 Meilleur logiciel de suppression et de protection des logiciels malveillants pour 2019
- Invisible Malware est là et votre logiciel de sécurité ne peut pas l'attraper Invisible Malware est ici et votre logiciel de sécurité ne peut pas l'attraper
Si vous effectuez une reflash, il est également important de surveiller votre réseau pour détecter tout signe de réinfection. Ce malware devait pénétrer dans votre matériel de quelque part, et s'il ne venait pas du fabricant, il est certainement possible que la même source l'envoie à nouveau afin de se rétablir.
Cela revient à plus de surveillance. Ce serait continuer à surveiller votre trafic réseau à la recherche de signes de communications de programmes malveillants et à surveiller les installations de microprogrammes de vos différents périphériques pour détecter des signes d'infection. Et si vous surveillez, vous pourrez peut-être savoir d’où il vient et l’éliminer également.
