Inhaltsverzeichnis:
- Blue Pill Malware und mehr
- Nächste Stufe der Vorbereitung
- Das Problem verschlimmert sich nur
- Schritte zu unternehmen
Video: Viren und Malware entfernen (November 2024)
"Unsichtbare Malware", eine neue Art von Malware, ist auf dem Vormarsch und wenn Ihre Server davon betroffen sind, können Sie möglicherweise nicht viel dagegen tun. In der Tat können Sie möglicherweise nicht einmal sagen, dass es da ist. In einigen Fällen befindet sich unsichtbare Malware nur im Arbeitsspeicher. Dies bedeutet, dass sich keine Datei auf Ihren Festplatten befindet, die von Ihrer Endpoint Protection-Software gefunden werden kann. In anderen Fällen kann in Ihrem BIOS (Basic Input / Output System) unsichtbare Malware vorhanden sein, die Sie mit einer von wenigen Taktiken angreifen kann. In einigen Fällen wird es sogar als Firmware-Update angezeigt, bei dem Ihre vorhandene Firmware durch eine Version ersetzt wird, die infiziert und kaum zu finden oder zu entfernen ist.
EDR-Software, die weiter fortgeschritten ist als ältere AV-Pakete, ist wesentlich effektiver beim Abfangen von Angriffen, und diese Software verwendet verschiedene Methoden, um festzustellen, wann ein Angreifer im Einsatz ist. "Die Entwicklung von EDR lässt den schwarzen Hut reagieren und Kernel-Root-Kits und Firmware-Root-Kits erstellen, und zwar in Hardware, in die der Master-Boot-Datensatz geschrieben werden kann", sagte Knight.
Außerdem wurden virtuelle Root-Kits erstellt, die vor dem Betriebssystem (OS) gestartet werden und eine virtuelle Maschine (VM) für die Malware erstellen, damit sie von der auf dem Betriebssystem ausgeführten Software nicht erkannt werden kann. "Das macht es fast unmöglich zu fangen", sagte sie.
Blue Pill Malware und mehr
Glücklicherweise ist es immer noch schwierig, ein virtuelles Root-Kit auf einem Server zu installieren - insofern, als die Angreifer, die es versuchen, im Allgemeinen als staatlich geförderte Angreifer arbeiten. Darüber hinaus können zumindest einige Aktivitäten erkannt und einige gestoppt werden. Knight sagt, dass "fileless Malware", die nur im Speicher ausgeführt wird, besiegt werden kann, indem der Computer, auf dem sie ausgeführt wird, zwangsweise ausgeschaltet wird.
Knight sagte jedoch auch, dass diese Malware möglicherweise von der sogenannten "Blue Pill-Malware" begleitet wird, einer Art virtuellem Root-Kit, das sich selbst in eine VM lädt und dann das Betriebssystem in eine VM lädt. Auf diese Weise wird ein Herunterfahren und Neustarten vorgetäuscht, während die Malware weiter ausgeführt wird. Aus diesem Grund können Sie die Option zum Herunterfahren nicht einfach in Microsoft Windows 10 verwenden. Es funktioniert nur, wenn Sie den Stecker ziehen.
Glücklicherweise können andere Arten von Hardware-Angriffen manchmal erkannt werden, während sie ausgeführt werden. Knight sagte, dass ein Unternehmen, SentinelOne, ein EDR-Paket erstellt hat, das effektiver ist als die meisten anderen und manchmal erkennen kann, wenn Malware das BIOS oder die Firmware eines Computers angreift.
Chris Bates ist Global Director of Product Architecture bei SentinelOne. Die Agenten des Produkts seien autonom und könnten bei Bedarf Informationen mit anderen Endpunkten kombinieren. "Jeder SentinelOne-Agent erstellt den Kontext", sagte Bates. Er sagte, dass der Kontext und die Ereignisse, die während der Erstellung des Kontexts auftreten, Geschichten erstellen, mit denen die Vorgänge von Malware erkannt werden können.
Bates sagte, dass jeder Endpunkt die Korrektur für sich allein vornehmen kann, indem die Malware beseitigt oder in die Quarantäne verschoben wird. Aber Bates sagte auch, dass sein EDR-Paket nicht alles abfangen kann, besonders wenn es außerhalb des Betriebssystems passiert. Ein Beispiel ist ein USB-Stick, der das BIOS neu schreibt, bevor der Computer startet.
Nächste Stufe der Vorbereitung
Hier setzt die nächste Stufe der Vorbereitung an, erklärte Knight. Sie wies auf ein gemeinsames Projekt von Intel und Lockheed Martin hin, bei dem eine gehärtete Sicherheitslösung auf standardmäßigen skalierbaren Intel Xeon-Prozessoren der zweiten Generation mit dem Namen "Intel Select-Lösung für gehärtete Sicherheit mit Lockheed Martin" erstellt wurde. Diese neue Lösung soll Malware-Infektionen verhindern, indem kritische Ressourcen isoliert und diese Ressourcen geschützt werden.
In der Zwischenzeit hat Intel eine weitere Reihe von Hardware-Präventionsmaßnahmen angekündigt, die "Hardware Shield" genannt werden und das BIOS blockieren. "Dies ist eine Technologie, bei der das BIOS reagieren kann, wenn schädlicher Code eingeschleust wird", erklärte Stephanie Hallford, Vice President und General Manager Business Client Platforms bei Intel. "Einige Versionen können zwischen dem Betriebssystem und dem BIOS kommunizieren. Das Betriebssystem kann auch reagieren und vor Angriffen schützen."
Leider können Sie nicht viel tun, um vorhandene Maschinen zu schützen. "Sie müssen kritische Server ersetzen", sagte Knight und fügte hinzu, dass Sie auch bestimmen müssen, was Ihre kritischen Daten sind und wo sie ausgeführt werden.
"Intel und AMD müssen auf den Ball kommen und dies demokratisieren", sagte Knight. "Da Malware-Autoren immer besser werden, müssen Hardwareanbieter aufholen und erschwinglich machen."
Das Problem verschlimmert sich nur
Leider sagte Knight, dass sich das Problem nur verschlimmern werde. "Verbrechens- und Malware-Kits werden einfacher", sagte sie.
Knight fügte hinzu, dass die meisten Unternehmen das Problem nur umgehen können, indem sie ihre kritischen Daten und Prozesse in die Cloud verlagern, schon allein deshalb, weil Cloud-Dienstanbieter besser vor dieser Art von Hardwareangriffen schützen können. "Es ist Zeit, das Risiko zu übertragen", sagte sie.
Und Knight warnte, dass bei der Geschwindigkeit, mit der sich die Dinge bewegen, wenig Zeit bleibt, um Ihre kritischen Daten zu schützen. "Dies wird sich in einen Wurm verwandeln", sagte sie voraus. "Es wird eine Art sich selbst vermehrender Wurm." Es ist die Zukunft der Cyberkriegsführung, sagte Knight. Es wird nicht für immer die Zuständigkeit staatlich geförderter Schauspieler bleiben.
Schritte zu unternehmen
Was können Sie jetzt tun, wenn die Zukunft so trostlos ist? Hier sind einige erste Schritte, die Sie sofort ausführen sollten:
-
- Der beste Virenschutz für 2019 Der beste Virenschutz für 2019
- Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019 Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019
- Die beste Software zum Entfernen und Schutz von Malware für 2019 Die beste Software zum Entfernen und Schutz von Malware für 2019
Schulen Sie Ihre Mitarbeiter in guter Sicherheitshygiene, damit sie nicht infizierte USB-Sticks an einen Ihrer Server anschließen.
Wenn Sie noch keine effektive EDR-Software wie SentinelOne haben, erwerben Sie jetzt eine.
Identifizieren Sie Ihre kritischen Daten und arbeiten Sie daran, sie durch Verschlüsselung zu schützen, während Sie die Server, auf denen sich Daten befinden, auf Maschinen aktualisieren, die gegen Hardware-Schwachstellen und die Exploits, die diese ausnutzen, geschützt sind.
Wenn Ihre kritischen Daten intern bleiben müssen, ersetzen Sie die Server, die diese Daten enthalten, durch Plattformen, die die Hardwaretechnologien verwenden, z. B. Hardware Shield für Clients und Intel Select Solution für gehärtete Sicherheit durch Lockheed Martin für Server.
Verschieben Sie Ihre kritischen Daten nach Möglichkeit zu Cloud-Anbietern mit geschützten Prozessoren.
Stellen Sie sicher, dass Ihre physische Sicherheit stark genug ist, um die Server und die übrigen Endpunkte in Ihrem Netzwerk zu schützen. Wenn Ihnen das alles so vorkommt, als wäre Sicherheit ein Wettrüsten, dann haben Sie Recht.
