目次:
ビデオ: ãçã»ifæ¦è¨ããã¼ã·ã£ã¤ã³ã¹ã¿æ¦ããã¹æ¦ã (十一月 2024)
目に見えないマルウェアのようなものがあることを知っている それは、マルウェア対策ソフトウェアの範囲を超えているので、恐ろしいことです。 しかし、それを知ったときは、このようなものを見つけたとしても、それを取り除くことができないかもしれません。 残念ながら、私たちが話しているハードウェアベースのマルウェアの種類によっては、そうなる可能性があります。
マルウェアの検出
幸いなことに、専門家はこの目に見えないマルウェアを明らかにする方法を発見しましたが、悪者が歩調を合わせているかのように、新しいインストール方法もあります。 それでも、それを見つけるタスクはやや簡単になります。 たとえば、ソフトウェアで提供されるエクスプロイトコードを介して、「ZombieLoad」と呼ばれるIntelプロセッサの新しい脆弱性が攻撃される可能性があります。 この脆弱性により、コンピューターのBIOSにマルウェアがリモートで挿入される可能性があります。
研究者はまだこの最新のIntelエクスプロイトの問題の範囲を特定しようとしてZombieLoadを研究していますが、事実はそのようなハードウェアエクスプロイトが企業全体に広がる可能性があるということです。 「ファームウェアはチップ上にあるプログラム可能なコードです」と、Trapezoidの共同設立者兼CEOであるJose E. Gonzalez氏は説明します。 「あなたのシステムには見ないコードがたくさんあります。」
この問題を悪化させているのは、このファームウェアが、Webカメラやセキュリティデバイスからスイッチやルーター、サーバールームのコンピューターに至るまで、ネットワーク全体に存在する可能性があるという事実です。 それらはすべて本質的にコンピューティングデバイスであるため、エクスプロイトコードを保持するマルウェアが潜む可能性があります。 実際、このようなデバイスは、ファームウェアに基づいたボットからのサービス拒否攻撃(DoS攻撃)を開始するために使用されています。
Trapezoid 5は、各デバイスのファームウェアをそれが実行されているハードウェアに暗号で結び付ける独自の透かしシステムを通じて、ファームウェアベースのマルウェアの存在を検出できます。 これには、オンプレミスに配置された仮想マシン(VM)またはクラウドで実行されている仮想IaaS(Infrastructure-as-a-Service)を含む仮想デバイスが含まれます。 これらの透かしは、デバイスのファームウェアに変更があったかどうかを明らかにすることができます。 ファームウェアにマルウェアを追加すると、マルウェアが変更され、透かしが無効になります。
Trapezoidには、ファームウェアの問題を見つけるのに役立つファームウェア整合性検証エンジンが含まれており、セキュリティスタッフが問題を調べることができます。 Trapezoidは、感染したデバイスに適切な緩和戦略を追加できるように、多くのセキュリティポリシー管理およびレポートツールとも統合されます。
バックドアの説明
Alissa Knightは、ハードウェアセキュリティの問題を専門としています。 彼女はThe Aite Groupのシニアアナリストであり、今後の書籍 Hacking Connected Cars:Tactics、Techniques、and Procedures の著者でも あり ます。 騎士 目に見えないマルウェアのスキャンを検討しているIT専門家は、Trapezoid 5などのツールを必要とする可能性が高いと述べました。 「バックドアには、特定のトリガーが起動するのを待つため、検出が困難になる基本的な側面があります」と彼女は説明しました。
ナイトは、そのようなバックドアが存在する場合、マルウェア攻撃の一部であるか他の何らかの理由で存在するかどうかにかかわらず、あなたができる最善のことは、それらがトリガーを検出しないようにすることでそれらを動作させないことであると言いました。 彼女は、Adam WaksmanとSimha Sethumadhavanによる研究報告である Silencing Hardware Backdoorsを 指摘しました。 コロンビア大学のコンピューターサイエンス学科、コンピューターアーキテクチャおよびセキュリティテクノロジーラボ。
WaksmanとSethumadhavanの調査によると、これらのマルウェアトリガーは、次の3つの手法で動作を防止できます。まず、電源リセット(メモリ常駐マルウェアと時間ベースの攻撃用)。 第二に、データの難読化。 そして第三に、シーケンスの破壊。 難読化には、入力に送られるデータの暗号化が含まれ、コマンドストリームをランダム化できるように、トリガーが認識されないようにすることができます。
これらのアプローチの問題は、最も重要な実装を除くすべてのIT環境で非実用的である可能性があることです。 ナイトは、これらの攻撃の一部は、サイバー犯罪者よりも国が支援する攻撃者によって実行される可能性が高いと指摘しました。 ただし、国家が支援する攻撃者は、中小企業(SMB)を狙って情報やその他の最終的なターゲットへのアクセスを取得しようとするので、SMB ITプロフェッショナルはこの脅威を単純に無視することはできません。それらに適用する。
マルウェアによる通信の防止
ただし、機能する1つの戦略は、マルウェアの通信を防ぐことです。これは、ほとんどのマルウェアとバックドアに当てはまります。 たとえ彼らがそこにいても、それらをオンにできない場合、またはペイロードを送信できない場合は何もできません。 優れたネットワーク分析アプライアンスはこれを行うことができます。 「ホームベースと通信する必要があります」と、人工知能(AI)ベースの脅威検出および応答システムを使用してマルウェアの通信を阻止するSecBIの製品管理担当副社長、Arie Fred氏は説明しました。
「既存のデバイスのデータを使用したログベースのアプローチを使用して、スコープ全体の可視性を作成します」とフレッド氏は述べています。 このアプローチにより、一部の種類のマルウェア検出システムでは検出できないマルウェアからの暗号化通信によって生じる問題を回避できます。
「自律的な調査と自動緩和を行うことができます」と彼は言いました。 これにより、デバイスから予期しない宛先への疑わしい通信を追跡およびブロックでき、その情報をネットワーク上の他の場所で共有できます。
ハードウェアベースのマルウェアの削除
そのため、目に見えないマルウェアを見つけた可能性があります。また、母艦との会話を阻止することができた可能性があります。 すべて良いですが、それを取り除くことはどうですか? これは難しいだけでなく、不可能な場合もあります。
可能性のあるケースのうち、すぐに解決できるのはファームウェアを再フラッシュすることです。 これにより、マルウェアがデバイスの独自のサプライチェーンを経由しない限り、マルウェアを排除できます。この場合、マルウェアをリロードするだけです。
- 2019年のベストネットワーク監視ソフトウェア2019年のベストネットワーク監視ソフトウェア
- 2019年の最高のマルウェア除去および保護ソフトウェア2019年の最高のマルウェア除去および保護ソフトウェア
- 目に見えないマルウェアがここにあり、セキュリティソフトウェアがそれをキャッチできない目に見えないマルウェアがここにあり、セキュリティソフトウェアがそれをキャッチできない
再フラッシュを行う場合は、再感染の兆候がないかどうかネットワークを監視することも重要です。 そのマルウェアはどこかからあなたのハードウェアに侵入しなければならず、もしそれが製造業者から来たものでなければ、同じソースがそれを再確立するために再び送信することは間違いなく可能です。
要するに、より多くの監視です。 それは、マルウェア通信の兆候についてネットワークトラフィックを監視し続けるだけでなく、感染の兆候についてさまざまなデバイスファームウェアのインストールを監視することです。 監視している場合は、おそらくどこから来ているのかを見つけて、それを排除することもできます。
