Görünmez kötü amaçlı yazılım burada ve güvenlik yazılımınız onu yakalayamıyor

Yeni bir kötü amaçlı yazılım türü olan "görünmez kötü amaçlı yazılım" yürüyüşe çıkıyor ve eğer sunucularınıza saldırırsa, bu konuda yapabileceğiniz fazla bir şey olmayabilir. Aslında, orada olduğunu söyleyemeyebilirsin bile. Bazı durumlarda, görünmez kötü amaçlı yazılım yalnızca bellekte yaşar, bu da disklerinizde uç nokta koruma yazılımınızın bulabileceği bir dosya olmadığı anlamına gelir. Diğer durumlarda, görünmez kötü amaçlı yazılım Temel Giriş / Çıkış Sisteminizde (BIOS) bulunabilir; burada size saldırmak için birkaç taktikten birini kullanabilir. Bazı durumlarda, mevcut ürün yazılımınızı bulaştığı ve bulması veya kaldırması neredeyse imkansız olan bir sürümle değiştirdiği bir ürün yazılımı güncellemesi olarak bile görünebilir.

Aite Group'un siber güvenlik uygulamasında kıdemli bir analist olan Alissa Knight "Kötü amaçlı yazılımdan koruma ve Uç Nokta Tespiti ve Yanıt (EDR) yazılımındaki gelişmeler, sıfır günlük kötü amaçlı yazılımları daha kolay yakalamayı kolaylaştırarak kötü niyetli yazarların yığında daha az hareket ediyor" dedi. . Donanım tabanlı tehditlerde uzmanlaşmıştır. Knight, eski yazılımlar tarafından tespit edilmekten kaçınabilecek bu yeni kötü amaçlı yazılım türünün geliştirildiğini söyledi.

Eski AV paketlerinden daha gelişmiş olan EDR yazılımı, saldırı yakalamakta çok daha etkilidir ve bu yazılım bir saldırganın ne zaman çalıştığını belirlemek için çeşitli yöntemler kullanır. Knight, "EDR'nin geliştirilmesi, siyah şapkanın yanıt vermesini ve ana önyükleme kaydına yazabileceği donanımda çekirdek kök kitleri ve donanım kök kitleri oluşturmasını sağlıyor." Dedi.

Ayrıca işletim sisteminden (işletim sistemi) önce önyüklenecek ve işletim sistemi üzerinde çalışan yazılım tarafından tespit edilemeyecek kötü amaçlı yazılım için sanal bir makine (VM) oluşturacak sanal kök kitlerinin oluşturulmasına yol açtı. “Bu onu yakalamak neredeyse imkansız hale getiriyor” dedi.

Mavi Hap Kötü Amaçlı Yazılım ve Daha Fazlası

Neyse ki, bir sunucuya sanal bir kök seti kurmak hala zordur; bu nedenle onu deneyen saldırganların genel olarak devlet destekli saldırganlar olarak çalışması. Ek olarak, faaliyetlerin en azından bir kısmı tespit edilebilir ve birkaçı durdurulabilir. Knight, sadece hafızada çalışan "dosyasız kötü niyetli yazılımın" çalıştığı bilgisayarı zorla kapatarak mağlup edilebileceğini söylüyor.

Ancak Knight, bu tür kötü amaçlı yazılımların, kendisini bir VM'ye yükleyen ve daha sonra da işletim sistemini bir VM'ye yükleyen bir sanal kök seti olan "Blue Pill malware" adlı eşlik edebileceğini de belirtti. Bu, kötü amaçlı yazılımın çalışmaya devam etmesine izin verirken bir kapatma işlemi gerçekleştirmesine ve yeniden başlatılmasına izin verir. Bu nedenle, Microsoft Windows 10'daki kapatma seçeneğini kullanamazsınız; sadece fişi çekmek işe yarar.

Neyse ki, bazı donanım saldırıları devam ederken bazen tespit edilebilir. Knight, bir şirketin SentinelOne'un çoğundan daha etkili olan bir EDR paketi yarattığını ve bazen kötü amaçlı yazılımın bir makinede BIOS veya ürün yazılımına saldırdığını algılayabileceğini söyledi.

Chris Bates, SentinelOne'da Ürün Mimarisinin Global Direktörüdür. Ürün ajanlarının özerk olarak çalıştığını ve gerektiğinde bilgileri diğer uç noktalarla birleştirebileceğini söyledi. Bates, "Her SentinelOne ajanı bağlam oluşturuyor" dedi. Bağlam ve bağlam oluşturulurken gerçekleşen olayların, kötü amaçlı yazılımların işlemlerini tespit etmek için kullanılabilecek hikayeler oluşturduğunu söyledi.

Bates, her bir uç noktanın kötü amaçlı yazılımı ortadan kaldırarak veya karantinaya alarak kendi başına iyileştirebileceğini söyledi. Ancak Bates, EDR paketinin özellikle işletim sisteminin dışında gerçekleştiğinde her şeyi yakalayamayacağını da söyledi. Bilgisayarın önyüklemesinden önce BIOS'u yeniden yazan bir USB flaş sürücü buna bir örnektir.

Bir sonraki hazırlık seviyesi

Knight, bir sonraki hazırlık seviyesinin geldiği yer olduğunu söyledi. Intel ile Lockheed Martin arasındaki ortak bir projeye işaret etti ve “2. Nesil Lockheed Martin ile Sertleştirilmiş Güvenlik için Intel Select Çözümü” olarak adlandırılan standart 2. Nesil Intel Xeon Ölçeklenebilir işlemcilerinde çalışan sertleştirilmiş bir güvenlik çözümü yarattı. Bu yeni çözüm, kritik kaynakları izole ederek ve bu kaynakları koruyarak kötü amaçlı yazılım bulaşmasını önlemek için tasarlanmıştır.

Bu arada, Intel, BIOS'u kilitleyen "Donanım Kalkanı" adlı bir dizi koruyucu önlemi de açıkladı. Intel’de Kurumsal Müşteri Platformları Başkan Yardımcısı ve Başkan Yardımcısı Stephanie Hallford, “Bu, bir tür kötü amaçlı kod enjeksiyonu varsa, BIOS’un yanıt verebileceği bir teknolojidir” dedi. "Bazı sürümler, işletim sistemi ve BIOS arasında iletişim kurma yeteneğine sahip olacak. İşletim sistemi de saldırıya karşı yanıt verebilir ve koruyabilir."

Ne yazık ki, mevcut makineleri korumak için yapabileceğiniz pek bir şey yok. “Kritik sunucuları değiştirmeniz gerekiyor, ” dedi Knight, kritik verilerinizin ne olduğunu ve nerede çalıştığını belirlemeniz gerektiğini de sözlerine ekledi.

Knight, "Intel ve AMD'nin topa girmesi ve bunu demokratikleştirmesi gerekecek, " dedi. "Kötü amaçlı yazılım yazarları daha iyi hale geldikçe, donanım satıcılarının onu yakalamaları ve uygun maliyetli hale getirmeleri gerekir."

Sorun Sadece Kötüleşiyor

Maalesef, Knight sorunun sadece daha kötüye gideceğini söyledi. "Suç kitleri ve malware kitleri kolaylaşacak" dedi.

Knight, çoğu şirketin problemden kaçınmasının tek yolunun kritik veri ve işlemlerini buluta taşımak olduğunu, çünkü yalnızca bulut servis sağlayıcıları bu tür donanım saldırılarına karşı daha iyi koruma sağlayabildiklerini söyledi. “Riski devretmenin zamanı geldi” dedi.

Ve Knight, hareketlerin hızlandığı zaman, kritik verilerinizi korumak için çok az zaman olduğu konusunda uyardı. “Bu bir solucana dönüşecek” diye belirtti. “Kendinden yayılan bir tür solucan olacak.” Knight, siber savaşın geleceği, dedi. Sonsuza dek devlet destekli aktörlerin görevlerini sürdürmeyecek.

Atılacak Adımlar

Peki, bu kasvetli gelecekle, şimdi ne yapabilirsiniz? İşte hemen atmanız gereken ilk adımlar:

SentinelOne gibi etkili bir EDR yazılımınız yoksa, şimdi bir tanesine sahip olun.

Kritik verilerinizi tanımlayın ve verilerin üzerinde bulunduğu sunucuları donanım açıklarına ve bunlardan yararlanan istismarlara karşı korunan makinelere yükseltirken şifrelemeyle korumaya çalışın.

Kritik verilerinizin yerinde kalması gereken yerlerde, bu verileri içeren sunucuları, istemciler için Donanım Kalkanı ve sunucular için Lockheed Martin ile Sertleştirilmiş Güvenlik için Intel Select Çözümü gibi donanım teknolojilerini kullanan platformlara yerleştirin.

Mümkün olan her yerde, kritik verilerinizi korumalı işlemcilere sahip bulut sağlayıcılarına taşıyın.

• • 2019 İçin En İyi Antivirüs Koruması 2019 İçin En İyi Antivirüs Koruması
  • 2019 İçin En İyi Barındırılan Son Nokta Koruma ve Güvenlik Yazılımı 2019 İçin En İyi Barındırılan Son Nokta Koruma ve Güvenlik Yazılımı
  • 2019 İçin En İyi Kötü Amaçlı Yazılım Temizleme ve Koruma Yazılımı 2019 İçin En İyi Kötü Amaçlı Yazılım Temizleme ve Koruma Yazılımı

  Çalışanlarınızı iyi bir güvenlik hijyeni ile eğitmeye devam edin, böylece virüslü bir flaş sürücüyü sunucularınızdan birine bağlayanlar onlar olmaz.

Fiziksel güvenliğinizin, sunucuları ve ağınızdaki diğer uç noktaları koruyacak kadar güçlü olduğundan emin olun. Bütün bunlar size güvenliğin bir silahlanma yarışı olduğunu gösteriyorsa, o zaman haklısınız.