PCMag编辑选择和审查产品独立.如果您通过附属链接购买,我们可能获得佣金,这有助于支持我们的测试。
  1. 首页
  2. 新闻
  3. 会计
  4. 企业会计软件

你也许能找到看不见的恶意软件,但摆脱它并不容易

至少在某些情况下,有一些方法可以判断一个系统是否感染了无形的恶意软件。但即使找到了它,想办法杀死它也是极其困难的。这是为什么。

通过韦恩皮疹
2019年5月16日
(在一个新窗口中打开)
(在一个新窗口中打开)

知道有这样一种东西看不见的恶意软件这超出了你的反恶意软件的能力已经足够可怕了。但当你知道,即使你找到了这些东西,你也可能无法摆脱它时,你会怎么做?不幸的是,根据我们谈论的基于硬件的恶意软件的类型,这很可能是事实。

IT Watch bug艺术 上周我已经写过关于隐形恶意软件的问题,它可以存在于您的计算机的基本输入/输出系统(BIOS)中,并可以藏匿虚拟rootkit。这些rootkit可以悄悄接管你的服务器,桌面或其他设备.因为它们存在于硬件中,你的端点保护或者其他反恶意软件软件包通常看不到它们。事实上,你可能永远都不会知道你被感染了,直到你的数据在一次违反

如何感染恶意软件

检测恶意软件

幸运的是,专家们已经找到了这种隐形恶意软件可以被揭露的方法,但就像坏人在跟上步伐一样,也有新的方法可以安装它。尽管如此,找到它的任务还是稍微容易了一些。例如,英特尔处理器中一个名为“ZombieLoad(在一个新窗口中打开)"可能通过软件中的漏洞代码被攻击。此漏洞可能允许在计算机的BIOS中远程插入恶意软件。

虽然研究人员仍在研究ZombieLoad,试图确定最新一轮英特尔漏洞的问题程度,但事实是,这种硬件漏洞可以扩展到整个企业。的联合创始人兼首席执行官Jose E. Gonzalez解释道:“固件是位于芯片上的可编程代码梯形(在一个新窗口中打开).“你的系统中有一堆你没有看到的代码。”

使这个问题更加严重的是,这个固件可以存在于您的整个网络中,从网络摄像头和安全设备到交换机和18beplay官网 连接到服务器机房的计算机。它们本质上都是计算设备,所以它们中的任何一个都可能隐藏恶意软件,并持有利用代码。事实上,正是这样的设备被用于从基于其固件的机器人发起拒绝服务攻击(DoS攻击)。

梯形5能够通过一个独特的水印系统来检测基于固件的恶意软件的存在,该系统以加密的方式将每个设备的固件与任何运行过它的硬件联系起来。这包括虚拟设备,包括位于场所或虚拟的虚拟机(vm)“基础架构即服务”(IaaS)在云中运行。这些水印可以显示设备固件中是否有任何更改。向固件中添加恶意软件将改变它,使水印无效。

梯形包括一个固件完整性验证引擎,它可以帮助发现固件中的问题,并允许安全人员检查它们。梯形还集成了许多安全策略管理和报告工具,以便您可以为受感染的设备添加适当的缓解策略。

高端手机恶意软件

解释后门

Alissa Knight专门研究硬件安全问题。她是公司的高级分析师艾特集团(在一个新窗口中打开)以及即将出版的新书的作者入侵联网汽车:战术,技术和程序(在一个新窗口中打开).骑士IT专业人士想要扫描不可见的恶意软件,可能需要像梯形5这样的工具。不那么专业的都不行。她解释说:“后门有一个基本的方面,这使得它们很难被发现,因为它们等待特定的触发器来唤醒它们。”

Knight说,如果这样的后门存在,无论它是恶意软件攻击的一部分还是出于其他原因,那么你能做的最好的事情就是让它们无法检测到它们的触发器,从而阻止它们运行。她指着静音硬件后门(在一个新窗口中打开)的一份研究报告哥伦比亚大学计算机科学系计算机架构与安全技术实验室。

Waksman和Sethumadhavan的研究表明,可以通过三种技术阻止这些恶意软件的触发:首先,电源重置(针对驻留在内存中的恶意软件和基于时间的攻击);二是数据混淆;第三,序列打破。混淆包括加密进入输入的数据,这会使触发器无法被识别,就像随机化命令流一样。

这些方法的问题是,除了最关键的实现外,它们在IT环境中可能是不切实际的。奈特指出,其中一些攻击更有可能是由国家支持的攻击者而不是网络犯罪分子实施的。然而,值得注意的是,这些由国家支持的攻击者确实会攻击中小型企业(SMB),以试图获得对其最终目标的信息或其他访问权限,因此SMB it专业人员不能简单地忽略这种威胁,因为它们太复杂,无法应用于它们。

注入恶意软件

防止恶意软件通信

然而,一个有效的策略是阻止恶意软件的通信,这对大多数恶意软件和后门来说都是正确的。即使它们在那里,如果它们不能启动或者不能发送有效载荷,它们就什么也做不了。一个好的网络分析工具可以做到这一点。的产品管理副总裁Arie Fred解释道:“[恶意软件]需要与基地进行通信SecBI(在一个新窗口中打开)该公司使用基于人工智能(AI)的威胁检测和响应系统来阻止恶意软件的通信。

Fred说:“我们使用基于日志的方法,使用来自现有设备的数据来创建全范围的可见性。这种方法避免了恶意软件加密通信带来的问题,一些类型的恶意软件检测系统无法捕捉到这些问题。

“我们可以进行自动调查和自动缓解,”他说。通过这种方式,从设备到一个意想不到的目的地的可疑通信可以被跟踪和阻止,并且该信息可以在网络的其他地方共享。

删除基于硬件的恶意软件

所以你可能发现了一些看不见的恶意软件,也许你已经设法阻止它与它的母舰进行对话。一切都很好,但如何处理掉它呢?事实证明,这不仅很难,而且很可能是不可能的。

在可能的情况下,立即的解决方法是刷新固件。这可能会消除恶意软件,除非它是通过设备自己的供应链,在这种情况下,你只是重新加载恶意软件。

如果你真的出现了“刷新”,那么观察你的网络再感染的迹象也很重要。恶意软件必须从某个地方进入你的硬件,如果它不是来自制造商,那么绝对有可能是同一来源再次发送它,以重建自己。

这归结起来就是更多的监控。那就是继续监视你的网络流量用于恶意软件通信的迹象,以及密切关注各种设备固件安装,以发现感染的迹象。如果你在监控,也许你可以找到它的来源,并消除它。

我们如何收集恶意软件进行实际测试

What's New Now<\/strong> to get our top stories delivered to your inbox every morning.","first_published_at":"2021-09-30T21:30:40.000000Z","published_at":"2022-08-31T18:35:24.000000Z","last_published_at":"2022-08-31T18:35:20.000000Z","created_at":null,"updated_at":"2022-08-31T18:35:24.000000Z"})" x-show="showEmailSignUp()" class="rounded bg-gray-lightest text-center md:px-32 md:py-8 p-4 mt-8 container-xs">

获取我们最好的故事!

报名参加最新消息让我们的头条新闻每天早上送到您的收件箱。

本通讯可能包含广告、交易或附属链接。订阅通讯表明您同意我们的使用条款而且隐私政策.您可以随时取消订阅通讯。beplay体育苹果下载


感谢您的报名!

您的订阅已被确认。留意你的收件箱!

注册其他通讯beplay体育苹果下载

深入挖掘相关故事

由衷的审查
4.5
编辑的选择
2022年小企业最佳会计软件
通过凯西Yakal
2022年最佳在线工资服务
通过凯西Yakal
ADP评论
3.5

你会喜欢的PCMag故事

关于Wayne Rash

韦恩皮疹

Wayne Rash是一名自由撰稿人,经常评论企业硬件和软件。他也是eWEEK的资深专栏作家。电邮至(电子邮件保护)关注他的推特@wrash。

阅读韦恩的完整简历

阅读韦恩·拉什的最新报道

Baidu
map