Anda mungkin dapat menemukan malware yang tidak terlihat, tetapi menghilangkannya tidak mudah

Mengetahui ada yang namanya malware tak terlihat itu di luar jangkauan perangkat lunak anti-malware Anda cukup menakutkan. Tetapi bagaimana ketika Anda mengetahui itu, bahkan jika Anda menemukan barang-barang ini, Anda mungkin tidak dapat menyingkirkannya? Sayangnya, tergantung pada jenis malware berbasis perangkat keras yang kita bicarakan, mungkin itu masalahnya.

Saya sudah menulis minggu lalu tentang masalah malware yang tidak terlihat, yang dapat ada di Sistem Input / Output Dasar (BIOS) komputer Anda dan dapat menyimpan rootkit virtual. Rootkit ini kemudian dapat dengan diam-diam mengambil alih server, desktop, atau perangkat lainnya. Karena mereka ada di perangkat keras, perlindungan titik akhir Anda atau paket anti-malware lainnya umumnya tidak dapat melihatnya. Bahkan, Anda mungkin tidak pernah tahu Anda terinfeksi sampai data Anda muncul untuk dijual setelah pelanggaran.

Mendeteksi Malware

Untungnya, para ahli telah menemukan cara agar malware tak kasat mata ini dapat terungkap, tetapi seolah-olah orang jahat itu menjaga kecepatan, ada juga cara baru untuk menginstalnya. Tetap saja, tugas untuk menemukannya menjadi lebih mudah. Misalnya, kerentanan baru dalam prosesor Intel yang disebut "ZombieLoad" dapat diserang melalui kode eksploit yang dikirimkan dalam perangkat lunak. Kerentanan ini memungkinkan penyisipan malware di BIOS komputer dari jarak jauh.

Sementara para peneliti masih mempelajari ZombieLoad, mencoba untuk menentukan sejauh mana masalah dalam babak eksploitasi Intel terbaru ini, faktanya adalah bahwa eksploitasi perangkat keras tersebut dapat meluas ke seluruh perusahaan. "Firmware adalah kode yang dapat diprogram yang terletak pada sebuah chip, " jelas Jose E. Gonzalez, salah satu pendiri dan CEO Trapezoid. "Anda memiliki banyak kode pada sistem Anda yang tidak Anda lihat."

Yang memperparah masalah ini adalah kenyataan bahwa firmware ini dapat ada di seluruh jaringan Anda, dalam perangkat mulai dari webcam dan perangkat keamanan hingga sakelar dan router hingga komputer di ruang server Anda. Semuanya pada dasarnya adalah perangkat komputasi, sehingga siapa pun dari mereka dapat menyimpan malware yang menyimpan kode eksploit. Bahkan, hanya perangkat seperti itu yang telah digunakan untuk meluncurkan serangan penolakan layanan (DoS attack) dari bot yang berbasis di firmware mereka.

Trapezoid 5 mampu mendeteksi keberadaan malware berbasis firmware melalui sistem tanda air unik yang secara kriptografis mengikat firmware masing-masing perangkat dengan perangkat keras yang pernah dijalankan. Ini termasuk perangkat virtual, termasuk mesin virtual (VM) yang terletak di lokasi atau Infrastruktur-as-a-Layanan virtual (IaaS) yang dijalankan di cloud. Tanda air ini dapat mengungkapkan apakah ada sesuatu dalam firmware perangkat yang berubah. Menambahkan malware ke firmware akan mengubahnya sehingga tanda air tidak valid.

Trapesium mencakup Mesin Verifikasi Integritas Firmware yang membantu mengatasi masalah dalam firmware, dan memungkinkan staf keamanan untuk memeriksanya. Trapesium juga terintegrasi dengan banyak manajemen kebijakan keamanan dan alat pelaporan sehingga Anda dapat menambahkan strategi mitigasi yang sesuai untuk perangkat yang terinfeksi.

Menjelaskan Backdoors

Alissa Knight berspesialisasi dalam masalah keamanan perangkat keras. Dia adalah Analis Senior di The Aite Group dan penulis buku Hacking Connected Cars yang akan datang: Taktik, Teknik, dan Prosedur . Ksatria mengatakan bahwa para profesional TI yang ingin memindai malware yang tidak terlihat kemungkinan akan membutuhkan alat seperti Trapezoid 5. Tidak ada yang kurang terspesialisasi yang akan dilakukan. "Ada aspek mendasar dari pintu belakang yang membuat mereka sulit dideteksi karena mereka menunggu pemicu tertentu untuk membangunkan mereka, " jelasnya.

Knight mengatakan bahwa, jika pintu belakang seperti itu ada, apakah itu bagian dari serangan malware atau ada karena alasan lain, maka yang terbaik yang dapat Anda lakukan adalah menjaga mereka dari beroperasi dengan menjaga mereka dari mendeteksi pemicu mereka. Dia menunjuk ke Silencing Hardware Backdoors , sebuah laporan penelitian oleh Adam Waksman dan Simha Sethumadhavan, keduanya Arsitektur Komputer dan Lab Teknologi Keamanan, Departemen Ilmu Komputer di Universitas Columbia.

Penelitian Waksman dan Sethumadhavan menunjukkan bahwa pemicu malware ini dapat dicegah dari bekerja dengan tiga teknik: Pertama, reset daya (untuk malware residen memori dan serangan berbasis waktu); kedua, kebingungan data; dan ketiga, pemecahan urutan. Kebingungan melibatkan mengenkripsi data yang masuk ke input dapat menjaga pemicu dari diakui, seperti dapat mengacak aliran perintah.

Masalah dengan pendekatan ini adalah bahwa mereka dapat menjadi tidak praktis dalam lingkungan TI untuk semua kecuali implementasi yang paling kritis. Knight menunjukkan bahwa beberapa serangan ini lebih mungkin dilakukan oleh penyerang yang disponsori negara daripada oleh penjahat cyber. Namun, perlu dicatat bahwa para penyerang yang disponsori negara itu mengejar bisnis kecil sampai menengah dalam upaya untuk mendapatkan informasi atau akses lain ke target akhir mereka, sehingga pro TI SMB tidak bisa mengabaikan ancaman ini karena terlalu canggih untuk melamar mereka.

Mencegah Malware Berkomunikasi

Namun, salah satu strategi yang berhasil adalah mencegah malware berkomunikasi, sesuatu yang benar untuk sebagian besar malware dan backdoors. Bahkan jika mereka ada di sana, mereka tidak dapat melakukan apa pun jika mereka tidak dapat dinyalakan atau jika mereka tidak dapat mengirim muatan mereka. Alat analisis jaringan yang baik dapat melakukan ini. "perlu berkomunikasi dengan home base, " jelas Arie Fred, Wakil Presisen Manajemen Produk di SecBI, yang menggunakan sistem deteksi dan respons ancaman berbasis kecerdasan buatan (AI) untuk mencegah malware berkomunikasi.

"Kami menggunakan pendekatan berbasis log menggunakan data dari perangkat yang ada untuk membuat visibilitas ruang lingkup penuh, " kata Fred. Pendekatan ini menghindari masalah yang diciptakan oleh komunikasi terenkripsi dari malware, yang tidak dapat ditangkap oleh beberapa jenis sistem deteksi malware.

"Kita bisa melakukan penyelidikan otonom dan mitigasi otomatis, " katanya. Dengan cara ini, komunikasi yang mencurigakan dari perangkat ke tujuan yang tidak terduga dapat dilacak dan diblokir, dan informasi itu dapat dibagikan di tempat lain di jaringan.

Menghapus Malware berbasis Perangkat Keras

Jadi, Anda mungkin menemukan beberapa malware yang tidak terlihat, dan mungkin Anda berhasil memblokirnya agar tidak melakukan percakapan dengan induknya. Semua baik, tetapi bagaimana dengan menyingkirkannya? Ternyata ini bukan hanya sulit, mungkin juga tidak mungkin.

Dari kasus-kasus di mana dimungkinkan, obat segera adalah untuk merombak firmware. Ini dapat menghilangkan malware, kecuali jika itu datang melalui rantai pasokan perangkat itu sendiri, dalam hal ini Anda hanya akan memuat ulang malware tersebut.

• Perangkat Lunak Pemantauan Jaringan Terbaik untuk 2019 Perangkat Lunak Pemantauan Jaringan Terbaik untuk 2019
• Perangkat Lunak Penghapusan dan Perlindungan Malware Terbaik untuk 2019 Perangkat Lunak Penghapusan dan Perlindungan Malware Terbaik untuk 2019
• Malware yang Tak Terlihat Ada Di Sini dan Perangkat Lunak Keamanan Anda Tidak Dapat Menangkapnya Malware Yang Terlihat Ada Di Sini dan Perangkat Lunak Keamanan Anda Tidak Dapat Menangkapnya

Jika Anda melakukan reflash, maka penting juga untuk mengawasi jaringan Anda untuk tanda-tanda infeksi ulang. Malware itu harus masuk ke perangkat keras Anda dari suatu tempat, dan jika itu tidak berasal dari pabrikan, maka sangat mungkin sumber yang sama akan mengirimnya lagi untuk membangun kembali dirinya.

Intinya adalah pemantauan lebih lanjut. Itu akan terus memantau lalu lintas jaringan Anda untuk tanda-tanda komunikasi malware serta mengawasi berbagai instalasi firmware perangkat Anda untuk tanda-tanda infeksi. Dan jika Anda memantau, mungkin Anda bisa mengetahui dari mana asalnya dan menghilangkannya juga.