차례:
비디오: ë¶í© ì ë¤ë¤ ê°ìí~ê°ìí ëëì²´ ë길ë (십월 2024)
보이지 않는 맬웨어와 같은 것이 있다는 것을 알고 안티 멀웨어 소프트웨어의 범위를 넘어서는 것은 무섭습니다. 그러나 당신이 그것을 배울 때, 당신 이이 물건을 찾더라도 그것을 제거하지 못할 수 있습니까? 불행히도, 우리가 이야기하고있는 하드웨어 기반 악성 코드의 유형에 따라 그럴 수도 있습니다.
악성 코드 탐지
다행스럽게도 전문가들은이 보이지 않는 맬웨어가 드러날 수있는 방법을 찾았지만 악의적 인 사용자가 보조를 맞추는 것처럼 새로운 설치 방법도 있습니다. 아직도, 그것을 찾는 작업이 다소 쉬워졌습니다. 예를 들어, "ZombieLoad"라는 인텔 프로세서의 새로운 취약점은 소프트웨어로 제공되는 익스플로잇 코드를 통해 공격받을 수 있습니다. 이 취약점으로 인해 컴퓨터의 BIOS에 원격으로 맬웨어가 삽입 될 수 있습니다.
연구원들이 ZombieLoad를 계속 연구하고 있지만 최신 인텔 익스플로잇의 문제점 범위를 파악하려고 노력하는 것은 사실 그러한 하드웨어 익스플로잇이 기업 전체에 확장 될 수 있다는 것입니다. Trapezoid의 공동 창립자이자 CEO 인 Jose E. Gonzalez는“펌웨어는 칩에 프로그래밍 가능한 코드입니다. "시스템에보고 있지 않은 많은 코드가 있습니다."
이 문제를 악화시키는 것은이 펌웨어가 웹캠 및 보안 장치에서 스위치 및 라우터에 이르는 서버 장치의 컴퓨터에 이르기까지 네트워크 전체에 존재할 수 있다는 사실입니다. 그들 모두는 본질적으로 컴퓨팅 장치이므로 악용 코드를 보유한 맬웨어를 보유 할 수 있습니다. 실제로 이러한 장치 만 펌웨어 기반의 봇에서 서비스 거부 공격 (DoS 공격)을 시작하는 데 사용되었습니다.
Trapezoid 5는 각 장치의 펌웨어를 실행중인 모든 하드웨어에 암호화 적으로 연결하는 고유 한 워터 마크 시스템을 통해 펌웨어 기반 맬웨어의 존재를 감지 할 수 있습니다. 여기에는 온 프레미스 또는 클라우드에서 실행중인 가상 IaaS (Infrastructure-as-a-Service)에있는 가상 머신 (VM)을 포함한 가상 디바이스가 포함됩니다. 이 워터 마크는 장치 펌웨어의 어떤 것이 변경되었는지를 보여줄 수 있습니다. 펌웨어에 맬웨어를 추가하면 워터 마크가 유효하지 않도록 펌웨어가 변경됩니다.
Trapezoid에는 펌웨어 무결성 검사 엔진이 포함되어있어 펌웨어의 문제를 파악하고 보안 담당자가이를 확인할 수 있습니다. Trapezoid는 또한 많은 보안 정책 관리 및보고 도구와 통합되어 감염된 장치에 대한 적절한 완화 전략을 추가 할 수 있습니다.
백도어 설명
Alissa Knight는 하드웨어 보안 문제를 전문으로합니다. 그녀는 The Aite Group의 선임 분석가이며 다가오는 책 Hacking Connected Cars: Tactics, Techniques and Procedures 의 저자입니다. 기사 보이지 않는 맬웨어를 검색하려는 IT 전문가는 Trapezoid 5와 같은 도구가 필요할 것이라고 말했다. "백도어에는 근본적인 측면이있어 특정 트리거가 깨어날 때까지 기다리기 때문에 탐지하기 어렵습니다."라고 그녀는 설명했습니다.
나이트는 백도어가 악성 공격의 일부이든 다른 이유로 든 존재한다면 트리거를 탐지하지 못하도록하여 운영을 유지하는 것이 최선이라고 말했다. 그녀는 Adam Waksman과 Simha Sethumadhavan의 연구 보고서 인 Silencing Hardware Backdoors를 지적했다. Columbia University 컴퓨터 공학과 컴퓨터 아키텍처 및 보안 기술 연구소
Waksman과 Sethumadhavan의 연구에 따르면 이러한 맬웨어 트리거는 다음 세 가지 기술로 작동하지 않을 수 있습니다. 첫째, 전원 재설정 (메모리 상주 맬웨어 및 시간 기반 공격의 경우); 둘째, 데이터 난독 화; 셋째, 서열 파괴. 난독 화는 입력으로 들어가는 데이터를 암호화하여 명령 스트림을 무작위화할 수있는 것처럼 트리거를 인식하지 못하게 할 수 있습니다.
이러한 접근 방식의 문제점은 IT 환경에서 가장 중요한 구현을 제외한 모든 구현에 비현실적 일 수 있다는 것입니다. Knight는 이러한 공격 중 일부는 사이버 범죄자보다 국가가 후원하는 공격자가 수행 할 가능성이 더 높다고 지적했습니다. 그러나 주정부가 후원하는 공격자들은 정보를 얻거나 궁극적 인 목표에 접근하기 위해 중소 기업 (SMB)을 쫓아 가기 때문에 SMB IT 전문가는이 위협을 너무 정교하다고 무시할 수는 없습니다. 그들에게 적용합니다.
멀웨어 통신 방지
그러나 효과적인 전략 중 하나는 맬웨어가 통신하지 못하게하는 것입니다. 이는 대부분의 맬웨어 및 백도어에 해당됩니다. 거기에 있어도 전원을 켤 수 없거나 페이로드를 보낼 수 없으면 아무 것도 할 수 없습니다. 좋은 네트워크 분석 기기가이를 수행 할 수 있습니다. 인공 지능 (AI) 기반 위협 탐지 및 대응 시스템을 사용하여 맬웨어와의 통신을 차단하는 SecBI의 제품 관리 담당 부사장 인 Arie Fred는 "홈베이스와 통신해야합니다."라고 설명했습니다.
Fred는 "우리는 기존 장치의 데이터를 사용하여 전체 범위의 가시성을 생성하는 로그 기반 접근 방식을 사용합니다"라고 Fred는 말했습니다. 이 접근 방식은 일부 유형의 맬웨어 탐지 시스템이 포착 할 수없는 맬웨어의 암호화 된 통신으로 인해 발생하는 문제를 방지합니다.
"우리는 자율 조사와 자동 완화를 수행 할 수있다"고 그는 말했다. 이렇게하면 장치에서 예기치 않은 대상으로의 의심스러운 통신을 추적하고 차단할 수 있으며 해당 정보를 네트워크의 다른 곳에서 공유 할 수 있습니다.
하드웨어 기반 악성 코드 삭제
따라서 보이지 않는 맬웨어를 발견했을 수도 있고 모선과 대화하는 것을 차단할 수도 있습니다. 좋았지 만 제거하는 것은 어떻습니까? 이것은 어려운 일이 아니라 불가능할 수도 있습니다.
가능한 경우 즉시 치료법은 펌웨어를 다시 플래시하는 것입니다. 이는 장치 자체 공급망을 통해 제공되지 않는 한 맬웨어를 제거 할 수 있습니다.이 경우 맬웨어를 다시로드하기 만하면됩니다.
- 2019 년 최고의 네트워크 모니터링 소프트웨어 2019 년 최고의 네트워크 모니터링 소프트웨어
- 2019 년 최고의 맬웨어 제거 및 보호 소프트웨어 2019 년 최고의 맬웨어 제거 및 보호 소프트웨어
- 보이지 않는 악성 코드가 여기 있으며 보안 소프트웨어가이를 찾을 수 없습니다 보이지 않는 악성 코드가 여기 있으며 보안 소프트웨어가이를 찾을 수 없습니다
다시 플래시를하는 경우, 재감염의 징후가 있는지 네트워크를 관찰하는 것도 중요합니다. 이 악성 코드는 어딘가에서 하드웨어로 들어가야했으며 제조업체가 제공하지 않은 경우 동일한 소스에서 다시 설정하기 위해 다시 보낼 수 있습니다.
이것으로 요약되는 것은 더 많은 모니터링입니다. 그것은 계속해서 네트워크 트래픽을 모니터링하여 멀웨어 통신 징후가 있는지 확인하고 다양한 장치 펌웨어 설치에 감염 징후가 있는지 탭을 유지합니다. 또한 모니터링중인 경우 출처를 파악하고 제거 할 수 있습니다.
