您也许能够找到隐形的恶意软件，但要摆脱它并不容易

知道存在诸如隐形恶意软件之类的东西 这是您的反恶意软件软件无法企及的。 但是，当您了解到该信息时，即使您确实找到了这些东西，也可能无法摆脱它呢？ 不幸的是，根据我们正在讨论的基于硬件的恶意软件的类型，情况可能会如此。

上周，我已经写过关于隐形恶意软件问题的信息，该恶意软件可能存在于您计算机的基本输入/输出系统（BIOS）中，并且可以包含虚拟rootkit。 然后，这些rootkit可以悄悄地接管您的服务器，台式机或其他设备。 由于它们存在于硬件中，因此您的端点保护或其他反恶意软件程序包通常看不到它们。 实际上，您可能永远不会知道自己已被感染，直到您的数据在漏洞泄露后才可以出售。

检测恶意软件

幸运的是，专家们发现了可以发现这种看不见的恶意软件的方法，但是好像坏人在跟上步伐一样，还有新的安装方法。 尽管如此，找到它的任务还是有些容易。 例如，英特尔处理器中称为“ ZombieLoad”的新漏洞可能会通过软件中提供的漏洞利用代码进行攻击。 此漏洞可能允许远程将恶意软件插入计算机的BIOS中。

当研究人员仍在研究ZombieLoad时，试图确定这一最新一轮的Intel攻击的问题范围，但事实是，此类硬件攻击可以扩展到整个企业。 Trapezoid的联合创始人兼首席执行官Jose E. Gonzalez解释说：“固件是位于芯片上的可编程代码。 “您的系统上有一堆不需要的代码。”

加剧此问题的事实是，此固件可以存在于整个网络中，存在于从网络摄像头和安全设备到交换机和路由器再到服务器机房中的计算机等各种设备中。 它们本质上都是计算设备，因此它们中的任何一个都可以包含持有恶意代码的恶意软件。 实际上，仅此类设备已被用来从基于其固件的漫游器发起拒绝服务攻击（DoS攻击）。

Trapezoid 5能够通过独特的水印系统检测基于固件的恶意软件的存在，该系统将每个设备的固件与曾经运行过的任何硬件加密地联系在一起。 这包括虚拟设备，包括位于内部的虚拟机（VM）或在云中运行的虚拟基础架构即服务（IaaS）。 这些水印可以显示设备固件中的任何内容是否已更改。 在固件中添加恶意软件会对其进行更改，从而使水印无效。

梯形包含一个固件完整性验证引擎，该引擎可帮助发现固件中的问题，并允许安全人员进行检查。 梯形还与许多安全策略管理和报告工具集成在一起，因此您可以为受感染的设备添加适当的缓解策略。

解释后门

Alissa Knight专门研究硬件安全问题。 她是The Aite Group的高级分析师，也是即将出版的《 骇入互联汽车：战术，技巧和程序》 一书的作者。 骑士 微软表示，希望扫描隐形恶意软件的IT专业人员可能需要使用诸如Trapezoid 5之类的工具。 她解释说：“后门的一个基本方面使它们很难被发现，因为它们等待某些触发来唤醒它们。”

奈特说，如果存在这样的后门，无论它是恶意软件攻击的一部分还是由于其他原因而存在，那么您最好的办法就是通过阻止它们检测到触发器来阻止它们运行。 她指出了 Silence Hardware Backdoors ，这是Adam Waksman和Simha Sethumadhavan的研究报告。 哥伦比亚大学计算机科学系计算机体系结构和安全技术实验室。

Waksman和Sethumadhavan的研究表明，可以通过三种方法阻止这些恶意软件触发器的工作：首先，进行电源重置（针对驻留在内存中的恶意软件和基于时间的攻击）； 第二，数据混淆； 第三，序列中断。 混淆涉及对输入的数据进行加密，以使触发器无法被识别，就像随机化命令流一样。

这些方法的问题在于，除了最关键的实现以外，对于IT环境而言，它们可能不切实际。 奈特指出，其中一些攻击更可能是由国家资助的攻击者而非网络犯罪分子进行的。 但是，值得注意的是，那些由国家赞助的攻击者的确会追捕中小型企业（SMB），以获取信息或以其他方式访问其最终目标，因此SMB IT专业人员不能简单地忽略这种威胁，因为它过于复杂申请他们。

防止恶意软件进行通讯

但是，一种有效的策略是阻止恶意软件进行通信，这对于大多数恶意软件和后门程序都是正确的。 即使它们在那里，如果它们无法打开或无法发出有效载荷，它们也将无能为力。 一个好的网络分析设备可以做到这一点。 SecBI产品管理副总裁Arie Fred解释说：“需要与家庭进行通信，”他使用基于人工智能（AI）的威胁检测和响应系统来阻止恶意软件进行通信。

弗雷德说：“我们使用基于日志的方法，利用现有设备中的数据来创建全方位的可见性。” 这种方法避免了由恶意软件进行的加密通信所造成的问题，而某些类型的恶意软件检测系统无法捕获这些问题。

他说：“我们可以进行自主调查和自动缓解措施。” 这样，就可以跟踪和阻止从设备到意外目的地的可疑通信，并且可以在网络上的其他位置共享信息。

删除基于硬件的恶意软件

因此，您可能已经找到了一些看不见的恶意软件，也许您设法阻止了它与其母系的对话。 一切都很好，但是摆脱它呢？ 事实证明，这不仅困难，而且很可能是不可能的。

在可能的情况下，立即解决的办法是重新刷新固件。 除非它来自设备本身的供应链，否则这可能消除了该恶意软件，在这种情况下，您将只是重新加载该恶意软件。

• 2019年最佳网络监控软件2019年最佳网络监控软件
• 适用于2019的最佳恶意软件删除和保护软件适用于2019的最佳恶意软件删除和保护软件
• 隐形恶意软件就在这里，您的安全软件无法捕获它隐形恶意软件就在这里，您的安全软件无法捕获它

如果您进行重新刷新，那么注意网络中是否有重新感染的迹象也很重要。 该恶意软件必须从某个地方进入您的硬件，并且如果它不是来自制造商的，则肯定有可能同一来源再次将其发送以重建自身。

这归结为更多的监视。 它将继续监视您的网络流量是否存在恶意软件通信的迹象，并在各种设备固件安装上保留标签以防止感染迹象。 而且，如果您正在监视，也许您可​​以找出它的来源，并消除它。