抵御固件和BIOS操纵.pdfVIP

解决方案简介 抵御固件和 BIOS 操纵 在 《McAfee■Labs■威胁报告：2015■年■5■月》中，我们深入讨论了 Equation Group 及其对硬盘和固态硬盘固件的攻击。 “Equation Group”因善用极其 复杂的加密方案和与该组织相关的恶意软件而闻名，现已成为有史以来最 显眼、最高级的固件攻击示例。 研究团队最为重大的发现之一就是硬盘驱动器 (HDD) 和固态驱动器 (SSD) 固件重新编程模块。HDD/ SSD 的固件被重新编程，可以在被感染系统每次启动时重新加载相关恶意软件，即使重新格式化这些驱 动器或重新安装操作系统，这种恶意软件也仍会存在。而且，驱动器被感染后，安全软件检测不到重新 编程的固件和相关恶意软件。 在过去的几年间，Intel Security 发现了很多具有固件/BIOS 操纵能力的恶意软件示例。在学术性/概念 证明和流行方案中都看到了这种恶意软件，包括 CIH/Chernobyl、Mebromi 和■ BIOSkit。我们还在 《McAfee■Labs■2012■年威胁预测报告》中对这一特定攻击类型进行了预测。在发现 “特定于 Equation Group”的示例后，我们现已将其视为有史以来最显眼、最高级的固件攻击示例。 抵御■Equation■Group■攻击： 以下是为抵御 Equation Group 式攻击而建议采用的策略和预防措施： ■■ 在所有终端上安装终端安全软件。 ■■ 启用自动 OS 更新或定期下载 OS 更新，以修补操作系统上的已知漏洞。 ■■一旦其他软件制造商发布补丁，则尽快安装。 ■■ 加密重要数据和硬盘驱动器。 ■■ 通过安全网关电子邮件过滤，消除大规模网络钓鱼活动。 ■■ 实施发件人身份验证，降低将网络犯罪分子误认为是受信任方的风险。 ■■ 通过高级防恶意软件检测并消除恶意附件。 ■■ 在收到电子邮件时扫描其中的 URL ，点击前再次扫描。 ■■ 当网络钓鱼导致用户因多次点击操作受到感染时，扫描 Web 通信中的恶意软件。 ■■ 指导用户检测和应对可疑电子邮件的最佳实践。 ■■ 如果发生入侵，则实施数据丢失防御以停止泄露。 解决方案简介 Intel■Security■如何帮助抵御■Equation■Group■式攻击 抵御固件和 BIOS 操纵攻击应该被纳入到每个企业的安全方案中。应重点关注两个领域： ■■ 确立相应的方式，以检测 Equation Group 恶意软件的初次攻击。已知的攻击媒介包括网络 钓鱼、CD 和 USB 驱动器。应对这些领域予以特别关注。 ■■ 请确保系统数据不会泄露。虽然目前无法检测到固件重新编程模块，但整体的攻击目标还 是很容易侦测到的。因为侦测基于与控制服务器相关的系统化通信和数据泄露，所以阻止 这一步骤极为重要。 McAfee■Advanced■Threat■Defense McAfee■Advanced■Threat■Defense 是一个多层恶意软件检测解决方案，它综合运用多个检查引擎， 实施基于特征码和信誉的检查、实时模拟、全静态代码分析以及动态沙盒。McAfee Advanced Threat Defense 将帮助抵御高级恶意软件，这些恶意软件受到 Equation Group 重新编程的固件指示，会反复 重新加载。 ■■ 基于特征码的检测：检测病毒、蠕虫、间谍软件、僵尸程序、特洛伊木马、缓冲区溢出和 混合型攻击。其全面的知识库由 McAfee Labs 创建和维护，目前包含超过 1.5 亿个特征码。 ■■ 基于信誉的检测：使用 McAfee Global Threat Intelligence 服务查找文件的信誉，以检测各 种新兴威胁。 ■■ 实时静态分析和模拟：提供实时静态分析和模拟，以快速查找基于特征码的技术或信誉未 能识别的恶意软件和零日威胁。 ■■ 全静态代码分析：对文件代码实施逆向工程，以访问其所有属性和指令集，并且完全分析 但不执行源代码。全面的解包能力可以打开所有类型的打包和压缩文件，以进行完整分析 和恶意软件分类，从而使贵公司能够了解特定恶意软件所具有的威胁。 ■■ 动态沙盒分析：在虚拟运行时环境中执行文件代码并观察由此引发的行为。可以对虚拟 环境进行配置，以使其匹配贵公司的主机环境，并支持 Windows 7 （