Mẹo bảo vệ máy tính của bạn trước sự tấn công của Thunderspy
Thunderbolt là giao diện thương hiệu phần cứng do Intel phát triển . Nó hoạt động như một giao diện giữa máy tính và các thiết bị bên ngoài. Trong khi hầu hết các máy tính Windows đều có đủ loại cổng, nhiều công ty sử dụng Thunderbolt để kết nối với nhiều loại thiết bị khác nhau. Nó giúp kết nối dễ dàng, nhưng theo nghiên cứu tại Đại học Công nghệ (Technology)Eindhoven(Eindhoven University) , bảo mật đằng sau Thunderbolt có thể bị vi phạm bằng một kỹ thuật - Thunderspy . Trong bài đăng này, chúng tôi sẽ chia sẻ các mẹo mà bạn có thể làm theo để bảo vệ máy tính của mình khỏi Thunderspy .
Tunderspy là gì? Làm thế nào nó hoạt động?
Đây là một cuộc tấn công lén lút cho phép kẻ tấn công truy cập chức năng truy cập bộ nhớ trực tiếp ( DMA ) để xâm phạm thiết bị. Vấn đề lớn nhất là không có dấu vết nào để lại khi nó hoạt động mà không triển khai bất kỳ phần mềm độc hại hoặc mồi liên kết nào. Nó có thể bỏ qua các phương pháp bảo mật tốt nhất và khóa máy tính. Vì vậy, làm thế nào nó hoạt động? Kẻ tấn công cần truy cập trực tiếp vào máy tính. Theo nghiên cứu, chỉ mất chưa đầy 5 phút với các công cụ phù hợp.
Kẻ tấn công sao chép Phần mềm điều khiển Thunderbolt(Thunderbolt Controller Firmware) của thiết bị nguồn vào thiết bị của hắn. Sau đó, nó sử dụng một trình vá lỗi phần sụn ( TCFP ) để vô hiệu hóa chế độ bảo mật được thực thi trong phần sụn Thunderbolt . Phiên bản đã sửa đổi được sao chép trở lại máy tính mục tiêu bằng thiết bị Bus Pirate . Sau đó, một thiết bị tấn công dựa trên Thunderbolt được kết nối với thiết bị bị tấn công. Sau đó, nó sử dụng công cụ PCILosystem(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows .
Vì vậy, ngay cả khi máy tính có các tính năng bảo mật như Khởi động an toàn , (Secure Boot)BIOS mạnh và mật khẩu tài khoản hệ điều hành cũng như kích hoạt mã hóa toàn bộ ổ đĩa, nó vẫn sẽ bỏ qua mọi thứ.
MẸO(TIP) : Spycheck sẽ kiểm tra xem PC của bạn có dễ bị tấn công bởi Thunderspy hay không .
Mẹo để bảo vệ khỏi Thunderspy
Microsoft khuyến nghị(recommends) ba cách để bảo vệ khỏi mối đe dọa hiện đại. Một số tính năng được tích hợp trong Windows có thể được tận dụng trong khi một số tính năng nên được kích hoạt để giảm thiểu các cuộc tấn công.
- Bảo vệ PC lõi an toàn
- Bảo vệ DMA hạt nhân
- Tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( HVCI )
Điều đó nói rằng, tất cả điều này đều có thể thực hiện được trên PC lõi bảo mật. Bạn chỉ đơn giản là không thể áp dụng điều này trên PC thông thường vì phần cứng không có sẵn có thể bảo vệ nó khỏi cuộc tấn công. Cách tốt nhất để tìm hiểu xem PC của bạn có hỗ trợ nó hay không là kiểm tra phần Devic Security của ứng dụng Windows Security .
1] Bảo vệ PC lõi an toàn
Windows Security , phần mềm bảo mật nội bộ của Microsoft, cung cấp tính năng Bảo vệ Hệ thống của Bộ bảo vệ Windows và bảo mật dựa trên ảo hóa. Tuy nhiên, bạn cần một thiết bị sử dụng PC lõi bảo mật(Secured-core PCs) . Nó sử dụng bảo mật phần cứng đã được root trong CPU hiện đại để khởi động hệ thống vào trạng thái đáng tin cậy. Nó giúp giảm thiểu các nỗ lực do phần mềm độc hại thực hiện ở cấp phần sụn.
2] Bảo vệ DMA hạt nhân
Được giới thiệu trong Windows 10 v1803, tính năng bảo vệ Kernel DMA đảm bảo chặn các thiết bị ngoại vi bên ngoài khỏi các cuộc tấn công Truy cập Bộ nhớ(Memory Access) Trực tiếp ( DMA ) bằng cách sử dụng thiết bị cắm nóng PCI như Thunderbolt . Nó có nghĩa là nếu ai đó cố gắng sao chép phần sụn Thunderbolt độc hại vào một máy tính, nó sẽ bị chặn qua cổng Thunderbolt . Tuy nhiên, nếu người dùng có tên người dùng và mật khẩu, anh ta sẽ có thể vượt qua nó.
3] Bảo vệ tăng cứng(Hardening) với tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( (Hypervisor-protected)HVCI )
Tính toàn vẹn của mã được bảo vệ bởi Hypervisor hoặc HVCI nên được bật trên Windows 10 . Nó cô lập hệ thống con toàn vẹn mã và xác minh rằng ở đó mã Kernel không được Microsoft xác minh và ký . Nó cũng đảm bảo rằng mã nhân không thể vừa có thể ghi vừa có thể thực thi để đảm bảo rằng mã chưa được xác minh sẽ không thực thi.
Thunderspy sử dụng công cụ PCILosystem(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows . Sử dụng HVCI sẽ đảm bảo ngăn chặn điều này vì nó sẽ không cho phép nó thực thi mã.
Bảo mật luôn phải được đặt lên hàng đầu khi mua máy tính. Nếu bạn xử lý dữ liệu quan trọng, đặc biệt là với doanh nghiệp, bạn nên mua các thiết bị PC lõi bảo mật(Secured-core PC) . Đây là trang chính thức của các thiết bị như vậy(such devices) trên trang web của Microsoft.
Related posts
Làm thế nào để Tránh Phishing Scams and Attacks?
Access Trojan từ xa là gì? Phòng ngừa, Detection & Removal
Remove virus Từ USB Flash Drive bằng Command Prompt or Batch File
Rogue Security Software or Scareware: Làm thế nào để kiểm tra, ngăn chặn, loại bỏ?
Win32: BogEnt là gì và làm thế nào để loại bỏ nó?
Làm thế nào để gỡ bỏ cài đặt hoặc gỡ bỏ Driver Tonic từ Windows 10
Kiểm tra xem máy tính của bạn đã bị nhiễm ASUS Update Malware chưa
Microsoft xác định các ứng dụng không mong muốn của Malware & Potentially như thế nào
Cách sử dụng Malware Scanner & Cleanup Tool Malware Scanner & Cleanup Tool của Chrome browser
CandyOpen là gì? Làm thế nào để loại bỏ CandyOpen từ Windows 10?
Cryptojacking browser mining threat mới bạn cần biết về
Làm thế nào để Hủy bỏ Chromium Virus từ Windows 11/10
IObit Malware Fighter Free review & download
Backdoor attack là gì? Meaning, Examples, Definitions
Làm thế nào để kiểm tra xem một tập tin là độc hại hay không trên Windows 11/10
3 cách để thoát khỏi vi rút, phần mềm gián điệp và phần mềm độc hại
Online Malware Scanners trực tuyến tốt nhất để quét một tập tin
Malware Removal Tools miễn phí để loại bỏ Specific Virus trong Windows 11/10
Malware Submission: Nơi gửi tệp phần mềm độc hại đến Microsoft & others?
Cách sử dụng Avast Boot Scan để loại bỏ Malware khỏi Windows PC