使用固件确定恶意软件制造技术

本文公开的示例涉及使用固件确定恶意软件，具体地，涉及使用计算设备的固件来确定恶意软件。可以使用固件来确定在所述计算设备上存在恶意软件的指示存在。响应于在所述计算设备上存在恶意软件的所述指示，可以执行所述固件以实施安全动作。

Using firmware to identify malware

The examples disclosed herein relate to the use of firmware to identify malware, and specifically to the use of firmware of computing devices to determine malware. Firmware can be used to determine the presence of an indication of malicious software on the computing device. In response to the instruction that malicious software exists on the computing device, the firmware can be executed to perform security actions.

【技术实现步骤摘要】
使用固件确定恶意软件
技术介绍
服务提供商和制造商被挑战来例如通过提供对计算能力的访问以向消费者传递质量和价值。数据中心是用于容纳计算机网络、计算机系统和相关组件(比如电信和存储系统)的设施。数据中心内的设备可以是安装在机柜中的服务器的形式。数据中心可能是恶意软件(比如勒索软件)攻击的目标。附图说明以下详细的描述参考附图，其中：图1是根据示例的能够响应于确定存在计算设备上的恶意软件的指示而实施安全动作的计算设备的框图；图2是根据示例的包括能够响应于确定存在计算设备上的恶意软件的指示而实施安全动作的计算设备的计算系统的框图；图3是根据示例的响应于恶意软件的指示而实施安全动作的方法的流程图；图4是根据示例的包括能够响应于恶意软件的指示而实施安全动作的基板管理控制器的计算设备的框图；图5是根据示例的用于基于确认勒索软件存在于系统上的固件指示来启动恢复过程的方法的流程图；以及图6是根据示例的能够基于勒索软件的固件指示在计算系统上启动恢复过程的中央管理系统的框图。在整个附图中，相同的附图标记可以指定类似但不一定相同的元件。附加到一些附图标记的指数“N”可以理解为仅仅表示复数，并且对于具有这样的指数“N”的每个附图标记可以不一定表示相同的量。另外，本文没有指数的附图标记的使用(其中这样的附图标记在其他地方带指数引用)可以是(共同地或单独地)对相应的复数元件的一般引用。在另一个示例中，可以使用指数“I”、“M”等来代替指数N。具体实施方式实体可以通过识别其数据中心中的漏洞来设法避免安全攻击。漏洞可以包括可能被利用来侵犯网络的安全策略的在数据中心的网络的设计、实现、操作和/或管理方面的缺陷和/或弱点(例如，可能通过对实体的资产的未经授权的访问、销毁、公开和/或修改而对网络产生负面影响的情况和/或事件)。利用指令码可以包括利用漏洞引起不想要的和/或未预料的行为的计算机可读指令、数据和/或命令序列。安全攻击可以包括使用和/或尝试使用针对漏洞的利用指令码。为了避免后续的安全攻击，实体可以实施调查(例如，电子取证调查)，以确定在安全攻击期间针对什么漏洞使用了什么利用指令码。基于威胁情报和市场研究报告，明显的是，使用恶意软件针对操作系统、固件和硬件层的攻击的数量已经增加。例如，用于勒索目的和扰乱经济、国家安全和/或关键基础设施的恶意软件。随着易于从黑暗网络获取恶意软件和勒索软件漏洞利用工具包，攻击不断变化且变得更加复杂。一些攻击针对将引导块(例如，主引导记录(MBR))连同数据一起加密，并且最近的攻击已经在许多中小型商业以及企业中造成了混乱。如本文使用的，引导块是与被计算设备的处理器读取的初始指令相关联的存储设备的区域。鉴于增加的恶意软件和勒索软件、对硬件和固件的高级的持续性威胁以及安全趋势，检测这些复杂的攻击并从这些攻击中安全地且自动地恢复是有利的。这样的自动检测和恢复解决方案可以用于计算系统用户以有助于快速恢复其操作系统(OSes)和平台资产，并减少恢复时间。如本文使用的，恶意软件是恶意性的软件或侵入软件。示例包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件等。勒索软件是一类恶意软件，其威胁除非支付赎金，否则公布受害者的数据或阻止访问该数据。一些勒索软件可以锁定被攻击的系统。例如，勒索软件可以加密受害者的文件，使其无法访问。一些勒索软件可以使用伪装成诱使用户下载和打开的合法文件的木马进行。其他勒索软件可以在计算机之间传输，无需用户交互。在一些示例中，恶意软件(比如勒索软件)可以尝试使用与恶意软件所在的计算系统相关联的接口，通过扫描与计算系统相关联的驱动器和接口、写入或修改驱动器等，来传播其自身。因此，本文描述了一种OS不可知途径，其有助于检测来自固件的OS和平台攻击。在一个示例中，管理处理器(比如基板管理控制器(BMC))可以使用蜜罐技术来帮助检测恶意软件。可以向操作系统提供可以访问BMC的嵌入式存储器或仿真存储器。BMC可以基于蜜罐技术确定存在计算设备上存在恶意软件的指示。响应于该指示可以实施安全动作。在该示例中，提供了无代理监控和警报途径，用于使用固件来检测计算设备(比如服务器平台)上恶意软件(比如勒索软件)类攻击。可以向OS提供比如闪存(例如，NAND分区、安全数字卡等)、硬盘驱动器等物理嵌入式存储器或者来自BMC的仿真盘存储器。而且，存储器可以被BMC访问。存储器可以被配置为看起来像具有引导块(例如，MBR)和附加数据的分区以模拟到OS的生产驱动器。BMC可以监控存储器的恶意软件或勒索软件活动或模式。如果发现此类活动，其向BMC指示存在潜在威胁。在一个示例中，在存储器的时间窗口内的任何写入活动或连续写入活动可被认为是活动或模式，因为驱动器不应该被操纵。在其他示例中，崩溃、加密或其他模式可以指示活动或模式。而且，在一些示例中，活动或模式可以基于因恶意软件攻击途径为人所知的一个或多个工具包使用的途径。例如，对引导块的访问和/或修改可以产生由BMC引起的异常事件。异常事件可以触发将该异常事件发送到中央管理系统(CMS)的安全动作。异常事件可以包括附加信息，例如与活动相关联的日志、OS日志、系统日志等。而且，异常事件通知可以包括由BMC完成的分析。此外，在一些示例中，BMC的安全动作可以包括在验证系统状态之后自主行动的动作。这样的安全动作可以包括对系统进行隔离、关闭系统和/或系统的每个接口、备份审计日志等。向CMS发送异常事件的过程可以允许验证事件的真实性和完整性。在另一个示例中，可以使用利用固件的另一种途径来检测恶意软件。在此示例中，工具可以使用固件接口(比如统一的可扩展固件接口(UEFI)应用或其他轻量级可引导映像)来实现安全诊断。可以根据需要或基于计算系统的观察状态(例如，重复的周期性故障或未能发动主OS的故障)来执行安全诊断应用。在一个示例中，在连续引导失败事件的阈值之后，可以由固件接口使用由BMC设置的标志来调用工具。在另一个示例中，可以使用指示恶意软件的手动用户输入或控制台日志诊断来触发标志。该工具可以有能力检查存储驱动器，例如检测MBR加密、引导分区中的加密数据、查找驱动器中的特定签名或模式等，以检测存储驱动器上的恶意软件、勒索软件或其他高级攻击签名。在一些示例中，引导分区是包含引导加载程序(旨在引导OS的一个软件)的存储器中的分区。在一些示例中，引导分区可以包括MBR。该工具可以将诊断结果发送给BMC和/或CMS(例如，经由BMC)。在一些示例中，BMC可以在重复引导失败事件之后或基于其他配置规则或策略，使用模式匹配和/或异常检测来自动分析控制台日志的勒索软件或其他恶意软件消息。响应于检测到恶意软件，CMS可以协调该系统和/或通信地耦合到计算系统的其他系统的恢复。图1是根据示例的能够响应于确定存在计算设备上的恶意软件的指示而实施安全动作的计算设备的框图。计算设备100包括固件引擎110，固件引擎110可以包括可由处理器或处理元件执行的BMC112和固件、操作系统116、存储驱动器118、处理元件130和存储器132。图2是根据示例的包括能够响应于确定存在计算设备上的恶意软件的指示而实施安全动作的计算设备的计算系统的框图。系统200可以包括计算设备100以及其他设备240a本文档来自技高网...

【技术保护点】
1.一种计算系统，包括：计算设备，所述计算设备包括：至少一个处理元件；存储器；固件引擎，所述固件引擎包括：与所述至少一个处理元件分离的基板管理控制器(BMC)，所述基板管理控制器(BMC)为所述计算设备提供至少一个带外服务；在引导期间在所述至少一个处理元件上执行的固件，其中所述固件引擎中的至少一个要：确定所述计算设备上存在恶意软件的指示存在；以及响应于所述计算设备上存在所述恶意软件的指示来实施安全动作。

【技术特征摘要】
2017.11.20 US 15/817,6381.一种计算系统，包括：计算设备，所述计算设备包括：至少一个处理元件；存储器；固件引擎，所述固件引擎包括：与所述至少一个处理元件分离的基板管理控制器(BMC)，所述基板管理控制器(BMC)为所述计算设备提供至少一个带外服务；在引导期间在所述至少一个处理元件上执行的固件，其中所述固件引擎中的至少一个要：确定所述计算设备上存在恶意软件的指示存在；以及响应于所述计算设备上存在所述恶意软件的指示来实施安全动作。2.如权利要求1所述的计算系统，其中，所述BMC进一步要：监控在所述至少一个处理元件上执行的操作系统能访问的存储驱动器，以确定所述计算设备上存在恶意软件的所述指示存在。3.如权利要求2所述的计算系统，其中所述存储驱动器是由所述BMC提供给所述操作系统的虚拟驱动器。4.如权利要求2所述的计算系统，其中所述存储驱动器包括所述BMC和所述操作系统能访问的闪存存储器。5.如权利要求1所述的计算系统，其中所述存储驱动器包括模拟主引导分区数据和指示操作系统的其它数据。6.如权利要求5所述的计算系统，其中所述恶意软件包括勒索软件，并且其中根据模式在所述驱动器上检测到的活动导致所述计算设备上存在所述勒索软件的指示。7.如权利要求6所述的计算系统，其中所述模式包括对所述引导分区数据的修改。8.如权利要求7所述的计算系统，其中所述安全动作包括将所述计算设备与通信地耦合到所述计算设备的多个其他设备隔离。9.如权利要求1所述的计算系统，进一步包括：中央管理系统，其中所述BMC经由认证的通信向所述中央管理系统(CMS)发送与所述恶意软件存在的指示相关联的日志信息，其中所述CMS要：验证所述日志信息指示所述恶意软件存在；并且启动恢复过程，所述恢复过程包括恢复所述计算设备的配置设置以及在所述计算设备上安装新的操作系统。10.如权利要求9所述的计算系统，其中所述安全动作包括所述BMC以提高的安全模式进行通信，所述提高的安全模式具有需要特定安全权限的受限功能，其中所述认证的通信使用所述特定安全权限。11.如权利要求9所述的计算系统，其中在引导期间在所述至少一个处理元件上执行的所述固件进一步要：从引导失败的模式确定所述恶意软件的指示存在；发动恶意软件诊断以确定恶意软件诊断结果；并且将所述恶意软件诊断结果发送给所述BMC，其中所述BMC进一步经由所述认证的通信将所述恶意软件诊断结果...

【专利技术属性】
技术研发人员：J·S·豪尔沙尼，苏哈斯·希万纳，路易斯·E·卢恰尼·吉，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：美国,US