Pytanie:
Czy wirus komputerowy może być przechowywany w innym miejscu niż na dysku twardym?
ivan_bilan
2016-04-21 14:06:18 UTC
view on stackexchange narkive permalink

Czy istnieją wirusy, którym udało się ukryć gdzieś indziej niż na dysku twardym? Jak pamięć podręczna procesora czy na płycie głównej?

Czy to w ogóle możliwe? Powiedzmy, że mam wirusa, więc pozbywam się dysku twardego i instaluję nowy. Czy wirus nadal może znajdować się na moim komputerze?

Dyskietki - Pamiętam, jak miałem do czynienia z wirusami na dyskietkach na mojej Amidze, a ta nie miała nawet dysku twardego.To samo dotyczy innych nośników wymiennych, takich jak pendrive'y USB, które mogą automatycznie uruchamiać kod po włożeniu do komputera.Nawet nośniki tylko do odczytu, takie jak dyski CD-ROM, mogły być dostarczane z wirusami.
Nieco bardziej abstrakcyjne, ale miałem kiedyś wirusa wewnątrz maszyny wirtualnej z systemem Windows, z dostępem do mojego prawdziwego dysku twardego.Nie bezpośrednio o to, o co prosisz, stąd komentarz.
Miałem lata temu wirusa na mojej płycie głównej (przynajmniej tak zakładam, ponieważ nie mogłem tego wyjaśnić niczym innym).to było jak w 2008 roku i mój komputer zachowywał się dziwnie.wiele losowo plików, w których znajdowały się wszystkie moje foldery.I 1 lub 2 restartuje później coś uniemożliwiło uruchomienie z tego HDD.Nie udało mi się również ponownie zainstalować systemu Windows na tym dysku twardym.Kupiłem więc nowy dysk, odpiąłem stary i zainstalowałem windowsa.Zainstalowane sterowniki (do tej pory nawet nie łączyły się z Internetem) uruchomiły się ponownie ..... Te same pliki, które zostały zapisane na fabrycznie nowym dysku twardym.Jeszcze 1 ponowne uruchomienie i nie mogłem już go używać.Kupiłem nowy komputer.
Ktoś powinien napisać wirusa dla [Mercury delay line] (https://en.wikipedia.org/wiki/Delay_line_memory#Mercury_delay_lines)
Nieco powiązane: http://security.stackexchange.com/q/111156/91904
Chociaż nie odpowiadam na to pytanie, lepiej jest również wiedzieć, że wirus nie musi być przechowywany (z wyjątkiem działającej instancji w pamięci), jeśli rozprzestrzenia się wystarczająco szybko.W takim przypadku, jeśli wszyscy w Internecie wyłączyli komputer, wirus zniknie, ale tak się nie stanie.
Jeśli chcesz się przestraszyć lub pod wrażeniem, w zależności od stanowiska, zapoznaj się z dokumentacją producenta sprzętu.Na przykład firma Dell oferuje dokument o nazwie „Oświadczenie o zmienności” dla wszystkich usług.Zawiera wiele stron z inwentaryzacją (zapisywalnej pamięci flash) oprogramowania układowego na serwerze przedsiębiorstwa.Przykład: http://downloads.dell.com/manuals/common/poweredge-r720_white%20papers1_en-us.pdf
@Zaibis: To, co opisujesz, może być również spowodowane prostą awarią wbudowanego kontrolera napędu.Zastąpienie mobo powinno być wystarczające, zakładając, że awaria nie została wywołana przez coś innego (jak marginalny P / S lub inny komponent zdolny do wprowadzenia stanów nieustalonych do szyny zasilającej lub szyny danych).
Istnieją wirusy, które ukrywają się w oprogramowaniu sprzętowym.Pomyśl o tym.Zainfekowany został sterownik wewnątrz twojego GPU (lub jakakolwiek inna część twojego komputera).Więc w zasadzie masz kości.Nawet po wyczyszczeniu całego komputera malwsre pozostaje tam i prawdopodobnie jedynym sposobem na odzyskanie jest flashowanie elementu sprzętowego lub jego wymiana.Biorąc pod uwagę, że kiedykolwiek miałeś szansę go zlokalizować.To jest naprawdę paskudna rzecz
@Zaibis: Też miał kiedyś takie zachowanie.Jak opisuje Eric, prawdopodobnie była to awaria kontrolera mobo.Dla mnie był jeszcze gorszy niż wirus, ponieważ potrafi ukrywać się znacznie dłużej niż typowy wirus i był całkowicie „wieloplatformowy”: P
@JonasDralle Czym powinien być „sterownik wewnątrz twojego GPU” ?!Jak ten kod zostałby wykonany i ponownie zainfekowałby komputer?
Jedenaście odpowiedzi:
Polynomial
2016-04-21 14:42:47 UTC
view on stackexchange narkive permalink

Mnóstwo miejsc:

Nowoczesny sprzęt ma szeroką gamę trwałych magazynów danych, zwykle używanych do oprogramowania układowego. Wysłanie złożonego urządzenia, takiego jak GPU lub karta sieciowa, i umieszczenie oprogramowania sprzętowego na pamięci ROM z maską, gdzie nie można go zaktualizować, jest o wiele za drogie, a następnie wystąpi błąd powodujący masowe odwołania. W związku z tym potrzebujesz dwóch rzeczy: zapisywalnej lokalizacji dla tego oprogramowania układowego i sposobu na umieszczenie nowego oprogramowania układowego. Oznacza to, że oprogramowanie systemu operacyjnego musi mieć możliwość zapisu w miejscu, w którym oprogramowanie układowe jest przechowywane w sprzęcie (zwykle w pamięci EEPROM).

Dobrym tego przykładem jest stan nowoczesnych narzędzi do aktualizacji BIOS / UEFI. Możesz pobrać obraz UEFI i plik wykonywalny działający w systemie operacyjnym (np. Windows), kliknąć przycisk i zaktualizować UEFI. Prosty! Jeśli przeprowadzisz inżynierię wsteczną, jak to działa (co zrobiłem kilka razy), jest to głównie przypadek ładowania sterownika trybu jądra, który pobiera dane strony z danego obrazu UEFI i rozmawia bezpośrednio z układem UEFI za pomocą out , wysyłając odpowiednie polecenia odblokowania lampy błyskowej i rozpoczęcia procesu aktualizacji.

Oczywiście istnieją pewne zabezpieczenia. Większość obrazów BIOS / UEFI nie ładuje się, chyba że są podpisane przez dostawcę. Oczywiście wystarczająco zaawansowany napastnik może po prostu ukraść klucz do podpisywania od dostawcy, ale to przechodzi w teorie spiskowe i boskich aktorów zagrożenia, z którymi walka w prawie każdym scenariuszu nie jest realistyczna. Mechanizmy zarządzania, takie jak IME, mają mieć pewne zabezpieczenia, które uniemożliwiają dostęp do ich sekcji pamięci nawet przez kod ring0, ale badania wykazały, że istnieje wiele błędów i wiele słabych punktów.

Więc wszystko jest spieprzony, prawda? Cóż, tak i nie. Umieszczenie rootkitów w sprzęcie jest możliwe , ale jest to również niezwykle trudne. Każdy komputer ma tak duże różnice w wersjach sprzętu i oprogramowania układowego, że nie można zbudować ogólnego rootkita dla większości rzeczy. Nie możesz po prostu pobrać standardowego BIOS-u Asusa i sflashować go na dowolną płytę; zabijesz to. Konieczne byłoby utworzenie rootkita dla każdego oddzielnego typu tablicy, czasami aż do odpowiedniego zakresu wersji. Jest to również obszar bezpieczeństwa, który obejmuje ogromną ilość wiedzy międzydomenowej, sięgającej daleko w głąb sprzętu i niskopoziomowych aspektów operacyjnych nowoczesnych platform komputerowych, wraz z silnym bezpieczeństwem i wiedzą kryptograficzną, więc niewiele osób jest w stanie.

Czy prawdopodobnie będziesz celem? Nie.

Czy istnieje prawdopodobieństwo, że zostaniesz zainfekowany rootkitem rezydentnym BIOS / UEFI / SMM / GPU / NIC? Nie.

Złożoność i rozbieżności z tym związane są po prostu zbyt duże, aby przeciętny użytkownik mógł kiedykolwiek realistycznie się tym martwić. Nawet z ekonomicznego punktu widzenia tworzenie tych rzeczy wymaga ogromnej ilości umiejętności, wysiłku i pieniędzy, więc spalanie ich na szkodliwym oprogramowaniu konsumenckim jest idiotyczne. Tego rodzaju zagrożenia są tak ukierunkowane, że tak naprawdę należą tylko do modelu zagrożeń państwa narodowego.

Nie zapomnij o najprostszym przypadku: pendrive.Jeśli pamięć USB spowodowała infekcję, z radością ponownie zainfekuje nowy dysk twardy.
@Bergi Podjąłem pytanie, aby całkowicie wykluczyć tradycyjne nośniki pamięci masowej, ale tak, to prawda.W tej kategorii możesz również uwzględnić smartfony.
To naprawdę zależy od tego, co reprezentuje „ty”. Użytkownik niskiego poziomu, taki jak ty i ja?Oczywiście że nie.Dziennikarz wysokiego szczebla relacjonujący kontrowersyjne tematy?Odpowiedź jest nieco bardziej wyrafinowana.Uważaj, nigdy nikogo nie skrzywdz ...
To coś więcej niż tylko zawartość pendrive'a.Czy nie istniał punkt PoC do infekowania oprogramowania układowego USB?
@Nate Tak, jest znany jako badusb, ale z praktycznie wszystkich powodów opisanych powyżej dla innych typów sprzętu, jest mało prawdopodobne, aby badusb stanowił zagrożenie dla przeciętnego użytkownika.
Zwróć uwagę, że złośliwe oprogramowanie, takie jak to, które zainfekowało irańskie elektrownie jądrowe, zostało później odkryte, że infekuje niemieckie elektrownie i laptopy zwykłych ludzi.Tak jest w przypadku złośliwego oprogramowania zaprojektowanego do infekowania bezpiecznych instalacji: z definicji musi on starać się tak mocno, jak to tylko możliwe.Takie złośliwe oprogramowanie, ponieważ zostało zaprojektowane do atakowania określonego sprzętu (w tym przypadku sprzętu wyprodukowanego przez firmę Siemens), jest mało prawdopodobne, aby spowodowało uszkodzenie komputera.Ale tylko dlatego, że nie zostałeś celowo namierzony, nie oznacza, że Twój komputer nie zostanie potencjalnie zainfekowany.
Chociaż zwykle zgadzam się, że te wektory zagrożeń są mało prawdopodobne, czy w zasadzie nie przywracamy odmiany starego argumentu „bezpieczeństwo przez zaciemnienie”?
@ViktorToth Tak, ale to trochę nieistotne, gdy mówimy o modelowaniu ryzyka.Nie jest to tak mało niejasne, ile ogranicza możliwość zastosowania złośliwego oprogramowania do bardzo małego ekosystemu, przez co nie jest warte wysiłku dla atakującego, chyba że jest celem.Ekonomia ataków jest ważną częścią modelu zagrożeń.
@slebetman Różnica polega na tym, że * payload * Stuxneta został zaprojektowany do połączenia z określonym urządzeniem PLC podłączonym do systemu.W tym przypadku mówimy o ogólnych wektorach trwałości, a nie o ładunkach, co jest ważnym rozróżnieniem.Chociaż możesz zostać zainfekowany złośliwym oprogramowaniem o takiej funkcjonalności (co nadal byłoby mało prawdopodobne), szanse na to, że rzeczywiście uda się „ukryć” w zamierzony sposób, są nieskończenie małe.Podobnie w przypadku niemieckiej elektrowni, która została zainfekowana, po prostu zainstalował Stuxnet na komputerze znajdującym się w zespole napędowym i nie wyzwolił zamierzonego ładunku.
@Polynomial: Dobrze.To co powiedziałem.To, że nie jesteś celem, nie oznacza, że nie zostaniesz zarażony.Pamiętaj - ładunek i infekcja to dwie różne rzeczy.Nie wiem jak Ty, ale nie czuję się komfortowo z wirusami na moim komputerze, niezależnie od pogody, w której ładunek jest zainstalowany.Trudno jest żyć z błędami w zwykłych programach.Potencjalne błędy w wirusach, które mogą zakończyć się robieniem losowych rzeczy na moich plikach, bez których mogę żyć.
@slebetman Prawda, ale wolałbym mieć złośliwe oprogramowanie w moim systemie, które mogę wykryć i odpowiednio segregować, niż złośliwe oprogramowanie w moim systemie, które niszczy mój sprzęt.
Możliwe jest również, że złośliwe oprogramowanie ukrywa się tylko w pamięci (RAM).Szczególnie na serwerach - które rzadko są restartowane - staje się to popularne.
@rugk Jest to jednak prawie niemożliwe bez dotykania dysku.Chociaż podejmowano próby, problemy takie jak stronicowanie i konieczność upuszczania bibliotek w celu wstrzyknięcia do procesów do katalogów tymczasowych ostatecznie oznaczają, że złośliwe oprogramowanie rezydujące w pamięci często nie jest rezydentne w całości.
Jeśli jesteś naprawdę paranoikiem, twój dysk twardy może mieć złośliwe oprogramowanie na swoim oprogramowaniu.Czytałem jakiś czas temu o uruchamianiu Linuksa z samego układu sprzętowego.Dysk twardy miał procesor ARM, 32 MB lub pamięć i wystarczająco dużo, aby uruchomić tam powłokę.Możesz go przeczytać na http://spritesmods.com/?art=hddhack
Tylko drobna korekta.Złośliwe oprogramowanie nie może przechowywać się w SMM, może po prostu ukryć się tam w czasie wykonywania, ponieważ SMM nie jest trwały.Gdy tylko komputer zostanie wyłączony, wszystko wykonywane w kontekście zarządzania systemem (pierścień -2) zostaje utracone.Ponadto mylisz SMM ze ME.SMM jest zupełnie inny niż Management Engine, którym jest pierścień -3.ME ma własne oprogramowanie układowe (przechowywane w BIOS-ie), które w rzeczywistości jest trwałe, podczas gdy SMM jest po prostu wyższym trybem uprzywilejowanym dostępnym do wykonania na procesorze.
Właściwie jest trzeci problem z tą odpowiedzią, na który muszę zwrócić uwagę.Wspomniałeś o Jellyfish PoC (złośliwe oprogramowanie rezydujące na GPU).Nie jest również trwały po ponownym uruchomieniu.To, podobnie jak SMM, zostało zaprojektowane tak, aby można było ukryć się przed tradycyjnym IDS.Chociaż teoretycznie oprogramowanie układowe GPU można nadpisać, aby stworzyć prawdziwą trwałą kryjówkę dla złośliwego oprogramowania, to nie jest to, z czym łączysz się.A artykuł Quest to the Core, mówiący o mikrokodzie i tym podobnych, również nie ma związku z tym pytaniem.Mikrokod należy ponownie zastosować przy każdym uruchomieniu.Jest tracony po wyłączeniu systemu.
Ogólnie rzecz biorąc, każde z tych miejsc, o których wspomniałeś, inne niż BIOS / UEFI, to tymczasowe kryjówki, których złośliwe oprogramowanie może użyć do ominięcia IDS i utrzymania wyższych uprawnień.Żaden z nich nie jest używany do przetrwania po ponownym uruchomieniu lub ponownej instalacji.Myślę też, że pomieszałeś IME z SMI (artykuł Phrack, o którym wspomniałeś, w ogóle nie mówił o IME, tylko o SMI, które są używane do uruchamiania w kontekście SMM).Myślę, że cała ta odpowiedź źle rozumie pytanie i zawiera listę miejsc, w których złośliwe oprogramowanie może ukryć się przed IDS, a nie miejsc, w których może być przechowywane złośliwe oprogramowanie. I czy większość systemów nie używa obecnie pamięci MLC NAND zamiast EEPROM?
@forest Jeśli zainfekujesz te obszary, możesz zaimplementować złośliwe oprogramowanie o określonych możliwościach.Na przykład infekowanie oprogramowania układowego karty sieciowej zapewnia dostęp DMA do całej pamięci systemowej i ukrytego kanału eksfiltracji, którego system operacyjny nie może zobaczyć.Szkodliwe oprogramowanie GPU może ponownie DMA, więc ma pełną kontrolę nad systemem, chociaż nie może się bezpośrednio komunikować (cóż, w rzeczywistości może, jeśli podłączysz telewizor podłączony do Internetu przez HDMI, ze względu na HEC).Procesory graficzne mają również oprogramowanie układowe.Chodzi o to, że te miejsca przechowują kod, a modyfikacja tego kodu pozwala na trwałe ukrywanie rootkita.
To prawda, ale aby dostać się do tych miejsc, potrzebujesz przede wszystkim uprawnień wymaganych do uzyskania umiejętności DMA, więc też nie jest to privesc.Naprawdę nie ma sensu przechodzić na GPU, gdy masz już pierścień 0, poza tym, że musisz ukrywać się przed resztą systemu i potajemnie mieszać z rzeczami związanymi z DMA.Nie pozwoli ci przetrwać restartu.O ile nie źle zrozumiałem pytanie OP, nie pyta on o ukryty rootkit, ale taki, który jest przechowywany w miejscach innych niż dysk twardy, takich jak BIOS itp. (Nie tylko taki, który ukrywa się przed IDS).
Czy nie ma dedykowanych chipów odpowiedzialnych za odczytanie oprogramowania do zainstalowania i sprawdzenie, czy jest podpisane?
@TrevörAnneDenise Niezupełnie;na niektórych platformach sprzętowych istnieją funkcje, które mają na celu wymuszenie integralności i autentyczności kodu (np. ARM TrustZone i UEFI SecureBoot), ale w praktyce okazały się one wadliwe z powodu błędów we wdrożeniu lub słabej obsługi producenta.
@TrevörAnneDenise Problem polega na tym, że systemy te zostały (w dużej mierze) ustawione przez jury w istniejących architekturach w celu rozwiązania problemów, które pojawiły się dziesiątki lat po pierwotnym zaprojektowaniu systemu.W związku z tym funkcje mają zwykle zawiłe wymagania i ograniczenia, co osłabia ich możliwości i zwiększa koszty wdrożenia.Ponadto podpisywanie kodu jest trudną sprawą na maszynach ogólnego przeznaczenia - kto powinien mieć możliwość podpisywania kodu?Jeśli go ograniczysz, ograniczy to swobodę wyboru systemu operacyjnego.Jeśli otworzysz ją komukolwiek, co ma powstrzymać podpisywanie złośliwego oprogramowania?To trudny wybór UX.
To zrozumiałe !
Anders
2016-04-21 14:30:27 UTC
view on stackexchange narkive permalink

Krótka odpowiedź na Twoje pytanie brzmi: tak.

Oto kilka miejsc, w których wirus może się ukryć:

  • W oprogramowaniu sprzętowym klawiatura, mysz, kamera internetowa, głośniki itp. Zasadniczo wszystko, co podłączysz do swojego komputera i ma oprogramowanie sprzętowe do zapisu.
  • Na oprogramowanie sprzętowe dysku twardego. Niby na dysku twardym, ale nadal przetrwa formatowanie. NSA jest prawdopodobnie podejrzanych o to.
  • W Twoim BIOS lub UEFI.
  • W dawnych czasach sektory startowe dyskietek. Było to standardowe wśród wczesnych wirusów, ponieważ w tamtym czasie dyskietki były często używane jako podstawowa pamięć masowa. To samo dotyczy teraz pamięci USB.

Wirus może potencjalnie atakować wszystko, co zawiera dane do zapisu, które są traktowane jako kod wykonywalny. Na komputerze to praktycznie wszędzie. Aby jednak przetrwać ponowne uruchomienie, musiałby to być rodzaj trwałego magazynu. Więc pamięć podręczna procesora może nie być najlepszym miejscem do ukrycia się.

Jednak większość wirusów tego nie robi i po prostu żyje na dysku twardym. Dzieje się tak, ponieważ twórcy wirusów są (racjonalnie) leniwi. Po co wybierać skomplikowane opcje, kiedy jest dużo nisko wiszących owoców?

Ach tak, zapomniałem oprogramowania układowego dysku twardego z mojej odpowiedzi.Travis Goodspeed przeprowadził interesującą rozmowę na ten temat jakiś czas temu, tworząc dysk anty-kryminalistyczny.Pomysł polegał na tym, że normalne wzorce odczytu / zapisu systemu operacyjnego i wzorce poleceń ATA są dość wyjątkowe, ale programy blokujące zapis, oprogramowanie kryminalistyczne i klonery (np. „Dd”) wysyłają zupełnie inne wzorce, co ułatwia wykrycie, kiedy dysk jest analizowany śledczo.Następnie dysk ściera się z powtarzającym się wzorem tekstu do Never Gonna Give You Up Ricka Astleya.
@Polynomial Czy to liczy się jako Rickroll?
wszystko z oprogramowaniem układowym.w tym drukarki
Klawiatury mają zapisywalne oprogramowanie układowe?Wiedziałem, że robią to niektóre drogie myszy, ale nie znałem żadnej klawiatury, która to robiła.Trochę mi przykro, że nawet się o tym dowiedziałem, biorąc pod uwagę, że jestem jedną z tych osób, które nadal wolą używać klawiatury i myszy PS / 2 ... Na żądanie przerywa> jakiś głupi sterownik odpytuje 5000 razy na sekundę, imo.
@forest To nie jest standard, ale myślę, że tak.Jednak mogę się mylić co do tego.
@forest - jakiś czas temu doszło do udowodnionego ataku na oprogramowanie układowe klawiatury Maca, myślę, że zostało zapisane w Hackaday.Nie ma jednak powodu, by sądzić, że są wyjątkowe.W dzisiejszych czasach wszystko ma w sobie mikro, ponieważ jest to po prostu tańsze niż budowanie funkcjonalności w sprzęcie, a bardzo wydajne (i dlatego użytecznie infekowalne) mikroskopy są teraz tak tanie.
http://www.zdnet.com/article/criminals-push-malware-by-losing-usb-sticks-in-parking-lots/ i http://www.instructables.com/id/USB-Mouse-Flash-Drive-Hack /
@Polynomial Czy to nie jest zapis w PoC || GTFO, a szczególnie w przypadku dysków twardych iPoda?Pamiętam, że wprowadził modyfikacje w oprogramowaniu sprzętowym iPoda, które łączyło się z napędem, a nie w samym oprogramowaniu sprzętowym dysku (chociaż oczywiście można zrobić to samo w oprogramowaniu sprzętowym dysku).
@forest Tak, lepszym cytatem byłoby [hddhack w spritesmods] (https://spritesmods.com/?art=hddhack).
Alexey Vesnin
2016-04-21 19:51:38 UTC
view on stackexchange narkive permalink

Jednym z najczęściej spotykanych , ale niezaznaczonych miejsc jest ... urządzenie peryferyjne z „wbudowanym dyskiem ze sterownikami”, takie jak wiele pendrive'ów 3G / 4G. Mają - technicznie - koncentrator w środku, a na nim Generic Storage + samo urządzenie. Aktualizacja oprogramowania układowego zwykle aktualizuje obraz dysku zamontowany do ogólnej części pamięci. Zwykle używany jest tylko do odczytu z komputera, ale można go łatwo zmienić na CD-ROM z automatycznym odtwarzaniem . Ten, którego sam doświadczyłem w latach 2006-2008, to pendrive 4G dla lokalnego operatora komórkowego. Zawierał CD-ROM, taki jak przechowywanie po wyjęciu z pudełka z lokalnego punktu sprzedaży, w zestawie autoodtwarzanie i torjan =) Następna łatka oprogramowania układowego - a pamięć jest ponownie mapowana na dysk twardy i bez wirusa na pokładzie.

Myślałem, że "autorun" zostanie teraz trwale wyłączony
@Xen2050 Zapnij pasy: kiedy aktualizowałem system z Windows 7 do 10, w win7 autorun był wyłączony.W win10 ** został ponownie włączony przez instalator ** w tym samym czasie dokonał migracji wszystkich moich ustawień
Steffen Ullrich
2016-04-21 14:31:09 UTC
view on stackexchange narkive permalink

Głównym problemem każdego rodzaju pamięci masowej jest to, że system musi chcieć wykonać złośliwe oprogramowanie. Podczas uruchamiania systemu operacyjnego oznacza to, że musi on znajdować się gdzieś na dysku twardym jako plik wykonywalny, DLL, sterownik lub podobny. Nie musi tam być w pełni, tj. Może to być niewielka ładowalna rzecz, a reszta może znajdować się gdzie indziej (nawet w sieci).

Ale złośliwe oprogramowanie może być również ładowane przed uruchomieniem systemu operacyjnego. Ładowanie systemu operacyjnego jest kontrolowane przez system BIOS lub UEFI, więc jeśli złośliwe oprogramowanie jest już zawarte na tym etapie, jest poza kontrolą systemu operacyjnego. Na przykład zobacz Hacking Team złośliwe oprogramowanie wykorzystuje rootkita UEFI, aby przetrwać ponowną instalację systemu operacyjnego.

Oprócz tego masz oprogramowanie układowe na karcie sieciowej, karcie graficznej, dysku twardym itp. i często można je wymienić. Dlatego niektóre złośliwe oprogramowanie może się tam ukryć i zmienić zachowanie systemu, zobacz Jak działa włamanie do oprogramowania sprzętowego NSA i dlaczego jest tak niepokojący.

Josh
2016-04-22 03:25:25 UTC
view on stackexchange narkive permalink

Kiedy przeczytałem pytanie wykraczające poza zakres podanego przykładu, przyszło mi do głowy kilka rzeczy. Istnieją inne miejsca, w których wirus może być przechowywany, oprócz dysku twardego lub nawet komputera. Kilka z tych miejsc to bakterie (szczególnie E. coli) i Twoje DNA”.

Według niektórych badań przeprowadzonych około 2010 r., Które wykazały, że E. . coli może nie tylko przechowywać dane (lub wirusa), ale także oferować bioenzyfrowanie.

Niedawno naukowcy odkryli, że mogą przechowywać do 700 TB danych w 1 gramie twojego DNA. Zaletą byłoby to, że jest to długoterminowe przechowywanie, jeśli jest odpowiednio przechowywane.

Dlatego, gdy branża technologiczna zbliża się do integracji technologii i naszej biologii, być może będą musieli szukać dalej niż tylko nasz dysk twardy, BIOS, pamięć, GPU, itp.

Oto kilka innych linków, które mogą być interesujące. Http://www.extremetech.com/extreme/212496-dna-can-now-reliably-store-data-for-2000-years-or-morehttp: //io9.gizmodo.com/5699767/bioencryption-can-store-almost-a-million-gigabytes-of-data-inside-bacteria
Kurczę, nie pomyślałem o tym.
Ciekawe, ale na razie nie jest to odpowiednie miejsce do przechowywania wirusa komputerowego, który ponownie zainfekowałby nowy system operacyjny (na szczęście nie chciałbym fizycznie czyścić płyty głównej, a także instalować „czystego systemu operacyjnego”)
A jeśli przechowujesz wirusa komputerowego w * rzeczywistym * wirusie, wszyscy staniemy się jego nosicielami!
Edheldil
2016-04-21 21:15:11 UTC
view on stackexchange narkive permalink

Oprócz doskonałej odpowiedzi firmy Polynomial, istnieje kilka innych opcji:

  • oczywiście inne urządzenie w sieci (np. inny komputer infekujący udziały samby, router dodający exploita do swojej strony internetowej, ...)
  • Urządzenie USB (np. dysk flash) potajemnie zmieniające się na klawiaturę i wpisując / pobierając złośliwe oprogramowanie na komputer hosta
BlueBerry - Vignesh4303
2016-04-21 14:18:50 UTC
view on stackexchange narkive permalink

Nie jestem pewien, czy jakakolwiek inna część komputera była używana przez wirusa, ale dawno temu natrafiłem na BADBIOS

Co robi zły bios? 

  Kod programu radiowego (SDR), nawet po usunięciu całego sprzętu bezprzewodowego. Mówi się, że infekuje oprogramowanie układowe na pendrive'ach USB. Mówi się, że używa plików TTF (czcionek), najwyraźniej w dużych ilościach, jako wektor podczas rozprzestrzeniania się.

Oprócz tego, że jest to nie tylko wirus atakujący komputer, dostępnych było wiele typów rootkitów, takich jak rootkit PCI

Podsumowując, wirus może znajdować się w systemie BIOS lub z dowolnego źródła, ale wymaga pewnego punktu wykonania, którego brakuje na sprzęcie.

Edytuj po pytaniu:

Jak na pytanie, tak, istniały szanse, że wirus może przenieść się na nowy dysk twardy, na przykład rozważ rootkity, takie jak meduza, ale takie przypadki były rzadkie dla zwykłych użytkowników końcowych.

„Mówi się, że rozprzestrzenia się na nowe komputery ofiar, używając głośników na zainfekowanym urządzeniu, aby rozmawiać z mikrofonem na niezainfekowanym”., czekaj, co?Poprzez fale dźwiękowe?
@ivan_bilan należy tu zauważyć jedną rzecz, były to możliwości, które wyprowadzono teoretycznie, a sprawdzone metody opisują, jak można to zrobić, ale tego rodzaju rootkity, wirusy, spyware były bardzo rzadkie i rzadkie wśród użytkowników końcowych, więc nie trzeba się martwićże http://blog.erratasec.com/2013/10/badbios-features-explained.html#.VxicW7NZNE4 zajrzyj tutaj, jest bardzo szczegółowa odpowiedź
Artykuł w Sophos, do którego nawiązałeś łącze, sugeruje, że badBIOS może być mistyfikacją, ponieważ dotyczyło to tylko Dragosa Ruiu, gościa, który to zgłosił. Nikt nie powtórzył jego ustaleń.
@ivan_bilan http: // www.jocm.us / uploadfile / 2013/1125 / 20131125103803901.pdf
To strasznie dużo „Mówi się”, które wymagają niezliczonych bardzo zaawansowanych funkcji, które są zbieżne tylko dla jednej osoby.Czy cokolwiek z tego zostało kiedykolwiek zweryfikowane?Jestem bardzo sceptyczny i skłaniam się ku przekonaniu, że to po prostu dziwna mistyfikacja lub wyimaginowany epizod.Czytanie innych wątków sugeruje, że to stary kapelusz i nie jestem sam w tej interpretacji tego wszystkiego.
Kiran
2016-04-21 23:48:08 UTC
view on stackexchange narkive permalink

Odpowiedź brzmi TAK, mogą chować się w wielu innych miejscach, nie tylko na dysku twardym, ale także w innych urządzeniach pamięci masowej podłączonych do komputera.

  • Na początku miałem wiele problemów z opcją autouruchamiania CD / DVD w moim Microsoft Windows. Wirusy były tak zdolne do automatycznego tworzenia pliku „Autorun.inf” na nagrywanych nośnikach i używania go do automatycznego uruchamiania i infekowania świeżego komputera po włożeniu dotkniętej pamięci ROM do czytnika.

  • Wirusy używane do automatycznego infekowania dysku flash USB i rozprzestrzeniania się same, jeśli dysk flash zostanie włożony do niezainfekowanego systemu.

Są to dwa główne obszary, w których na pierwszym miejscu należy się skupić.

Jeśli udało Ci się usunąć wirusa z dysku twardego, nie zapomnij sprawdzić rejestru systemu Windows w następujących lokalizacjach: (uwierz mi, że wyłączyłem wiele wykonywanych plików wirusów, usuwając nieznane wpisy z poniższych lokalizacji);

Uruchom „regedit”, aby otworzyć Edytor rejestru systemu Windows, i przejdź do poniższych dwóch lokalizacji pod kątem podejrzanych wpisów rejestru!

HKEY_CURRENT_USER: Oprogramowanie: Microsoft: Windows: CurrentVersion: Uruchom

HKEY_LOCAL_MACHINE: OPROGRAMOWANIE: Microsoft: Windows: CurrentVersion: Run

Myślę, że gdyby dysk twardy został usunięty, system operacyjny (i wszelkie wpisy rejestru) zniknąłby razem z nim.
B. Koksal
2016-04-22 13:52:45 UTC
view on stackexchange narkive permalink

Jeśli używasz niestandardowego procesora działającego jako projekt oparty na architekturze harwardzkiej, wirus może wstrzyknąć pamięć ROM, w której przechowywane są kody instrukcji, ale zmiana wartości ROM w ten sposób jest bardzo trudnym procesem. Wciąż jest to zastrzyk

Stephen Lyons
2016-04-22 22:25:59 UTC
view on stackexchange narkive permalink

Na kartce papieru, którą następnie wpisuje się na klawiaturze (czy poddaje OCR?).

Najbardziej oczywistą jest sygnatura wirusa testowego EICAR:

"X5O! P% @ AP [4 \ PZX54 (P ^) 7CC ) 7} $ EICAR "
" -STANDARDOWY-PLIK-TESTOWY-ANTYWIRUSOWY! $ H + H * "

Jeśli połączysz ze sobą dwa ciągi i zapiszesz go jako plik wykonywalny (plik „.com” na platformie MSDOS lub 32-bitowej platformie Windows), to każdy szanujący się program antywirusowy powinien traktować go tak samo, jakby był wirusem. Zwróć uwagę, że jest to szczególnie możliwe do wprowadzenia za pomocą znaków, które można wygenerować ze zwykłej „klawiatury”.

Co jest oczywistego w przykładzie EICAR?Każde złośliwe oprogramowanie to kod, który należy skompilować lub zinterpretować.Jestem całkowicie zdezorientowany, dlaczego EICAR jest przykładem.Czy to tylko dlatego, że jest wystarczająco krótki, aby przeciętny człowiek mógł pisać?
Nie jestem też pewien, czy wydrukowanie liczy się jako „ukrywanie” zgodnie z pytaniem.
To nie jest wirus.To tylko ciąg testowy dla programów antywirusowych.Nie ma możliwości odtworzenia tego pliku, uruchomienia ani zrobienia czegokolwiek, co robi wirus lub złośliwe oprogramowanie.
Cricco95
2016-04-21 14:10:11 UTC
view on stackexchange narkive permalink

Pamięć podręczna procesora jest resetowana po każdym ponownym uruchomieniu komputera. Możesz także pisać tylko na twardym dysku lub na wymiennych urządzeniach peryferyjnych

Ale czy można go ponownie skonfigurować, aby nie resetować się przez jakiś hack do BIOS-u?
Pamięć podręczna procesora nie jest zarządzana przez BIOS.BIOS to tylko podstawowy system we / wy
Pamięć podręczna procesora to po prostu szybka pamięć RAM.Nie może się utrzymywać po wyłączeniu i włączeniu zasilania procesora.
BIOS jest z pewnością zapisywalny przez system operacyjny, szczególnie w UEFI.Jak myślisz, jak działają narzędzia do aktualizacji przestrzeni użytkownika?
Możesz pisać do BIOS-u i wszystkiego na tym samym chipie, na którym jest BIOS (tabele DSDT itp.), Możesz zapisywać do NVRAM (pamięć CMOS, chociaż nie sądzę, aby można było tam umieścić złośliwe oprogramowanie i prawdopodobnie jest za małeaby umieścić nadający się do wykorzystania ładunek, który zwykle ma tylko 144 bajty), aw nadchodzących procesorach Skylake sam procesor będzie miał wbudowany układ FPGA.Możesz także zapisywać w oprogramowaniu sprzętowym wielu urządzeń PCI, które mogą przeprowadzić atak DMA na twój komputer i które zawierają opcjonalne pamięci ROM.Więc nie, nie tylko twój dysk twardy i urządzenia peryferyjne.
Chociaż twoja odpowiedź zaowocowała interesującym czatem z komentarzami, afaik nie jest to odpowiedź na pierwotne pytanie.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...