Pytanie:
Czy złośliwe oprogramowanie może działać na komputerze?
Benoit Esnard
2019-02-12 22:21:43 UTC
view on stackexchange narkive permalink

Właśnie pobrałem i uruchomiłem złośliwe oprogramowanie na swoim komputerze.

Nie mam teraz dużo czasu, więc właśnie go wyłączyłem (wyłączyłem za pomocą menu Start) z nadzieją, że nie będzie w stanie ukraść żadnych danych ani wykonać złośliwych działań, dopóki nie będę mógł ich wysadzić z orbity.

  • Czy to wystarczy, aby uniemożliwić złośliwemu oprogramowaniu kontynuowanie złośliwych działań? / li>
  • Czy złośliwe oprogramowanie może włączyć się na moim komputerze?
  • Czy powinienem również odłączyć go i wyjąć baterię?
Jestem zdezorientowany, jeśli planujesz wystrzelić go z orbity, jakie to ma znaczenie, jeśli robi to, co robi?Ważniejsze jest odcięcie sieci.
_ (zakładam czapkę z folii aluminiowej i zauważam, że nie jestem ekspertem w tej dziedzinie) _ Czy to możliwe, że złośliwe oprogramowanie może zmienić bios, aby budzić się o określonej godzinie?
myślę, że potrzebujesz wyższych pozwoleń, aby zaplanować budzenie rtc lub skonfigurować bios dla WOL ...
Co się stanie, jeśli złośliwe oprogramowanie uruchomi się na laptopie z wlutowaną baterią naładowaną w 100%?
@dandavis i istnieją sposoby na uzyskanie podwyższonych uprawnień, w tym obejście całego systemu operacyjnego.Była prezentacja DefCon, w której złośliwe oprogramowanie zdołało ominąć wszystkie okna, zmodyfikować ROM, a następnie wykonać i pozostać w pamięci całkowicie poza zasięgiem systemu operacyjnego.Więc nawet jeśli uruchomisz Linuksa, nadal będzie on dostępny i miał dostęp do wszelkich danych w pamięci.Krótko mówiąc - niekoniecznie jest to tymczasowa przerwa.Chociaż nie wiem, jakie złośliwe oprogramowanie ma OP.
Istnieją funkcje czasu wybudzania BIOS-u, szkodliwe oprogramowanie może je zaprogramować.Zależy od sprzętu, jak ich uniknąć.Odłączenie z pewnością pomoże.
Skąd wiemy, że złośliwe oprogramowanie nie włączyło już Twojego komputera, aby opublikować to pytanie?Naprawdę, Benoit szybko śpi i jest to wyrafinowane, dobroczynne złośliwe oprogramowanie punktowe ISSE.:-p
„więc właśnie go wyłączyłem (wyłączyłem za pomocą menu Start)” Jeśli używasz systemu Windows 10, jest całkiem prawdopodobne, że komputer jest w stanie wstrzymania / hibernacji zamiast całkowitego wyłączenia.
@enon: Proste, wylutuj akumulator.
Pięć odpowiedzi:
LSerni
2019-02-12 23:21:05 UTC
view on stackexchange narkive permalink

TL; DR Tak, ale to mało prawdopodobne. Dla pewności odłącz komputer lub upewnij się, że nie może się z niczym połączyć.

Kilka systemów operacyjnych - w szczególności Windows 10 - ma możliwość ustawienia „ automatycznego wybudzania”. przy użyciu odpowiednich sterowników i związanego z nimi skomplikowanego zarządzania sprzętem.

W rezultacie JEŚLI (a to jest duże, jeśli!) złośliwy program uzyskał wystarczający dostęp, aby system operacyjny może po prostu poprosić system o zrobienie tego w jego imieniu.

W niektórych systemach (które złośliwe oprogramowanie musi być w stanie rozpoznać i zaplanować ), dotyczy to również „prawdziwego wyłączenia”: dodatkowe obwody włączą komputer o określonej godzinie wbudowanego zegara czasu rzeczywistego. W mniej programowy sposób jest to dostępne w niektórych BIOS-ach dla komputerów stacjonarnych („Włącz automatycznie: [] Nigdy; [] Po utracie zasilania; [] Codziennie o określonej godzinie: : ” lub podobne , w konfiguracji BIOS).

Następnie system włączy się automatycznie po pewnym czasie, na przykład w czasie, gdy prawdopodobnie będziesz spać.

Więc:

  • istnieje wsparcie sprzętowe RTC lub więcej (zintegrowane systemy zarządzania, powszechne na komputerach firmowych)
    • złośliwe oprogramowanie musiało już przejąć kontrolę nad systemem, ponieważ funkcje RTC zwykle wymagają dostęp na poziomie administratora / administratora.
  • Zasilanie RTC Brak wsparcia sprzętowego lub nie jest używany:
    • jeśli złośliwe oprogramowanie przejęło kontrolę nad systemem, może zastąpiły procedurę zamykania zwykłym przejściem w stan uśpienia i skonfigurowały wyjście z trybu uśpienia w późniejszym czasie.

Ale czy pojawiła się którakolwiek z tych opcji? Prawdopodobnie nie. Większość złośliwego oprogramowania polega na tym, że jest uruchamiane nieświadomie i może działać bez wykrycia przez pewien czas. „Symulacja wyłączenia” jest przydatna tylko w bardzo specyficznych scenariuszach (a opcja sprzętowa jest dostępna tylko w stosunkowo niewielu systemach) i nie sądzę, aby twórca złośliwego oprogramowania miał się czym martwić. Zwykle korzystają z trzeciej i najłatwiejszej opcji:

  • niektóre ze zwykłych automatycznych sekwencji włączania lub logowania (autoexec, skrypty startowe, zaplanowane zadania, uruchamianie usług itd.) Są odwracane, tak że dodatkowy kod, a mianowicie złośliwe oprogramowanie, jest uruchamiany dyskretnie.

W przypadku „ukierunkowanego” złośliwego oprogramowania, zaprojektowanego z myślą o konkretnej ofierze i dostosowanego do możliwości konkretnego celu, a nie do dostępnego podzbioru na przeciętnej zainfekowanej maszynie wszystkie powyższe kwalifikacje nie wchodzą w grę.

Podobny problem miałbyś, gdyby wirus zainfekował Twój BMC (mógłby użyć IPMI do włączenia systemu).Nie stanowi to jednak dużego ryzyka dla maszyn klasy konsumenckiej.Sprzęt BMC jest zwykle widoczny tylko na serwerach.
@bta Intel ME i AMD PSP na komputerach stacjonarnych pełnią zasadniczo te same funkcje, co zaawansowany BMC.
_ „Wymaga to, aby złośliwe oprogramowanie już (…) zastąpiło procedurę zamykania zwykłym pójściem w stan uśpienia” _ Niezbyt dla nowoczesnego x86, patrz [odpowiedź Matija Nalisa] (https://security.stackexchange.com/a / 203450/145686).
Harmonogram zadań systemu Windows ma dostęp do funkcji budzenia ACPI RTC i będzie z niej korzystał.Zwykle budzi się tylko z S3 i S4, ale są systemy, które nie rozróżniają S4 i S5 na poziomie acpi w celu wybudzenia.Kiedyś miałem taką fajną (vista) maszynę, która uruchamiała się w środku nocy, aby sprawdzić aktualizacje systemu Windows ...
„Wake on LAN” / IME nie ma nic wspólnego z Windows 10, jest to funkcja sprzętowa, a nie funkcja oprogramowania
To nie jest tylko Windows 10. Dziesiątki lat temu Twój BIOS miał już funkcję „budzenia po alarmie”, która uruchamia komputer o określonej godzinie.Twój system operacyjny może ustawić ten czas alarmu.Nie potrzebujesz do tego trybu uśpienia, jeśli złośliwe oprogramowanie działa również podczas normalnego uruchamiania komputera.
„odłącz komputer” -> czy złośliwe oprogramowanie może go ponownie podłączyć?;)
Matija Nalis
2019-02-13 01:48:16 UTC
view on stackexchange narkive permalink

Jak wspominali inni, jest to całkiem możliwe na większości sprzętu komputerowego, chociaż obecnie nie jest to bardzo prawdopodobne (ponieważ większość złośliwego oprogramowania nie przeszkadza).

To, co powiedzieli inni, jest jednak niemożliwe źle . Oprogramowanie faktycznie MOŻE obudzić komputer, który był regularnie wyłączany za pomocą poleceń „shutdown” lub „poweroff” (GNU / Linux) lub klikając przycisk „Start” i następnie „Zamknij” (MS Windows) lub przez ręczne naciśnięcie przycisku zasilania.

Ta funkcja nazywa się budzenie przez RTC i umożliwia oprogramowaniu planowanie wybudzania o określonej porze dnia . Jest kontrolowany przez układ zegara czasu rzeczywistego (chip, który śledzi czas, gdy komputer jest wyłączony i działa na własną baterię CR2032).

Jeśli używasz GNU / Linux, kontrolę nad tą funkcjonalnością zapewnia polecenie systemowe rtcwake (8) .

Jako funkcja pokrewna, wiele komputerów ma również funkcję Wake on LAN, która umożliwia innym komputerom i routerom włączanie komputera przez przewodową sieć Ethernet (zwróć uwagę, że ta funkcja musi być włączone na twoim komputerze i to, czy domyślnie jest włączone, zależy od twojego BIOSu).

mobo nie obserwuje włącznika, zasilacz tak.Mobo po prostu łączy małą listwę guzikową z 24-pinowym złączem ATX.
Mówię ludziom, że podobnie jak Westley w The Princess Bride, komputer, który jest „wyłączony”, nie jest całkowicie wyłączony.Jest po prostu wyłączony.Niewielka część płyty głównej monitoruje „wyłącznik zasilania” z przodu obudowy [poprowadzony przez zasilacz za pomocą gwoździ @Matija], wyjście klawiatury pod kątem sygnału „włączania zasilania”, a także może obserwować charakterystyczny pakietuderzyć w kartę sieciową ...
@MontyHarder: To są tak naprawdę różne części, a logika przełącznika zasilania jest prawdopodobnie sprzętowa.Część WOL jest prawdopodobnie zaimplementowana w oprogramowaniu układowym, więc jest to oprogramowanie.
Należy również pamiętać, że od pojawienia się [zasilaczy ATX] (https://en.wikipedia.org/wiki/ATX) w około 1995 r. Większość komputerów PC nie ma już fizycznego wyłącznika (można wyciągnąć kabellub rzadko przez mechaniczny przełącznik z tyłu zasilacza ATX w pobliżu kabla AC).Jeśli więc komputer można „wyłączyć” za pomocą oprogramowania (klikając przycisk wyłączania), prawie zawsze można go również włączyć za pomocą oprogramowania.Tak więc w rzeczywistości nowoczesne komputery nigdy nie są wyłączone, a to, co nazywamy „wyłączeniem”, to w rzeczywistości stan [ACPI G2 / S5] (https://en.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface#Power_states)
Funkcja Wake on LAN działa tylko wtedy, gdy kontrolujesz inny komputer w tej samej sieci LAN, która jest * włączona *.Zwróć uwagę, że określenie „włączone” niekoniecznie oznacza głośne obracające się wentylatory i dyski.Każde urządzenie, które ma wystarczającą ilość energii elektrycznej i aktywności, aby wydać pakiet LAN, czy to urządzenie IoT na bateriach, może wydać pakiet WoL
@MatijaNalis - Uważam, że wszystkie zasilacze sprzedawane w Wielkiej Brytanii są prawnie zobowiązane do posiadania fizycznego przełącznika, chociaż nikt nigdy go nie używa w normalnych okolicznościach.Może to dotyczyć całej UE.
@MSalters To nie może być wszystko sprzętowe, ponieważ jeśli naciśniesz "wyłącznik zasilania" podczas pracy komputera, inicjuje on bezpieczne zamknięcie (opróżnienie buforów dyskowych, zaparkowanie głowic do odczytu / zapisu itp.) Przed wejściem do "główniewyłączony ”.Pamiętam, kiedy to nie była prawda (przed ATX).Możliwe, że istnieje składnik sprzętowy, który śledzi ten stan i umożliwia „włączanie” bez żadnego oprogramowania, ale właśnie dlatego, że płyty główne mają funkcję Wake on LAN (i często Wake on Modem), która wymaga pewnego rodzaju przetwarzania na niskim poziomie, jest to rozsądnezałożyć, że działają podobnie.
@MatijaNalis: Odstawili przełączniki.Spójrz na tył komputera.Obok kabla znajduje się przełącznik 1 0. Przełącz go na 0, aby mocno wyłączyć zasilanie.
@MatijaNalis z bateriami zapasowymi, które wystarczają na dwie godziny, gdy maszyna jest włączona, wyciąganie kabla również nie wchodzi w grę ...
Jest jeden "wyłącznik zasilania" i wyłącznik zasilacza (bardziej funkcja bezpieczeństwa).Stare komputery miały również prawdziwy wyłącznik zasilania po zasilaczu.
Naprawdę stare komputery miały tylko prawdziwy wyłącznik zasilania.Na moim pierwszym była to duża czerwona dźwignia, którą można było przełączyć, najlepiej po uruchomieniu polecenia „park” z wiersza poleceń, aby zaparkować głowicę dysków twardych.
@Joshua Mam tu nowiutkiego Lenovo, dwa 2-letnie HP i 3-letniego Dell'a i żaden z nich nie ma twardego wyłącznika zasilania.Uważam, że Twoje urządzenie musi spełniać określony limit mocy w trybie miękkiego trybu gotowości lub możesz ustawić twardy przełącznik zasilania, aby go spełnić.
J.A.K.
2019-02-12 23:36:27 UTC
view on stackexchange narkive permalink

Edycja: tak, można to zrobić. Jak zauważa Majita Nalis, świetna odpowiedź, nowoczesne systemy mają wbudowaną funkcję, która pozwala ustawić „alarm” rozruchu z oprogramowania.

Scenariusz, który może być również realistyczny, polega na tym, że złośliwe oprogramowanie utrwala się na innym urządzenie. Powiedzmy, że Twój router ma domyślne poświadczenia lub lukę w zabezpieczeniach, które może spowodować rozprzestrzenianie się złośliwego oprogramowania. Ktoś mógłby wtedy włączyć twój komputer, gdyby miał włączoną funkcję Wake-on-Lan.

Ale po sprawdzeniu WoL i RTC wakeup nadal nie jesteś całkowicie bezpieczny. Większość złośliwego oprogramowania będzie działać w pierścieniu 3, a jeśli naprawdę nie masz szczęścia w pierścieniu 0 jako moduł jądra lub sterownik systemowy. Oba nie działają, gdy system jest faktycznie wyłączony, a jeśli nie ustawiono zegara, zasadniczo nie mogą już kontrolować maszyny.

Istnieją jednak tryby wykonywania poniżej pierścienia 0, takie jak SMM i inne oprogramowanie, które zarządza energią. Jednak złośliwe oprogramowanie nadużywające tego jest niezwykle rzadkie, jedynym przykładem na wolności, jaki mógłbym nazwać, jest złośliwe oprogramowanie NSA o kryptonimie DEITYBOUNCE i LoJax prawdopodobnie rozprzestrzeniane przez Fancy Bear.

Zobacz doskonałą odpowiedź Forests, jak to się może stać.

https://security.stackexchange.com/a/180107/121894

Czy masz informacje o złośliwym oprogramowaniu, takie jak hash lub nazwisko? ? To pozwoliłoby na bardziej szczegółową odpowiedź.

LoryOne
2019-02-13 03:41:26 UTC
view on stackexchange narkive permalink

Pakiet WOL ma określoną strukturę; Nie jest powiedziane, że można go wysłać przez internet lub przekierować przez intranet, aby dotrzeć do celu.Komputer jest wyłączony, gdy kabel żywieniowy jest odłączony lub jest podłączony, ale wyłączony.Wakeup RTC jest fajny, ale przypuszczam, że może być używany tylko Moim zdaniem niektóre funkcje oprogramowania SMM, jeśli nie są odpowiednio skonfigurowane, a niektóre z nich domyślnie wyłączone, mogą być potencjalnie niebezpieczne dla zdalnego zarządzania Najlepszym wyborem jest odłączenie kabla internetowego lub wyłączenie karty bezprzewodowej, dopóki nie masz pewności oczyścić komputer przez infekcję wirusową.

W specjalnych warunkach ramka WOL może zostać wysłana przez Internet jako skierowana transmisja IP lub może zostać wysłana z zhakowanego routera lub innego urządzenia w sieci LAN.--- Alarm RTC w komputerach ATX (wprowadzony w 1995 roku i później szeroko przyjęty) został zaprojektowany tak, aby mógł włączać komputer ze stanu całkowitego wyłączenia.Zasilacz ATX zapewnia 5 woltów w trybie gotowości, nawet gdy jest wyłączony.Ma to na celu umożliwienie funkcji takich jak WOL, włączanie za pomocą klawiatury itp. --- SMM jest używany do funkcji APM, ale teoretycznie nie jest konieczne do implementacji dwóch wspomnianych funkcji budzenia.
Ed Kideys
2019-02-15 18:18:52 UTC
view on stackexchange narkive permalink

Root Kit potrafi to zrobić i wiele więcej. Jednak rootkity są zwykle używane jako oprogramowanie szpiegujące do zbierania informacji z systemu bez możliwości wykrycia, że ​​system jest zainfekowany. Włączanie systemu, robienie psot, a następnie wyłączanie nie byłoby przydatne z punktu widzenia oprogramowania szpiegującego, ponieważ nie zna on harmonogramu użytkowania komputera i byłoby trudne do przewidzenia.

Naprawdę dobrze napisany root kit nie byłby wykrywalny dla systemu, który nie ma równie dobrze napisanej ochrony przed złośliwym oprogramowaniem. W Twoim przypadku złośliwe oprogramowanie zostało wykryte. Uważaj się za szczęściarza. Aby chronić swój system przed szkodliwym oprogramowaniem typu root kit:

  1. nigdy, nigdy nie loguj się jako użytkownik root lub administrator !! Zawsze używaj „sudo” (linux) lub „uruchom jako” (Windows), jeśli chcesz zrobić coś w całym systemie.

  2. Upewnij się, że masz bardzo silnego użytkownika root ( administratora) i zmieniaj je tak często, jak to możliwe.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...