it-swarm-eu.dev

Vyrábí se dostatečně čistá instalace, aby se odstranil potenciální malware?

Je formátování disku a přeinstalování systému od nuly (do Ubuntu) natolik, aby se odstranil případný skrytý software spyware, keyloggery atd.?

Nebo může něco přetrvávat nainstalované v bios nebo něco takového? Co tedy dělat?

Abych byl jasný, netýká se běžného malwaru. Otázka je konkrétnější o stroji, ke kterému měli lidé jiný než uživatel po mnoho hodin fyzický přístup. Takže když se uživatel vrací, nemůže být jisté, že se nic nezměnilo, takže uživatel provede novou instalaci po několika týdnech. Je to dost na „vyčištění“?

Hardwarové keyloggery nejsou součástí této otázky, protože by měly pokračovat i po přeinstalování softwaru.

43
Strapakowsky

Je možné, aby malware přetrvával napříč přeformátováním a opětovnou instalací, pokud je dostatečně důmyslný a sofistikovaný: např. Může přetrvávat v bios, ve firmwaru pro periferie (některá hardwarová zařízení) mít firmware, který lze aktualizovat, a proto jej lze aktualizovat pomocí škodlivého firmwaru) nebo virem infikujícím datové soubory na vyměnitelném úložišti nebo na vašich zálohách.

Většina škodlivého softwaru však nic takového ošklivého neudělá. Proto, i když neexistují žádné záruky, přeformátováním a opětovnou instalací byste se měli zbavit téměř veškerého malwaru, s nímž se ve volné přírodě pravděpodobně setkáte.

Osobně bych byl šťastný s přeformátováním a opětovnou instalací. V praxi je to asi dost dobré.

40
D.W.

Je nepochybně možné, aby mírně sofistikovaný útočník nechal malware mimo přímý dosah operačního systému. Opětovná instalace operačního systému znamená maximálně vymazání disku. I tam musíte být opatrní, pokud obnovujete data, která mohla být ohrožena.

Malware lze uložit do jedné z mnoha přepisovatelných vzpomínek, které se skrývají téměř v každé součásti moderního počítače. Tyto paměti ukládají firmware komponenty a obvykle jsou přepisovatelné; stačí znát správnou adresu a výrobci obvykle poskytují nástroje pro upgrade firmwaru, takže útočník musí nahradit svůj vlastní kód (téměř nikdy neexistuje kryptografie).

Například existuje známá (a poměrně jednoduchá) využívaná pro Apple klávesnice , nalezená K. Chen . Chenova prezentace ukazuje, jak abyste využili dostupné paměti (pouze asi 1 kB na rezervu) k otevření prostředí na portu TCP vstřikováním klávesových zkratek) nebo protokolováním klávesových zkratek v kontextu, kde se očekává přístupové heslo, a přehrajte je.

Pro další příklad chyby zabezpečení firmwaru ve volné přírodě zkuste CVE-2010-0104: Přetečení vyrovnávací paměti ASF mezipaměti Broadcom NetXtreme . Jedná se o chybu v některém firmwaru Ethernet, která umožňuje vzdálenému útočníkovi převzít kontrolu nad síťovým firmwarem (a tedy alespoň aktivně zaútočit na veškerý síťový provoz), a potenciálně celého počítače (nevím, jestli existuje exploit za to, ale jakmile budete mít přístup k PCI sběrnici, pochybuji, že je mnoho zakázáno). Zajímavé je, že tuto chybu zabezpečení lze nejsnadněji zneužít na počítači, který je vypnutý, protože chyba je v analyzátoru protokolu vzdálené správy, který zejména zpracovává funkci wake-on-LAN.

Ještě dalším příkladem je reflashing řadiče pevného disk (prezentováno na OHM 201 ).

Tato otázka vyžaduje firmware na grafických kartách. Jak píšu, nikdo neuvedl příklad malwaru v přírodě, ale možnost je určitě tam.

Na typickém počítači neexistuje skutečná ochrana proti ohroženému firmwaru. Budete muset sledovat každou jednotlivou paměť flash v počítači. Existuje snaha vyžadovat ověření firmwaru; na počítačích je nejpokročilejší takové úsilí TPM , které v současné době může zkontrolovat integritu zavaděče BIOS a OS, pokud máte požadovaný hardware a BIOS, který jej podporuje. Nevím o počítači, kde všechny komponenty nechají zkontrolovat integritu svého firmwaru (alespoň předtím, než budou mít přístup k sběrnici PCI). Ve světě smartphonů existuje podobné úsilí s využitím bezpečnostní funkce ARM= čipy , ale opět je to daleko od existence bezpečnostní funkce k zahrnutí veškerého firmwaru do důvěryhodná základna.

V praxi, pokud nejste cíl na vysoké úrovni, nemusíte se příliš obávat. V divočině nejsou žádné exploitace na úrovni dětských skriptů. Možnosti jsou však pro útočníka rozšířené o technické dovednosti (nebo prostředky k najmutí kvalifikovaného hackera).

Firmwarové útoky se postupem času stávají jednodušší. Na Black Hat USA 2012 Jonathan Brossard představil „obecný důkaz konceptového malwaru pro architekturu intel, Rakshasa , schopný infikovat více než sto různých základních desek“. Koncept proof (of public public) infikuje mnoho BIOS a běžných periferií včetně síťových čipů. Je jen otázkou času, než se takové rámce infekce firmwaru objeví ve volné přírodě. NSA bylo hlášeno ), aby se upřednostnilo pěstování spywaru v systému BIOS.

Kromě skrytí kódu mezi různými periferiemi a periferními zařízeními je starou technikou comebacku virus zaváděcího sektoru. Torpig/Sinowal/Anserin je nejnovějším příkladem uvážlivého použití této techniky. Stručně řečeno, jednou infikovaný virus načte nějaký bootstrappingový kód do MBR. Pokud je tato technika použita, lze očekávat, že kód načtený do MBR bude dělat následující:

  1. Zkontrolujte, zda je virus přítomen
  2. Pokud ne, stáhněte a znovu infikujte

Jediný způsob, jak spolehlivě vyčistit něco podobného a vyčistit MBR. Buď přes rozdělení disku, nebo pomocí nástroje jako fixmbr. Samo o sobě nestačí provést přeinstalaci a někdy i formát/přeinstalaci.

8
Scott Pack

Závisí na tom, co považujete za „čistou instalaci“.

Kromě toho, co D.W. zmínil se, některé věci by mohly zůstat např. v „System Volume Information“ a/nebo recyklačních adresářích (adresáře pro obnovení systému a recyklaci bin) na jakýchkoli dalších oddílech, které byste mohli mít. To by se mohlo snadno reaktivovat na nové instalaci Windows, ale pravděpodobně to nebude fungovat na Ubuntu. Pokud se však všechny tyto oddíly dezinfikují, znamená to, že někde v těchto adresářích může být nějaký malware - pravděpodobně nedělá nic, jen čeká na lepší dny, aby se Windows přeinstalovat]: -> ale stále tam .. To, co bych doporučil po instalaci Ubuntu, je instalace clamav, jeho aktualizace a rescaning všeho, co máte.

Pokud opravdu děláte formát všechno, jsou stále body D.W. vyrobeno.

7
pootzko

Škodlivý kód uvnitř BIOSu/firmwaru je možný, ale mnohem realističtější hrozby jsou často přehlíženy. Dva příklady z horní části mé hlavy:

OS Repos/Images: Mohou být ohroženy, takže při každé změně nastavení systémů v podstatě instalujete operační systém nebo software v zadním prostoru.

Mimo správu pásma: HP ILO, Dell IDRAC nebo IPMI. I když přeinstalujete svůj systém, kdokoli jej ohrozil, může již vědět, že správa pásem je mimo přístup s přístupem z konzole.

2
Gabriel Talavera

Myslím, že odpověď na tuto otázku závisí na povaze hrozeb (a útočníků), které považujete za vhodné jednat proti vašemu počítači.

VŠEOBECNĚ - Pokud provedete „skutečný“ reformátování pevného disku počítače (včetně, jak již zmínily některé další plakáty, zaváděcích sektorů), a pak nainstalujte nový operační systém (snad něco jiného než Microsoft Windows). .. ale i Windows to udělají, pokud jej instalujete z DVD, na rozdíl od „obnovy“ z „obnovovacího oddílu“ výrobce, což by samozřejmě mohlo být snadno napadeno stejným malwarem, jaký je důvodem znovu vytvořit O/S na prvním místě), pak pro NEJVYŠŠÍ případy použití za NEJNOVĚJŠÍCH podmínek by to mělo zajistit přijatelnou úroveň důvěry, že počítač nebude „předkompromitován“ do doby, kdy jej poprvé použijete .

Nyní, když jste to řekli, mějte na paměti, jak již dříve uvedené plakáty správně poukazovaly, určitě existuje řada pokročilých útoků škodlivého softwaru a fyzického/BIOSu, které mohou tak vážně ohrozit základní infrastrukturu počítače, takže skutečně pouze 100% bezpečný postup je jen zahodit a přejít na jiné PC.

Podle mých zkušeností jsou tyto typy útoků velmi vzácné, ale pokud (například) jste v prostředí s vysokou hrozbou (např. Jste Číňan nebo íránský disident, jste Edward Snowden atd.), Je nejlepší se nebrat šanci ... zvláště pokud je pravděpodobné, že útočník mohl mít v určitém okamžiku fyzický přístup k dotyčnému počítači. (The NSA je odborník na výsadbu BIOS a hardwarových kompromisů, které je prakticky nemožné odhalit nebo odstranit kdokoli kromě jiné zpravodajské agentury na celostátní úrovni).)

Mimochodem, rád bych poznamenal další hrozbu, na kterou příliš mnoho lidí při inicializaci „nového“ počítače: konkrétně „používá stejné heslo místního přístupu, zejména heslo účtu správce, jaké jsem použil na posledním počítači“. Logika za tím je přímočará: „Na váš„ starý “počítač jsem vložil zadní vrátka a zachytil jsem vaše heslo, takže když uvidím, že se váš„ nový “počítač objeví na internetu ... hádejte, které heslo je první, které Zkusím, když se pokusím proniknout do 'nového' PC? “

Mimochodem, tady je špinavý trik: založte účet „figuríny“ s nulovými oprávněními a nechte si jej pečlivě sledovat pomocí „starého“ hesla ... a počkejte, až uvidíte, co se stane. Ve skutečnosti nastavujete místní „honeypot“, abyste nalákali miscreanty, kteří kompromitovali váš „starý“ počítač. Vždy existuje šance na zneužití výsady, samozřejmě, takže byste měli být opravdu opatrní, abyste zamkli účet „figuríny“, takže i když se k němu někdo úspěšně autentizuje, nemůže nikam jít ani dělat nic.

Jde o to, změnit všechna hesla okamžitě, pokud si myslíte, že jste byli ohroženi. A nedůvěřujte nic, které mohlo být fyzicky ohroženo. Udělejte to a měli byste být v bezpečí před (téměř) všemi pravděpodobnými hrozbami.

1
user53510

Když jsem označil další otázku jako duplikovanou, také jsem psal odpověď, takže tu ponechám jen pro případ, že je pro někoho užitečný:

Abych byl realistický, zbaví se většinou veškerého typu malwaru.

Ale.

<paranoidní režim>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Skrytí dat v „nedostupných“ HDD oblastech: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Ostatní, kterým možná chybím.

</ paranoidní režim>

Shrnout. Existují způsoby infekce, které zůstanou po provedení těchto reinstalačních postupů, ale udržet je " reálné ", tím se zbavíte téměř všech standardních malwarových infekcí.

(, jakmile se během instalace znovu neinfikujete. Instalační pracovníci OS s malwarem/adwarem, jako jsou ti „aktivátoři“ a podobně ... )

0
BBerastegui

Je mým zvykem vynulovat spouštěcí sektor a aktualizovat (nebo jen přeformátovat) systém BIOS i v takových případech, jen proto, abych chránil před obzvláště odolnou perzistencí. Je to téměř zbytečné, protože viry obvykle přetrvávají buď v síti nebo v operačním systému, ale pokud si chcete být jisti, měli byste také podniknout preventivní opatření proti jiným druhům vytrvalosti.

0
Falcon Momot