it-swarm-eu.dev

Effettuare un'installazione pulita è sufficiente per rimuovere potenziali malware?

La formattazione del disco e la reinstallazione del sistema da zero (su Ubuntu) sono sufficienti per rimuovere qualsiasi potenziale software nascosto software spyware, keylogger ecc.?

O può ancora persistere qualcosa installato nel BIOS o qualcosa del genere? Cosa fare allora?

Per essere chiari, non preoccupati per i malware comuni. La domanda è più specifica su una macchina a cui persone diverse dall'utente hanno avuto accesso fisico per molte ore. Quindi quando l'utente ritorna non può essere sicuro che nulla sia cambiato, quindi l'utente effettua una nuova installazione dopo alcune settimane. È abbastanza per "pulirlo"?

I keylogger hardware non fanno parte di questa domanda in quanto dovrebbero continuare dopo la reinstallazione del software.

43
Strapakowsky

È possibile che il malware persista attraverso una riformattazione e una reinstallazione, se è sufficientemente ingegnoso e sofisticato: ad esempio, può persistere nel BIOS, nel firmware per le periferiche (alcuni dispositivi hardware avere un firmware che può essere aggiornato e quindi può essere aggiornato con un firmware dannoso) o con un virus che infetta i file di dati su un archivio rimovibile o sui backup.

Tuttavia, la maggior parte dei malware non fa nulla di così brutto. Pertanto, sebbene non vi siano garanzie, la riformattazione e la reinstallazione dovrebbero eliminare quasi tutto il malware che è probabile che si verifichino in natura.

Personalmente, sarei felice di riformattare e reinstallare. Probabilmente è abbastanza buono in pratica.

40
D.W.

È sicuramente possibile che un utente malintenzionato leggermente sofisticato lasci il malware fuori dalla portata diretta del sistema operativo. Reinstallare il sistema operativo significa al massimo una pulizia del disco. Anche lì, è necessario fare attenzione se si ripristinano dati che potrebbero essere stati compromessi.

Il malware può essere archiviato in uno dei tanti ricordi riscrivibili che si nascondono in quasi tutti i componenti di un computer moderno. Queste memorie memorizzano il componente firmware e di solito sono riscrivibili; basta sapere l'indirizzo giusto e i produttori di solito forniscono strumenti per aggiornare il firmware, quindi tutto ciò che l'attaccante deve fare è sostituire il proprio codice (non c'è quasi mai alcuna crittografia).

Ad esempio, esiste un noto (e abbastanza semplice) exploit per Apple tastiere , trovato da K. Chen . La presentazione di Chen mostra come per sfruttare la memoria disponibile (solo circa 1kB di riserva) per aprire una Shell su una TCP mediante l'iniezione di sequenze di tasti o registrare le sequenze di tasti in un contesto in cui è prevista una passphrase e riprodurli.

Per un altro esempio di vulnerabilità del firmware in natura, provare CVE-2010-0104: overflow buffer ASF del firmware di gestione NetXtreme di Broadcom . Questo è un bug in alcuni firmware Ethernet che consente a un utente malintenzionato remoto di assumere il controllo del firmware di rete (e quindi almeno attivamente attirare tutto il traffico di rete) e potenzialmente dell'intero computer (non so se c'è un exploit per questo, ma una volta che hai accesso al bus PCI, dubito che molto sia bloccato). È interessante notare che questa vulnerabilità è più facile da sfruttare su un computer spento, poiché il bug si trova in un parser di protocollo di gestione remota, che in particolare gestisce wake-on-LAN.

Ancora un altro esempio è reflashing di un controller del disco rigido (presentato a OHM 201 ).

Questa domanda richiede il firmware sulle schede video. Mentre scrivo, nessuno ha fornito un esempio di malware in natura, ma la possibilità è sicuramente lì.

Non esiste una protezione reale contro il firmware compromesso su un tipico PC. Dovresti tenere traccia di ogni singolo pezzo di memoria flash nel computer. Ci sono sforzi per richiedere l'autenticazione del firmware; sui PC, lo sforzo più avanzato è TPM , che attualmente può verificare l'integrità del BIOS e del bootloader del sistema operativo, se si dispone dell'hardware richiesto e un BIOS che lo supporta. Non sono a conoscenza di un PC in cui tutti i componenti hanno il loro firmware verificato per l'integrità (almeno, prima che gli sia consentito l'accesso al bus PCI). Ci sono sforzi simili nel mondo degli smartphone sfruttando funzionalità di sicurezza di ARM chip , ma ancora una volta è molto lontano dall'esistenza di funzionalità di sicurezza per l'inclusione di tutto il firmware in la base attendibile.

In pratica, se non sei un target di alto profilo, non devi preoccuparti molto. Non ci sono exploit in natura a livello di script kiddie. Ma le possibilità sono numerose per il tuo aggressore con abilità tecniche (o i mezzi per assumere un hacker esperto).

Gli attacchi del firmware stanno diventando più facili nel tempo. Al Black Hat USA 2012, Jonathan Brossard ha presentato “una prova generica del malware concettuale per l'architettura Intel, Rakshasa , in grado di infettare più di cento diverse schede madri”. La prova di concetto (non rilasciata pubblicamente) infetta molti BIOS e periferiche comuni, inclusi i chip di rete. È solo questione di tempo prima che tali framework di infezione del firmware appaiano allo stato brado. Il NSA è stato segnalato per favorire la creazione di spyware nel BIOS.

Oltre a nascondere il codice tra varie e varie periferiche, una vecchia tecnica che sta tornando è il virus del settore di avvio. Torpig/Sinowal/Anserin è l'esempio più recente di uso giudizioso di questa tecnica. In breve, una volta infettato, il virus caricherà un codice di bootstrap nell'MBR. Se si utilizza questa tecnica, è possibile aspettarsi che il codice caricato nell'MBR esegua le seguenti operazioni:

  1. Controlla se il virus è presente
  2. In caso contrario, scarica e ri-infetta

L'unico modo per ripulire in modo affidabile qualcosa del genere per ripulire l'MBR. Tramite il ricondizionamento o usando uno strumento come fixmbr. Pertanto, semplicemente fare una reinstallazione e talvolta un formato/reinstallazione non è sufficiente.

8
Scott Pack

Dipende da ciò che consideri "un'installazione pulita".

Oltre a ciò che D.W. citato, alcune cose potrebbero rimanere ad esempio nelle "Informazioni sul volume del sistema" e/o nelle directory di riciclo (directory di ripristino e riciclo del sistema) su eventuali partizioni aggiuntive che si potrebbero avere. Ciò potrebbe facilmente riattivarsi su una nuova installazione di Windows, ma molto probabilmente non funzionerà su Ubuntu. Ad ogni modo, se tutte queste altre partizioni non vengono disinfettate, significa che potrebbe esserci ancora del malware da qualche parte in queste directory - probabilmente non sta facendo nulla, solo aspettando giorni migliori, per reinstallare Windows]: -> ma ancora lì .. Quello che ti suggerirei di fare dopo aver installato Ubuntu è installare clamav, aggiornarlo e ripetere la scansione di tutto ciò che hai ..

Se davvero formatti tutto, ci sono ancora i punti D.W. fatto.

7
pootzko

Codice dannoso all'interno del BIOS/firmware è possibile, ma molte minacce più realistiche sono spesso trascurate. Due esempi dalla parte superiore della mia testa:

Repos/immagini del sistema operativo: potrebbero essere compromessi, quindi essenzialmente si reinstalla un sistema operativo o un software con backdoor ogni volta che si reinventa il sistema.

Gestione fuori banda: HP ILO, Dell IDRAC o IPMI. Anche reinstallando il sistema, chiunque lo abbia compromesso potrebbe già sapere che è disponibile una gestione fuori banda con accesso alla console.

2
Gabriel Talavera

Penso che la risposta a questo dipenda dalla natura delle minacce (e degli aggressori) che considerate nell'ambito di azione contro il vostro PC.

IN GENERALE - Se si esegue un "reale" riformattazione del disco rigido del computer (inclusi, come hanno già menzionato altri poster, i settori di avvio), quindi si installa un nuovo sistema operativo (qualcosa di diverso da Microsoft Windows, si spera. .. ma anche Windows lo farà, fintanto che lo stai installando da un DVD invece di limitarti a "ripristinare" dalla "partizione di ripristino" del produttore, che ovviamente potrebbe essere stata facilmente compromessa dallo stesso malware di cui è la ragione ricreare l'O/S in primo luogo), quindi per LA MAGGIOR PARTE dei casi d'uso in PIÙ condizioni, ciò dovrebbe fornire un livello accettabile di sicurezza che il computer non sarà "pre-compromesso" al momento della prima utilizzazione .

Detto questo, tieni presente che, come hanno correttamente sottolineato i poster precedenti, ci sono sicuramente una serie di malware avanzati e attacchi di manomissione fisici/BIOS, che possono compromettere così gravemente l'infrastruttura di base del computer, in modo che solo il 100% il modo di agire sicuro è solo spazzarlo e passare a un altro PC.

Nella mia esperienza, questi tipi di attacchi sono molto rari, ma se (per esempio) ti trovi in ​​un ambiente ad alta minaccia (ad esempio sei un dissidente cinese o iraniano, sei Edward Snowden, ecc.) È meglio non prendere una possibilità ... in particolare se è probabile che un utente malintenzionato possa, ad un certo punto, avere avuto accesso fisico al PC in questione. (Il NSA è esperto nel piantare BIOS e compromessi hardware che sono praticamente impossibili da rilevare per chiunque, ad eccezione di un'altra agenzia di intelligence a livello di stato nazionale).

Per inciso, vorrei notare un'altra minaccia di cui troppe persone dimenticano, quando si inizializza un "nuovo" PC: vale a dire "usando la stessa password di accesso locale, in particolare la password dell'account amministratore, che ho usato sull'ultimo PC". La logica dietro questo è semplice: "Ho messo una backdoor sul tuo 'vecchio' PC e ho intercettato la tua password; quindi quando vedo il tuo 'nuovo' PC apparire su Internet ... indovina quale password è la prima che Ci proverò, quando provo a entrare nel "nuovo" PC? "

Ecco un trucco sporco, a proposito: imposta un account "fittizio", con zero privilegi e fallo monitorare attentamente, usando la "vecchia" password ... e attendi di vedere cosa succede. In effetti stai installando un "honeypot" locale per attirare i criminali che hanno compromesso il tuo "vecchio" PC. C'è sempre la possibilità di un exploit di elevazione dei privilegi, ovviamente, quindi dovresti stare davvero attento a bloccare l'account "fittizio" in modo che anche se qualcuno si autentica con successo, non possono andare da nessuna parte o fare qualcosa.

Il punto è, cambiare tutte le password, immediatamente, se pensi di essere stato compromesso. E non fidarti di nulla che potrebbe essere stato compromesso fisicamente. Fallo e dovresti essere al sicuro da (quasi) tutte le possibili minacce.

1
user53510

Mentre contrassegnavo un'altra domanda come duplicata, stavo anche scrivendo la risposta, quindi la lascio qui nel caso in cui sia utile per qualcuno:

Per essere realistici, questo eliminerà il tipo di malware principalmente tutti.

Ma.

<modalità paranoica>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Nascondere i dati in aree HDD "non raggiungibili: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Altri che potrei mancare.

</ modalità paranoica>

Riassumere. Ci sono ci sono modi di infezione che rimarranno dopo aver eseguito quelle procedure di reinstallazione, ma per mantenerlo " reale", con che ti libererai di quasi tutte le infezioni malware standard.

( Non appena non ti infetti di nuovo ovviamente durante l'installazione. Installatori di SO con malware/adware come quegli "attivatori" e simili ...)

0
BBerastegui

In questi casi è mia abitudine azzerare il settore di avvio e aggiornare (o semplicemente eseguire il reflash) del BIOS, solo per evitare una persistenza particolarmente resiliente. Non è necessario quasi sempre, poiché di solito i virus persistono nella rete o nel sistema operativo, ma se vuoi essere sicuro devi prendere precauzioni anche contro altri tipi di persistenza.

0
Falcon Momot