it-swarm-eu.dev

Un malware può alimentare un computer?

Ho appena scaricato ed eseguito un malware sul mio computer.

Non ho molto tempo in questo momento, quindi l'ho appena spento (disattivato tramite il menu Start), sperando che non sarà in grado di rubare alcun dato o fare attività dannose fino a quando non posso nuotarlo dall'orbita.

  • È sufficiente per impedire al malware di continuare a svolgere attività dannose?
  • Il malware può alimentare il mio computer?
  • Devo anche scollegarlo e rimuovere la batteria?
88
Benoit Esnard

TL; DR Sì, ma è improbabile. Per sicurezza, scollega il PC o assicurati che non possa collegarsi a nulla.

Diversi sistemi operativi, in particolare Windows 10, hanno la possibilità di impostare " wakeup automatico ", utilizzando i driver appropriati e la relativa e complicata gestione dell'hardware.

Di conseguenza, [~ # ~] if [~ # ~] (e questo è un grande if!) Un programma malware ha ottenuto l'accesso sufficiente per avere il sistema operativo fa le sue offerte, ha un modo semplicemente chiedi il sistema stesso per farlo per suo conto.

Su alcuni sistemi (che il malware deve essere in grado di riconoscere e pianificare), ciò vale anche per il "vero spegnimento": un circuito aggiuntivo accenderà il computer in un momento preselezionato del Real Time Clock a bordo. In un modo meno accessibile dal software questo è disponibile su alcuni BIOS desktop ("Accensione automatica: [] Mai; [] Dopo l'interruzione dell'alimentazione; [] Ogni giorno a una determinata ora: : "o simile, nell'impostazione del BIOS).

Quindi, il sistema si accenderà automaticamente dopo qualche tempo, ad esempio in un momento in cui è probabile che si sia addormentati.

Così:

  • c'è RTC supporto hardware powerup, o più (sistemi di gestione integrati, comuni sui computer aziendali)
    • il malware deve già aver preso il controllo del sistema, poiché RTC di solito richiedono l'accesso a livello di amministratore/root.
  • Supporto HW di accensione RTC non presente o non utilizzato:
    • se il malware ha preso il controllo del sistema, può aver sostituito la procedura di spegnimento con una semplice sospensione e impostare le cose per uscire dalla modalità sospensione più tardi.

Ma did si verifica una di queste opzioni? Probabilmente no. La maggior parte dei malware fa affidamento sull'esecuzione involontaria e sulla capacità di funzionare senza essere rilevata per qualche tempo. La "simulazione di spegnimento" è utile solo in scenari molto specifici (e l'opzione hardware è disponibile solo su un numero relativamente ridotto di sistemi), e non penso che valga la pena che uno scrittore di malware si preoccupi di loro. Di solito vanno con la terza e più semplice opzione:

  • alcune delle consuete sequenze automatiche di accensione o accesso (autoexec, script di avvio, attività pianificate, servizi di esecuzione e così via) vengono sovvertite in modo che il codice aggiuntivo, vale a dire il malware, venga eseguito silenziosamente.

Per un malware "mirato", progettato pensando a una vittima specifica e adattato alle capacità del bersaglio specifico, piuttosto che al sottoinsieme disponibile sulla macchina infetta media, tutte le qualifiche sopra non entrerebbero in gioco.

126
LSerni

Come altri hanno già detto, è abbastanza possibile sulla maggior parte dell'hardware del PC, anche se attualmente non molto probabile (poiché la stragrande maggioranza dei malware non disturba).

Ciò che altri hanno detto non è possibile è tuttavia sbagliato . Il software effettivamente PUO 'riattivare un computer che è stato regolarmente spento tramite i comandi "shutdown" o "poweroff" (GNU/Linux) o facendo clic sul pulsante "start" e quindi su "Shutdown" (MS Windows) o premendo manualmente il pulsante di accensione.

La funzione si chiama RTC wakeup e consente al software di pianificare la sveglia a un'ora specifica del giorno. È controllato da Chip orologio in tempo reale (chip che tiene traccia del tempo mentre il computer è spento e si scarica con la sua batteria CR2032).

Se si esegue il sistema GNU/Linux, il controllo di tale funzionalità è fornito dal comando di sistema rtcwake(8).

Come funzionalità correlata, molti computer dispongono anche di una funzione denominata Wake on LAN , che consente ad altri computer e router di accendere il computer su una rete Ethernet cablata (notare che questa funzionalità deve essere abilitata sul computer e se l'impostazione predefinita è attivata dipende dal BIOS).

66
Matija Nalis

Modifica: sì, può essere fatto. Come osserva la grande risposta di Majita Nalis, i sistemi moderni dispongono di una funzione integrata che consente di impostare un "allarme" di avvio dal software.

Uno scenario che potrebbe anche essere realistico è che il malware stia diventando persistente su un altro dispositivo. Supponiamo che il tuo router abbia le credenziali predefinite o una vulnerabilità, il malware potrebbe essersi diffuso. Qualcuno potrebbe quindi accendere il computer se fosse abilitato wake-on-lan.

Ma dopo aver verificato WoL e RTC wakeup non sei ancora completamente sicuro. La maggior parte dei malware verrà eseguita nel ring 3 e se sei davvero sfortunato nel ring 0 come modulo kernel o driver di sistema. Entrambi non funzionano quando il sistema è effettivamente spento e, se non è stato impostato alcun orologio, fondamentalmente non possono più esercitare il controllo sulla macchina.

Esistono tuttavia modalità di esecuzione al di sotto dell'anello 0 come SMM e altri firmware, che gestiscono il risparmio energetico. Tuttavia, l'abuso di malware è estremamente raro, l'unico esempio in natura che potrei nominare è il malware di classe NSA nome in codice DEITYBOUNCE e il LoJax probabilmente diffuso da Fancy Bear.

Vedi Foreste risposta eccellente su come ciò può accadere.

https://security.stackexchange.com/a/180107/121894

Hai informazioni sul malware come un hash o un cognome? Ciò consentirebbe una risposta più dettagliata.

20
J.A.K.

Il pacchetto WOL ha una struttura particolare; Non è detto che potrebbe essere inviato su Internet o instradato su Intranet per raggiungere l'obiettivo. Un computer è spento quando il cavo di alimentazione è scollegato o è collegato ma è spento. Il RTC wakeup è bello, ma suppongo che potrebbe essere usato solo in modalità sleep. A mio parere alcune funzionalità del firmware SMM, se non correttamente configurate e alcune disabilitate come predefinite, potrebbero essere potenzialmente pericoloso per la gestione remota. La scelta migliore è scollegare il cavo Internet o disabilitare la scheda wireless fino a quando non si è sicuri di aver disinfettato il PC dall'infezione da virus.

1
LoryOne