Il rinomato consulente per la sicurezza Dragos Ruiu sta segnalando che è stato infettato da malware misterioso che può sopravvivere alla reinstallazione del sistema operativo e al flashing del sistema operativo. In altre parole, ha preso una macchina infetta, l'ha cancellata, compressa in aria, ha rifatto il suo BIOS, sostituito il suo disco, installato un nuovo sistema operativo e dopo aver avviato il nuovo sistema operativo, era ancora infetto.
Come può rimanere una tale infezione? Quali meccanismi potrebbero utilizzare il malware, per mantenere i suoi hook in una macchina e sopravvivere sia al re-flashing del BIOS sia alla re-installazione del sistema operativo?
Naturalmente sono interessato alle possibilità di quale meccanismo potrebbe utilizzare il misterioso malware di Dragos, ma non ci fermiamo qui. Più in generale, sono interessato anche ai meccanismi che il malware potrebbe utilizzare per sopravvivere alla cancellazione del disco e al flashing del BIOS. Quali schemi potrebbero utilizzare il malware per questo scopo?
Questa domanda ha implicazioni su come ci riprendiamo dall'infezione. Un proverbio standard è che, una volta che sei stato hackerato, "L'unico modo per essere sicuri è nuotare dall'orbita" - in altre parole, devi pulire il disco rigido e reinstallare tutto da zero. Forse la lezione di questo misterioso malware è che anche "nuotare dall'orbita" non è abbastanza. Quindi, per capire cosa dobbiamo fare per ripristinare una macchina infetta a uno stato noto, sarebbe utile capire tutti i modi in cui il malware potrebbe rimanere residente anche dopo la sostituzione del disco rigido e il re-flash del BIOS.
Altro sfondo: questa pagina riassume ciò che Dragos ha riferito del malware misterioso con cui è stato infettato. Vedi anche questa risposta eccezionale di Gilles .