Sapere se un malware ha infettato qualcos'altro rispetto a hdd o ssd

Naviga le tue risposte
6

Ho visto una risposta molto interessante affermando che qualcosa di diverso da hdd o ssd può essere infetto: Un virus può essere memorizzato da qualche altra parte rispetto al disco rigido?

Per me è molto importante essere sicuro di trovarmi in un ambiente sicuro, soprattutto quando realizzo un'immagine di sistema.

Per quanto riguarda la mia domanda, mi piacerebbe sapere il modo più efficace per determinare se un firmware / hardware diverso da hdd / ssd è infetto (e come proteggerlo se lo è). Attualmente utilizzo Avira Antivirus + Malwarebytes Anti Malware. Voglio essere sicuro che il mio computer, quando collegato offline, sia protetto dopo il ripristino dell'immagine del mio sistema.

Questo include:

  • Bios / Uefi
  • Modalità di gestione del sistema (SMM)
  • GPU
  • Schede di rete
  • E probabilmente altri di cui non sono a conoscenza.

So che è molto difficile per qualcuno infettare quegli elementi, ed è improbabile che accada, ma è ancora nel regno delle possibilità, quindi dovremmo avere le conoscenze necessarie per sapere se siamo infetti e per proteggerci da quelli .

    
posta user46987151 04.10.2017 - 12:38
fonte

3 risposte

1

In teoria il tuo computer contiene diversi dispositivi critici con firmware scrivibile da software. Sappiamo che ci sono un paio di cattivi che infettano il firmware ( link ).

Praticamente qualsiasi dispositivo connesso al bus PCI potrebbe occupare il tuo sistema, ad esempio leggendo / scrivendo memoria.

In teoria il tuo hardware potrebbe anche essere stato messo a posto in fabbrica.

Ma per quanto ne so finora non abbiamo visto questa roba in natura. Quindi, se non sei specificamente preso di mira dagli attori dello stato nazionale, non sei in pericolo.

Il tuo Avira AV (uno dei migliori AV là fuori) probabilmente non ti aiuterà dato che non guarda il tuo firmware e io credo che Avira abbia almeno 0 campioni di firmware backdoor finora. Ma sì, se il tuo firmware in seguito lascia cadere malware a basso costo in userspace, il malware potrebbe essere rilevato.

    
risposta data 04.10.2017 - 14:13
fonte
0

Sono abbastanza sicuro che qualsiasi storage non volatile e scrivibile può essere manomesso se l'hacker ha competenze sufficienti. Sappiamo per certo che esiste un malware creato da attori statali e non che infetta controller HDD, UEFI, firmware del router e così via, fondamentalmente un rootkit in modo che continui a iniettare il codice nello spazio dell'unità principale anche se si reinstalla il sistema operativo o aggiorna il firmware. Non penso che ci sia un modo realistico per scansionare tutti i componenti del tuo computer. Il software anti-virus commerciale probabilmente non farà nulla anche se viene fornito con "protezione rootkit". Ma forse se cerchi la protezione dai rootkit, potresti trovare qualche software commerciale.

Ma allo stesso tempo, questi tipi di malware / rootkit sono piuttosto rari, penso, perché ci sono molti vettori di attacco con cui gli utenti interagiscono. Altri utenti potrebbero sapere molto di più, ma in genere queste cose provengono dall'NSA o da qualche grande organizzazione per attacchi mirati.

Modifica: Forse l'euristico euristico potrebbe essere più adatto a rilevarli, ma ciò dipende completamente da ciò che fa il rootkit / malware. Se durante l'avvio viene ripetutamente inietta un carico utile sull'unità principale, qualcosa del genere potrebbe essere più facile da rilevare, anche se potrebbe non essere in grado di dire esattamente da dove proviene.

    
risposta data 04.10.2017 - 16:16
fonte
0

Reverse Engineer il tuo sistema!

Una cosa che puoi fare è guardare il traffico di rete del tuo PC usando un IDS (come sbuffo), dal momento che probabilmente è sicuro che il malware alla fine contatterà la nave madre attraverso internet .

Ti consiglio di leggere il libro Analisi pratica del malware , in cui puoi trovare in che modo una cosa del genere viene realizzata in dettaglio.

Se dopo più reinstallazioni di sistemi operativi continui a rilevare firme di rete di malware, allora prova a installare un SO alternativo diverso da Windows, poiché il malware potrebbe non essere in grado di diffondersi su altri sistemi operativi di windows

Eliminazione del virus una volta e per sempre!

Se sei sicuro di aver trovato qualcosa prova ad avviare il tuo PC con diverse parti al suo interno, mentre monitora la tua rete. Alla fine troverai la parte problematica.

    
risposta data 03.01.2018 - 05:57
fonte

Leggi altre domande sui tag

Test di un ambiente chroot per le vulnerabilità di escalation dei privilegi Un utente è in grado di visualizzare il proprio UID come un rischio per la sicurezza?