Oltre a MBR e BIOS, è possibile che un rootkit rimanga persistente dopo un formato dell'hard-drive?

5

Se un sistema si infetta e non ha altre unità di memoria oltre a un disco rigido.

C'è un altro modo per un rootkit di rimanere nel sistema oltre a infettare il BIOS OPPURE l'MBR di tale unità dopo un "bombardamento da un'orbita elevata"?

    
posta Digital fire 21.01.2015 - 18:29
fonte

4 risposte

6

Normalmente, no. Non in un'area auto-avviabile. Potresti avere dati non sovrascritti dal disk wipe, in aree "out-of-band", ma quelle aree non sono normalmente accessibili e, se fatte così, diventano anche accessibili alla cancellazione.

Teoricamente, per valori molto grandi teoricamente, . In alcuni hard disk, potrebbe essere una terza area di memoria che è accessibile, auto-avvio e capace di ospitare un malware complesso (come complesso come, ad esempio, un kernel Linux minimo ).

( Aggiornamento : il trucco precedente è stato segnalato in natura da Kaspersky )

Normalmente quest'area non è accessibile (per la programmazione) tramite il cavo dati tramite il quale il disco rigido è collegato al computer host, ma tramite un connettore JTAG specializzato che viene utilizzato solo durante il processo di produzione.

Inoltre, le istruzioni di programmazione devono essere adattate specificamente per il chip della CPU del controller del disco rigido; proprio come lo stesso protocollo HTTP può essere "parlato" da un vecchio Mac alimentato da Motorola o da un Intel 80386, ma le due CPU non "parlano" mai la stessa lingua, quindi due dischi dello stesso produttore potrebbero avere un chip Avago , o Marvell - e richiederanno istruzioni diverse e totalmente incompatibili.

Il problema è che il malware dovrebbe essere specificamente mirato e, nella maggior parte se non tutti i casi, sarà richiesto l'accesso fisico all'hardware del connettore JTAG attraverso un cavo personalizzato. Quindi un malware puramente software avrebbe nessuna possibilità . A meno che alcuni software di backdoor di programmazione non siano stati masterizzati nel firmware dal produttore, per risparmiare qualche soldo e fare a meno di tutto il materiale JTAG. Che, prevedibilmente, sembra essere stato il caso .

Un disco così violato è completamente inaffidabile . Qualsiasi cosa tu faccia su un disco rigido dal cavo SATA è in realtà solo una cortese richiesta al SoC del disco per eseguire qualche azione a tuo nome. I SoC non campionati obbediranno (o mentiranno al tuo tuo vantaggio: ad esempio riportando che un settore è stato scritto all'istante, mentre in realtà è contenuto in una cache write-back per aumentare le prestazioni). Un SoC manomesso potrebbe disobbedire e mentire su di esso (e lo farà, o non avrebbe senso in manomissioni).

Potresti (chiederlo a) di sovrascrivere il boot loader, leggerlo e ricevere una conferma entusiastica che è stato azzerato; (chiedere a) scrivere al suo posto un boot loader pulito, rileggerlo e ricevere una conferma altezzosa che è stato scritto e impegnato. Quindi power cycle ... e ancora escono dal disco un boot loader malevolo invece di quello che si ritiene avrebbe dovuto essere lì, quindi bluepilling il sistema.

Naturalmente, il malware dovrebbe essere a conoscenza del sistema operativo in uso per infettarlo e ottenere, attraverso di esso, un accesso più sofisticato a file, rete, tastiera e così via. Lo farebbe intercettando i tentativi del sistema operativo di caricare il proprio codice dal disco, fornendo invece il codice modificato contenente le routine di infezione. Il codice modificato dovrebbe essere compatibile con il sistema operativo, e sarebbe impotente se il sistema operativo dovesse autocontrollare il proprio codice, a meno che non fossero utilizzate tecniche ancora più avanzate.

La probabilità effettiva è nei bassi per qualsiasi scenario ragionevolmente comune.

D'altra parte ... se hai appena ricevuto un desktop nuovo di zecca come segno dell'approvazione della NSA per il tuo lavoro, quindi non cancellando il disco, azzerando i suoi HPA e DCO e Gutmann-blasting ogni singolo settore che possiede, non sarà sufficiente .

    
risposta data 21.01.2015 - 23:22
fonte
1

Ecco una discussione su Super User sulle aree protette dell'host e sugli overlay di configurazione di Drive.

  • Aree protette host in genere non sono disponibili per un sistema operativo. In genere, i produttori li utilizzano per nascondere i supporti di ripristino e altre utilità.
  • Overlay di configurazione dell'unità sono una specie della stessa offerta, ma viene utilizzata per configurare l'unità, ad es. riporta il numero di cilindri e le funzionalità disponibili sul convertitore.

In teoria è possibile archiviare dati in queste sezioni e non viene toccato da una cancellazione standard dell'unità. La discussione con Super User tocca su hdparm per questo scopo. Non conosco alcun rootkit esistente che usi questa tecnica.

    
risposta data 21.01.2015 - 19:37
fonte
1

Se ha sostituito il BIOS, potrebbe, tramite Piattaforma binaria della piattaforma Windows (WPBT) , fornire un malware memorizzato lì, reinfecting una macchina Windows anche dopo aver sostituito il disco rigido con uno nuovo.

Questo è ciò che è stato usato dal lenovo rootkit da agosto 2015 per persistere anche dopo una nuova installazione.

    
risposta data 06.09.2015 - 01:10
fonte
1

Sì, almeno un bootkit può farlo, e ora risulta che è facile;

John Loucaides e Andrew Furtaki lo hanno mostrato con il loro bootkit Lighteater. Hanno tenuto un discorso su CanSecWest intitolato 'Quanti milioni di BIOS ti piacerebbe infettare?' L'unico modo per sbarazzarsi di è il flashing della tua scheda madre.

Anche cambiando il disco non servirebbe a niente, dato che Lighteater sfrutta la protezione flash del BIOS e quindi è in grado di riprogrammarlo da solo, prendendo il controllo del computer.

Al momento, l'unica protezione è quella di aggiornare il BIOS / UEFI e aggiornarlo tutte le volte che è possibile.

Vedi anche:

risposta data 24.03.2015 - 21:00
fonte

Leggi altre domande sui tag