Un trasferimento di BIOS o UEFI può essere trasferito ad altre unità di archiviazione senza la presenza del sistema operativo?

Naviga le tue risposte
2

Sono già a conoscenza del fatto che un malware BIOS o UEFI "attiva" solo nell'ambiente del SO. È possibile però attivare un meccanismo di diffusione senza la presenza del sistema operativo, in modo che possa infettare unità di archiviazione collegate (IDE, SATA o USB) con lo stesso o altro malware?

Scenario di esempio :

Lascia che un PC con BIOS o UEFI sia infetto, collegato a tre unità di archiviazione: un disco SATA, un disco IDE e una chiavetta USB.

Il PC viene avviato e dopo un po 'viene stampato " Nessun dispositivo di avvio ". Durante questa fase, eventuali unità di archiviazione potrebbero essere infettate dal BIOS o dal malware UEFI?

NOTA : mi concentro sul fatto che BIOS o UEFI possono copiare dati (dannosi o meno) su altre unità, indipendentemente dal file system delle unità di archiviazione. Se i dati non possono essere copiati su altre unità durante il tentativo di avvio, così fa il malware (credo).

    
posta pgmank 23.09.2015 - 12:27
fonte

2 risposte

4

C'è always un sistema operativo, anche se non necessariamente complesso. Il BIOS è un SO nel senso stretto del termine: fornisce accesso all'hardware tramite un'API indipendente dall'hardware. Il codice di avvio per un sistema operativo (o un malware che finge di essere quel codice di avvio) utilizza l'API fornita dal BIOS per leggere (e possibilmente scrivere) byte dal disco rigido.

In teoria, nulla impedirebbe a un pezzo di malware, installato come "codice di avvio", di utilizzare il BIOS per osservare i dischi rigidi, individuare i file "infettabili" e infettarli. Ciò implicherebbe un senso della struttura del filesystem, che normalmente è un lavoro eseguito dal "grande" sistema operativo (Windows o Linux o OS X o qualsiasi altra cosa). Se il malware vuole farlo da solo, allora deve includere il codice per farlo, che può essere ingombrante, o prendere qualche sforzo di sviluppo non trascurabile. Quindi, mentre è possibile, ci si può aspettare che la maggior parte degli autori di malware, non meno pigri di altri sviluppatori, preferiscano evitarlo. Avviare un sistema operativo "normale" e quindi utilizzare le sue strutture per accedere ai file è più semplice.

Il bootloader GNU GRUB non è affatto un malware; è un pezzo di software il cui compito è di sfruttare gli accessi a basso livello del BIOS per individuare e caricare nella RAM gli elementi fondamentali di un sistema operativo da avviare (ad esempio il kernel nel caso di Linux). Come parte del suo funzionamento, include il supporto per molti filesystem . Un autore di malware che vuole localizzare e infettare file nel filesystem da un ambiente "bootloader" probabilmente riutilizzerà parti di GRUB. In ogni caso, GRUB dimostra che il codice di supporto del filesystem può essere abbastanza compatto per adattarsi ai vincoli dell'ambiente di bootloading.

    
risposta data 23.09.2015 - 15:15
fonte
1

Concentrandosi sul più semplice dei due, l'avvio del BIOS, la risposta è no. Per citare questo riferimento IBM link IBM

Historical issues limit the size of a user-supplied bootloader program to slightly less than 512 bytes. Since this isn't enough space to implement all the possible device drivers that might be required to access different displays and storage devices, it's necessary for the BIOS to install standardized software interfaces for all installed, recognized hardware that might be required by the bootloader.

Il sistema deve caricare driver di periferica che non si adattino allo spazio di memoria del firmware e quindi il sistema operativo è effettivamente presente durante la fase di avvio coinvolta nella ricerca delle unità.

    
risposta data 23.09.2015 - 15:23
fonte

Leggi altre domande sui tag

Modello di livello per la sicurezza delle informazioni - nome scientifico? Che cos'è il malware di Facebook che pubblica post osceni in tutti i gruppi? [chiuso]