Come potrebbe il malware sopravvivere nel formato del disco rigido senza risiedere nel firmware?

1

Ad esempio, potrebbe "ingannare" gran parte degli strumenti di partizionamento / utilità del disco che è stato cancellato con successo, ma con il malware ancora esistente? Un po 'simile a quello che succederebbe se tentassi di "pulire" il flash di un BIOS infetto, dove ti informerebbe che lo hai lampeggiato, ma in effetti non è successo nulla ed è ancora compromesso.

    
posta ffdd992 18.12.2018 - 22:00
fonte

2 risposte

2

I malware possono sopravvivere senza essere nel firmware agganciando le chiamate di accesso al disco del sistema operativo e impedendo a qualsiasi cosa di cancellarli all'interno del sistema operativo compromesso.

Se dovessi eseguire il boot su un SO pulito o cancellare il disco rigido rimuovendolo dal sistema esistente (e sapevi che il malware non risiedeva nel firmware), probabilmente potresti cancellarlo con successo, ma ci sono dei caveat :

Sai che il disco rigido non è compromesso?

Il disco rigido potrebbe teoricamente essere progettato con un altro chip che memorizza una copia del malware e lo riscrive dopo una cancellazione efficace. Un'altra preoccupazione potrebbe essere la presenza di malware nascosto in un diverso componente hardware all'interno del sistema (tramite l'infezione del firmware o l'impianto hardware), evitando in tal modo qualsiasi tentativo di cancellarlo pulendo o sostituendo un disco rigido.

Il processo sopra menzionato di usare un CD live è potenzialmente pieno di potenziali pericoli. Ti fidi del BIOS? E la catena di avvio? I moderni SO utilizzano spesso un sistema di avvio denominato UEFI, controllato almeno parzialmente dai dati che risiedono sull'unità. Sebbene esistano dei controlli per tentare di impedire la manomissione non autorizzata del processo di avvio, è possibile che il malware si inietti nella catena di avvio. Ancora più a basso contenuto tecnologico, il malware è in esecuzione su un dispositivo USB o in un luogo per emulare un dispositivo USB, se la priorità di avvio consente l'avvio da dispositivi USB prima del disco rigido. Ancora una volta, il malware potrebbe caricarsi e iniettarsi nei successivi processi di avvio, anche passando in modo trasparente l'avvio al sistema operativo "normale" dopo averlo collegato. Se hai mai rotto un'installazione di Linux grub, potresti avere esperienza di avvio sulla shell di grub tramite un CD live o USB, quindi manualmente digitando il codice per eseguire l'esecuzione manuale sull'installazione Linux sul disco rigido, che è simile al il malware di processo potrebbe impiegare.

    
risposta data 19.12.2018 - 00:00
fonte
0

Se il tuo software di riformattazione fosse esso stesso infetto, allora sarebbe un modo. Se il software di riformattazione è corretto e non ha backdoor e viene eseguito da un supporto esterno e il BIOS è pulito, penso che in realtà non ci siano altri posti in cui il malware possa ingannarti al di fuori del firmware stesso, cosa che hai escluso . L'unica eccezione sarebbe se il tuo hardware ha la backdoor integrata in esso.

    
risposta data 18.12.2018 - 22:50
fonte

Leggi altre domande sui tag