Il malware può avere il proprio GRUB / boot-loader e usarlo per essere attivo?

Naviga le tue risposte
1

Uso Ubuntu 16.04. Dopo aver montato una ISO che potrebbe avere o meno malware, il mio sistema a volte finisce per mostrare una schermata vuota dopo aver effettuato l'accesso ad Ubuntu o riavviato un minuto o due dopo l'accesso a Ubuntu o come oggi, quando ha raggiunto la schermata di Grub e riavviato. Quindi ha raggiunto la schermata Grub e riavviato di nuovo. La terza volta che ho raggiunto la schermata Grub e il conto alla rovescia per la selezione automatica del sistema operativo era il conto alla rovescia da 25 secondi. Questo era insolito perché avevo impostato il conto alla rovescia a 10 secondi. Ho disconnesso il mio smartphone dalla porta USB del computer, ho riavviato di nuovo, e questa volta il conto alla rovescia di Grub era a 10 secondi e nessun problema è successo.

Ho avuto il mio telefono collegato in questo modo al computer per due mesi e non ho osservato alcun comportamento strano, quindi sto escludendo che il telefono Android potrebbe essere la causa. Tuttavia, poiché il timeout di Grub era a 25 secondi, mi chiedevo se potesse esserci un malware che installa il proprio GRUB e sceglie casualmente di avviarsi da esso, garantendo in questo modo i privilegi di root in qualche modo.

È possibile o sto solo diventando paranoico?

P.S. Dovrei anche menzionare che questo problema del riavvio del computer è accaduto tre mesi fa, e penso che sia all'incirca quando ho montato lo stesso file ISO in Ubuntu. Avevo cancellato il disco rigido e reinstallato il sistema operativo sospettando un'infezione. Ma pensavo che l'infezione potesse provenire da una pen drive che ho inserito nel computer di un amico. Solo ora ho il sospetto che i riavvii potrebbero essere correlati a quella ISO.

    
posta Nav 11.02.2018 - 12:37
fonte

1 risposta

1

Le basi del processo di avvio

Per prima cosa, devi sapere come funziona un bootloader. Quando il sistema si avvia per la prima volta e il BIOS è in uso, inizializza tutti i dispositivi necessari per l'avvio. Quindi legge la CMOS per trovare il dispositivo corretto da cui avviare. Apre il primo dispositivo e legge il primo settore da 512 byte (dove deve essere installato l'MBR) in memoria. Nello specifico, trasferisce il primo settore all'indirizzo fisico 0x7c00. Se gli ultimi due byte del settore sono 0x55aa, lo considerano un bootsector valido e lo esegue. A questo punto, il BIOS è fuori dall'immagine e l'MBR è in esecuzione. L'MBR è troppo piccolo per avviare la maggior parte dei sistemi, quindi avvia la seconda fase del bootloader. Tutto quello che deve fare è essere in grado di localizzare ed eseguire alcuni dati sul disco rigido contenente il resto del bootloader. In questo caso, i moduli core di GRUB. A questo punto, GRUB è completamente funzionale e fa tutto il suo potere per caricare il kernel e avviare il processo di avvio del sistema operativo. Ora, come può il malware dirottarlo?

Dirottando il processo

Se il malware vuole modificare il tuo processo di avvio per farti avviare in modo casuale con un codice malevolo in gioco, può fare una delle poche cose. In ordine di livelli crescenti di sofisticazione e furtività:

  • Può modificare direttamente il bootloader di seconda fase o la sua configurazione, quindi quando viene eseguito cambia il suo comportamento in modo casuale, eseguendo azioni dannose durante alcuni boot.

  • Può modificare l'MBR nel primo settore sull'unità di avvio, in modo casuale, scegliere di caricare un bootloader di secondo stadio diverso. Il secondo stadio differente inietterebbe codice dannoso.

  • Potrebbe modificare il BIOS in modo che carichi un MBR diverso e dannoso per alcuni stivali. È più difficile da attuare, ma è possibile. Le infezioni del BIOS sono piuttosto rare.

  • Potrebbe modificare il firmware del disco rigido per restituire dati dannosi nel primo settore in modo casuale. Ciò richiederebbe un livello molto alto di esperienza ed è estremamente raro (praticamente sconosciuto).

I sintomi visualizzati

Ma ecco la domanda importante ... I sintomi che stai descrivendo sono indicativi di uno degli scenari sopra descritti? Diamo un'occhiata ai sintomi come li hai descritti, uno per uno:

  • Il tuo bootloader è sceso da 25 secondi, nonostante tu abbia impostato il timeout in meno.

  • L'installazione di Ubuntu occasionalmente ha una schermata vuota dopo aver effettuato il login, oppure riavviata in modo casuale.

  • Si è riavviato senza che tu lo imponesse quando ha caricato GRUB.

Questi sintomi sono un bootkit? No . Il primo problema è molto probabilmente un problema di configurazione. Ad ogni aggiornamento, l'installazione di Ubuntu aggiorna il file di configurazione di GRUB. Il file di configurazione è molto complesso e ha un gran numero di istruzioni condizionali. Non sarebbe sorprendente se le tue impostazioni vengano occasionalmente sovrascritte. Il secondo problema sembra un bug in Ubuntu. Forse un driver per il tuo hardware è bacato. Avevo un vecchio sistema Ubuntu che faceva qualcosa di simile. Un aggiornamento risolto. Il tuo terzo problema sembra un bug in GRUB, o forse un errore hardware. Tutto quello che stai vivendo è il bug del software. Dato che i bug sono ancora fastidiosi, puoi provare a reinstallare GRUB o resettare la configurazione. Forse guarda online per vedere se ci sono errori noti per il tuo software. Controlla i log di sistema per vedere se sta segnalando un arresto anomalo dell'applicazione che potrebbe portare alla schermata vuota. E, naturalmente, assicurati di essere aggiornato, in modo da ottenere tutte le ultime correzioni di bug per la configurazione.

Il malware vuole essere invisibile. Non vuole che la sua presenza venga scoperta. Il malware che è abbastanza buono per dirottare il tuo processo di avvio sarà molto furtivo e non darà via la sua esistenza attraverso qualcosa di tanto allettante quanto un incidente spontaneo. Quindi no, questo non è malware .

    
risposta data 12.02.2018 - 03:57
fonte

Leggi altre domande sui tag

Teamviewer che registra eventi di sequenze di tasti remoti Come configurare ZAP per l'applicazione desktop