web-dev-qa-db-ja.com

マルウェアは外部ストレージのハードウェア電源オフスイッチをブリッジできますか?

現在、別の電源を備えた3.5インチの外付けUSB-HDD(このようなドライブでは通常)を含むバックアップセットアップがあります。このHDDは、内部的にUSB + Powerラッパーを備えた標準のSATA HDDです。
このHDDは常にデータ接続を介してバックアップを行うPCに接続されていますが、機械的なスイッチを使用してドライブの電源がオフになっています。電源コードには電源が​​供給され、プラグが差し込まれています(そのため、ドライブは操作から離れた単一のスイッチにすぎません)。

HDDがPCに接続されている間、マルウェアはそのようなハードウェア電源スイッチの典型的な実装の機能を無効にすることができますか?

別の方法で定式化:メカニカルスイッチを「オフ」に切り替えても、マルウェアは効果的にHDDを「常時給電」にすることができますか?

hardwareusb-drive
4
SEJPM

いいえ。電源スイッチは、ほとんどの場合、ロジックボードからの入力電力を遮断する機械的なデバイスです。それがオフのとき、接続は物理的に破壊されます-完全なエアギャップ。マルウェアはこれを覆すことはできません。

マルウェアmightが「電源オフ」状態をバイパスできる唯一のケースは、状態がソフトな場合です。待機する。デバイスは、プロセッサ(マイクロプロセッサまたはマイクロコントローラのいずれか)を実行したままにし、USBインターフェイスを有効にしたまま、低電力のスリープ状態にする必要があります。実装によっては、マルウェアが潜在的に USBを介してスリープ解除イベントをトリガーする可能性がありますが、デバイス固有であり、高度に標的化された/異常なものです。

5
Polynomial

依存する

わかりましたので、これらのスイッチがどのように機能するかは、外付けドライブの製造元の決定のインストールに依存しているため、いくつかのケースを検討する必要があります。

  1. スイッチはデバイスへの電源の接続を完全に制御し、エアギャップを使用します
  2. スイッチは、mobo /ファームウェアによって監視され、単なるシリアル接続である回路を制御します。これらのHDDではUSBからのスリープ解除が可能です

さらに悪いことに、2つのスイッチタイプを組み合わせたHDDが世の中に存在しています。その場合、どれが実際の電源からのハード切断であるかを知っている限り、ケース1になります。

ケース1:

いいえ、これは内部チップによって監視されない回路であるため、ファームウェアはそれを行うことができません

ケース2:

ええ、チップは実際にそのスイッチの状態をチェックするだけで、ファームウェアはそれを行うことができ、リモートで起こされることができます。

ケース2の場合、そのスイッチ信号を完全に無視するファームウェアを入手することは完全に可能ですが、それは信じられないほど直接的な攻撃であり、この時点で、さらに多くの問題を心配する必要があります。

どのケースをテストする

このスイッチをオンにすると、コンピューターからリモートでHDDを起動できますか?

  • はい:ケース2
  • いいえ:ケース1

確実であること

ただし、念のため、ドライブを使用していないときにUSBを取り外すだけで、どちらかの場合に発生しないようにすることができます。

2
Robert Mennell

多分

外付けドライブへの唯一の電源が電源コードから供給され、物理的に絶縁されている場合、noとなります。マルウェアはそれをオンにすることができません。

ただし、ドライブがUSBコネクタから電力を受け取ることも可能ですが、これはドライブへの電力供給が保証されていないため(したがって、外部電源が必要でした)、適切な状況下で(コンピュータの強力な電源) 、接続されている周辺機器が多すぎない、外付けドライブがあまりエネルギーを必要としない…)それかもしれません

さらに、バックアップPCの侵害が中間で検出されると想定していることに注意してください(たとえば、マルウェアは、ファイルの削除/暗号化のために外部ドライブを接続するのを待機せず、コンピューターの残りの部分も待機します)。別のバックアップも保持してみてください。

2
Ángel

これは素晴らしい質問です。明らかな答えはnoですが、注意点があります。

「メカニカルスイッチ」はあいまいな用語です。少しの間、機械式スイッチが(圧力ではなく)広い動きで作動するスイッチであると仮定しましょう。

典型的な [〜#〜] psu [〜#〜] スイッチを見てみましょう:

A psu-style switch

太いプロングが見えますか?デバイスに電力を供給する電流は実際にそれらから流れ、スイッチをオフにすることは、壁の電源ソケットからケーブルを抜くこととほとんど同じです。

一方、PCケースの電源ボタンは、内部的には非常に異なって見えます。

A pc case button

それらの細い線?これらは実際には電流を流しません(デバイスに電力を供給します)。実際、コンピュータには常に電源が入っており、スイッチは「オン」にするように指示するだけです。これは、「スタンバイ」および「ソフトオフ」とも呼ばれます。

電源スイッチが動いたり留まったりするという事実はまったく関係ありません。重要なのは、実際の回路の接続先です-そして、あなたはそれを見ることができませんデバイスを開かずに。

そうは言っても、最初のスイッチのようなスイッチが最も一般的にデバイス自体に電力を供給しています。

ここで、ハードドライブスイッチが「スタンバイ」モードを使用している場合、およびチップのコントローラーには書き込み可能なチップおよびUSBインターフェイスを介してそれを行うことができます(最も一般的なオンボードヘッダーとは対照的に)理論的にはマルウェアは上書きできます意のままにオン/オフできる特別なバージョンのファームウェア

これを面白くするために、ディスクの電源がオンになっていると、回転する音が聞こえるという事実を少しの間無視してみましょう。

そのマルウェアは、特定のハードドライブメーカーとモデル(およびおそらく工場出荷時のシリーズ)向けに特別に開発する必要があるため、個人的にこれは現実的な攻撃ではないと思います。ディスクが入っている部屋の窓を壊してもらう方がはるかに簡単です。

もちろん、ディスクスイッチが実際に電源をオフにしている場合、これはさらに興味深いものです。マルウェアは確かに元に戻すことはできませんが、次のことは可能です。

  • コンピューターを再起動し、外部ハードドライブのファイルシステムの整合性をチェックする必要があることを通知するオペレーティングシステムメッセージを偽装し、電源を入れるまでブートを拒否する

  • バックアップシステムがそれらを取得するために使用しているのと同じメカニズムを介してファイルにアクセスします...

  • お待ちください!

1
goncalopp