web-dev-qa-db-ja.com

DVDはファームウェアマルウェア(およびさまざまな質問)に対して脆弱ですか?

DVDドライブについていくつか質問があります。

  1. DVDドライブとSATAインターフェイスは、ドライブまたはディスクのファームウェアを再プログラムできたり、一度感染したNIC、RAM、CPU、BIOSなどの他のハードウェアに拡散したりすることによって発生するBadUSBなどの問題に対して脆弱ですか?

  2. DVDには、MBRやGPTのような、コマンドを与えたり、カーネルにアクセスしたり、ディスクが読み込まれた瞬間にハッキングされるコアファイルシステムにアクセスしたりできるセクターがありますか?

  3. 強力なアンチウイルス/ファイアウォールは、BadUSBなどのハードウェアベースのライブ攻撃から保護しますか、またはディスクを挿入した場合、DVDドライブをハッキングできますか?

  4. DVD/CDがTDSSのようなステルス隠しファイルシステムを持つことは可能ですか? Sony、Verbatim、Mosaerbaerなどの評判の良い会社の空のCD/DVDには、暗号化されたファームウェアがありますか?

4
Aoi. T_015

ここにはかなり多くの異なる質問があります。それらに答えてみましょう。

DVDドライブとSATAインフラストラクチャはbadusbのように脆弱ですか

SATAプロトコルは、キーボードのような他のクラスではなく、ストレージ専用に使用されます。

「BadUSB」は、マウスやキーボードのように ヒューマンインターフェイスデバイス (HID)として機能し、コンピューターと対話するUSB​​デバイスを含む、率直に言って過大な攻撃です。これは、USBプロトコルがユニバーサルであるように設計されているために可能です。 class と呼ばれる、ホストにその目的を提供するのはUSBスレーブ次第です。そのため、フラッシュドライブは大容量記憶装置として公開されますが、キーボードはHIDとして公開されます。この問題は、フラッシュドライブが悪意を持って再プログラムまたは設計された場合、ホストにHIDであることを知らせ、ホストがホストからのキーストロークを喜んで受け入れるという事実に起因します。これはデータ転送専用に設計されているため、SATAの問題ではありません。 SATAデバイスは、ホストがキーボードであることをホストに認識できません。

または、一度感染したNIC、RAM、CPU、BIOSなどの他のハードウェアに拡散することもありますか?

DVD/CDは、(任意)DMA機能を備えていないSATAを経由します。

これには DMA攻撃 が必要ですが、これにはbus masterと呼ばれるPCIバス上の機能が必要です PCI構成ビット 、ホスト上の特権ソフトウェアを介して設定され、デバイス上のレジスタに保存されます。ハードウェアドライバーは、特定のPCIデバイスのバスマスタービットを有効にして、必要なシステムメモリにアクセスできるようにすることができます。これは、SATAハブの場合です。ただし、DVDプレーヤーはSATAハブを直接制御するのではなく、SATAハブと通信します。 SATAプロトコルの制限は、そのようなドライブの危険性に影響します。SATAは、クライアントに代わって任意のDMAを実行するためのドライバーサポートを必要とするため、悪意のあるDVDドライブは、何が起こるかというと、SATAクライアント(DVDドライブ)は、リンクを介してSATAハブ( [〜#〜] ich [〜#〜] に組み込まれている)と通信します。最新のシステム)、ホストに要求されたデータを提供します。仮想PCIデバイスであるハブは、DMA(通常は [〜#〜] udma [〜#と呼ばれ​​ます〜] (大容量記憶装置の場合)データをホストに書き込むクライアントは通常、ハブにデータの書き込み先を通知することはできず、書き込むデータのみをハブに通知することはできません。

SATA標準 のセクション10.3.7に従って、クライアントSATAデバイスがDMAをホストに直接接続することは、状況によっては可能である場合があります。指定されたドライバではありません これを許可するかどうか 、システムのI/OMMUは、BIOSに適切なDMARテーブルを使用して、このDMAを分離する必要があります。

DVDには、MBRやGPTのような、コマンドを与えたり、カーネルにアクセスしたり、ディスクが読み込まれた瞬間にハッキングされるコアファイルシステムにアクセスしたりできるセクターがありますか?

どのパーティションにもMBR/GPTを含めることができますが、何かを実行するには、そのパーティションから起動する必要があります。

MBRとGPTは、メディアに関係なく、すべての起動可能なパーティションの機能です。 MBRは データのほんの少し (フラットな実行可能ファイルとパーティションテーブル)であり、起動可能なパーティションの最初の512バイトセクターにのみ適合します。起動可能なパーティションのあるDVDを使用する場合、MBRはこのように動作する可能性がありますが、これは平均的なDVDには存在せず、いずれにせよそれを有効にするにはDVDから起動する必要があります。 BIOSのDVDドライブからの起動を無効にしてください。

また、強力なウイルス対策/ファイアウォールは、badusbなどのハードウェアベースのライブ攻撃から保護しますか、またはディスクを挿入した場合、DVDドライブがハッキングされる可能性がありますか?

アンチウイルスプログラムはファイルのみをスキャンし、ハードウェアはスキャンしません。ファイアウォールはネットワークのみを制限します。

いいえ。アンチウイルスは悪意のあるファイルをスキャンするように設計されており、 2つの操作モード があります。 1つ目は、マルウェアに固有のファイル内の既知の文字列を探す署名ベースの検出を行うことができます。これは非常に高速であり、誤検知がない傾向がありますが、簡単に敗北し(マルウェアをわずかに変更するだけ)、悪意のあるソフトウェアの事前知識が必要です。 2番目の手法はヒューリスティック検出です。この場合、実行可能ファイルによる一連の「スケッチ」アクションにフラグが付けられます。たとえば、実行可能ファイルが内部暗号化を使用し、開かれた直後に別の実行可能ファイルをインターネットからダウンロードしてそのファイルに隠しフラグを設定すると、それらの赤いフラグがすべて追加され、ウイルス対策ソフトウェアがアクションをブロックします。これは低速であり、誤検知が発生する傾向がありますが、未知のマルウェア(少なくとも一部)を検出できます。シグネチャベースの検出よりも新しいマルウェアの検出には効果的ですが、 回避できます 。アンチウイルスは、ハードウェア攻撃を脅威モデルの一部としても考慮していません。ファイアウォールに関しては、それらは ネットワーキングアクセスの制限 のためだけであり、マルウェアを検出しません。ファイアウォールは完全に異なるテクノロジーです。

DVD/CDがTDSSのようなステルス隠しファイルシステムを持つことは可能ですか?

DVDにはファイルシステムがありません。ファイルシステムでフォーマットするかどうかはOSに依存します。

DVD/CDはブランクメディアです。理論的には、特別に設計されたDVDドライブと特別に設計されたDVDは、セカンダリの隠しファイルシステムを格納できますが、実際には起こりません。通常のDVDドライブを使用する場合、必要な機能を提供するファイルシステムでディスクをフォーマットするのはOSです。ストレージDVDの通常のフォーマットは通常 iso966 または [〜#〜] udf [〜#〜] であり、非表示のファイルシステムをサポートしていません。

Sony、Verbatim、Mosaerbaerなどの評判の良い会社の空のCD/DVDには暗号化されたファームウェアがありますか?

実際のディスクは、ファームウェアのないデータストレージ用のばかばかしい媒体です。

DVD自体にはファームウェアは含まれていませんが、ハードドライブ内の物理プラッターにはファームウェアが含まれています。それらは 特別な設計 が付いた「ダム」ディスクであり、物質の1つ以上の層が十分に強いビームに当たったときに反射率を変化させることができます。ただし、DVDドライブにはファームウェアがあり、ホストで特別な特権コマンドを使用してのみ更新できます。ディスクからファームウェアを直接更新できるDVDドライブは存在しません(存在する場合もあります)。暗号化されているかどうかはわかりませんが、暗号化されておらず、難読化/エンコードされていると思います。ほとんどの場合、 huffman encoding のような単純なものを使用しますが、これは十分な時間と労力で壊れる可能性があります。ただし、リバースエンジニアリングは本当の課題です。

悪意のあるDVDドライブは、データを提供する前にデータを変更するなど、厄介なことを行う可能性があることに注意してください。 DVDからファイルを実行し、ドライブが悪意のある場合、- それは悪意のあるファイルを提供する可能性があります 、ネットワークから実行可能ファイルをダウンロードした場合のルーターと同じ方法です。 SATAデバイスは、高帯域幅、低遅延のネットワークを介してリクエストを処理する巨大なストレージを備えた小さなコンピュータにすぎません。そのように扱います。

8
forest