web-dev-qa-db-ja.com

マルウェアはコンピュータでパワーオンできますか?

コンピューターにマルウェアをダウンロードして実行しました。

今は時間があまりないので、電源をオフにして([スタート]メニューからオフにした)、軌道からデータを取得できるようになるまで、データを盗んだり悪意のある活動を実行したりできないことを期待しています。

  • マルウェアが悪意のある活動を実行し続けるのを防ぐには十分ですか?
  • マルウェアは私のコンピューターに電源を投入できますか?
  • また、プラグを抜いてバッテリーを取り外しますか?
malware
88
Benoit Esnard

TL; DRはい、そうではありません。念のため、PCのプラグを抜くか、PCが何にも接続できないことを確認してください。

いくつかのオペレーティングシステム(特にWindows 10)では、適切なドライバーと関連する複雑なハードウェア管理を使用して、「 自動ウェイクアップ 」を設定する可能性があります。

その結果、[〜#〜] if [〜#〜](そしてそれは大きな問題です!)マルウェアプログラムは、オペレーティングシステムが入札を行う場合、システムに代わってこれを行うためにシステム自体に単純に問い合わせる方法があります。

一部のシステム(マルウェアが認識して計画できる必要がある)では、これは「真のパワーダウン」にも当てはまります。追加の回路により、オンボードのリアルタイムクロックの事前に選択された時間にコンピューターの電源が入ります。ソフトウェアからアクセスしにくい方法で、これは一部のデスクトップBIOSで利用できます(「自動的に電源投入:[]しない; []停電後; []特定の時間に毎日:: "またはBIOSセットアップで同様)。

その後、システムは、しばらくすると(たとえば、眠っている可能性が高いときなど)自動的に電源が入ります。

そう:

  • RTCパワーアップハードウェアサポート、またはそれ以上(統合管理システム、エンタープライズコンピュータで一般的)] があります。
    • RTC=関数は通常、管理者/ルートレベルのアクセスを必要とするため、マルウェアはシステムを制御しているはずです。
  • RTC電源投入HWサポートが存在しないか、使用されていません:
    • マルウェアがシステムを制御している場合は、シャットダウン手順を単にスリープ状態に置き換えて、スリープモードを終了するように設定できます。しばらく経って。

しかし、didこれらのオプションのどちらかが起こりますか?おそらく違います。ほとんどのマルウェアは、無意識のうちに実行され、しばらくの間検出されずに動作できることに依存しています。 「電源オフシミュレーション」は非常に特定のシナリオでのみ有用であり(ハードウェアオプションは比較的少数のシステムでのみ使用可能です)、マルウェアの作成者がそれらについて心配することは価値がないと思います。彼らは通常、3番目に簡単なオプションで行きます:

  • 通常の自動電源投入またはログオンシーケンス(autoexec、ブートスクリプト、スケジュールされたタスク、サービスの実行など)の一部が破壊され、追加のコード、つまりマルウェアがサイレントで実行されます。

平均的な感染マシンで利用可能なサブセットではなく、特定の犠牲者を念頭に置いて特定のターゲットの機能に合わせて設計された「標的型」マルウェアの場合、上記のすべての条件は機能しません。

126
LSerni

他の人が述べたように、ほとんどのPCハードウェアでそれは可能ですが、現在のところそれほど可能性は低いです(マルウェアの大部分は気にしないため)。

他の人が言っていることは不可能ですが、間違っています。ソフトウェアは実際にCANウェイクアップ定期的に電源がオフになっているコンピュータのいずれか「シャットダウン」または「電源オフ」コマンド(GNU/Linux)を使用するか、「スタート」ボタンをクリックしてから「シャットダウン」(MS Windows)をクリックするか、電源ボタンを手動で押します。

この機能は RTCウェイクアップ と呼ばれ、ソフトウェアが特定の時刻にウェイクアップをスケジュールできるようにします。これは リアルタイムクロックチップ によって制御されます(コンピューターの電源がオフのときに時間を追跡し、独自のCR2032バッテリーで動作するチップ)。

GNU/Linuxシステムを実行している場合、その機能の制御はrtcwake(8) systemコマンドによって提供されます。

関連する機能として、多くのコンピューターには Wake on LAN と呼ばれる機能があり、他のコンピューターやルーターが有線イーサネットネットワーク経由でコンピューターの電源を入れることができます(コンピューターでこの機能を有効にする必要があることに注意してください) 、およびデフォルトでオンになっているかどうかは、BIOSによって異なります。

66
Matija Nalis

編集:はい、それは行うことができます。 Majita Nalisのすばらしい回答が認めているように、最新のシステムには組み込みの機能があり、ソフトウェアからブート「アラーム」を設定できます。

また、現実的なシナリオとして、マルウェアが別のデバイスで永続性を獲得する場合があります。ルーターにデフォルトの認証情報または脆弱性があるとすると、マルウェアが拡散した可能性があります。ウェイクオンランが有効になっていると、誰かがマシンの電源を入れる可能性があります。

しかし、WoLとRTCウェイクアップを確認した後でも、完全に安全ではありません。ほとんどのマルウェアはリング3で実行され、カーネルモジュールまたはシステムドライバーとしてリング0で本当に運が悪い場合は実行されます。これらは両方とも、システムが実際にオフになっているときには実行されていません。また、クロックが設定されていない場合、基本的にマシンを制御できません。

ただし、SMMやその他のファームウェアなど、電源管理を行うリング0の下には実行モードがあります。ただし、これを悪用するマルウェアは非常にまれであり、実際に私が挙げることができる唯一の例は、NSA codename DEITYBOUNCEクラスのマルウェアとLoJaxがFancy Bearによって拡散した可能性があります。

これがどのように起こり得るかについての森林の素晴らしい答えを見てください。

https://security.stackexchange.com/a/180107/121894

ハッシュや姓などのマルウェアに関する情報はありますか?それはより詳細な答えを可能にするでしょう。

20
J.A.K.

WOLパケットには特定の構造があります。ターゲットに到達するためにインターネットで送信したり、イントラネットでルーティングしたりできるとは言われていません。栄養ケーブルが切断されているか、接続されているがスイッチがオフになっていると、コンピュータの電源がオフになります。 RTCウェイクアップはいいですが、スリープモードでのみ使用できると思います。私の個人的な意見では、SMMファームウェアの一部の機能は、適切に構成されておらず、一部がデフォルトで無効になっている場合、リモート管理には危険を伴う可能性があります。最善の選択は、ウイルス感染によってPCをサニタイズしていることが確実でない限り、インターネットケーブルを抜くか、ワイヤレスカードを無効にすることです。

1
LoryOne