web-dev-qa-db-ja.com

潜在的なマルウェアを削除するのに十分なクリーンインストールを行っていますか?

ディスクをフォーマットし、システムを最初から(Ubuntuに)再インストールして、潜在的な隠し要素softwareスパイウェア、キーロガーなどを削除するのに十分ですか?

または、BIOSにインストールされたままの何か、またはそのようなものはありますか?次に何をすべきか?

明確にするために、一般的なマルウェアについては気にしません。問題は、ユーザー以外の人が何時間も物理的にアクセスできるマシンについてより具体的です。したがって、ユーザーが戻ったときに何も変わっていないことを確認できないため、ユーザーは数週間後にフレッシュインストールを行います。それはそれを「きれいにする」のに十分ですか?

ハードウェアキーロガーは、ソフトウェアの再インストール後も続行する必要があるため、この質問の一部ではありません。

43
Strapakowsky

マルウェアが可能である場合、十分に独創的で洗練されていれば、マルウェアは再フォーマットおよび再インストール全体にわたって持続します。更新可能なファームウェアがあるため、悪意のあるファームウェアで更新されたり、リムーバブルストレージまたはバックアップ上のデータファイルにウイルスが感染したりする可能性があります。

しかし、ほとんどのマルウェアはこれほど厄介なことは何もしません。したがって、保証はありませんが、再フォーマットして再インストールすることで、実際に遭遇する可能性のあるほとんどすべてのマルウェアを取り除く必要があります。

個人的には、再フォーマットと再インストールに満足しています。実際にはそれで十分でしょう。

40
D.W.

少し巧妙な攻撃者が、マルウェアをオペレーティングシステムの直接の範囲外に置くことは間違いなく可能です。オペレーティングシステムを再インストールするということは、多くてもディスクをワイプすることを意味します。この場合でも、侵害された可能性のあるデータを復元する場合は注意が必要です。

マルウェアは、最新のコンピューターのほぼすべてのコンポーネントに潜む、書き換え可能な多くのメモリの1つに保存できます。これらのメモリには、そのコンポーネントの ファームウェア が保存され、通常は書き換え可能です。必要なのは、適切なアドレスを知ることだけであり、製造元は通常、ファームウェアをアップグレードするためのツールを提供しているため、攻撃者が行うのは自分のコードを置き換えるだけです(暗号化はほとんどありません)。

たとえば、既知の(そしてかなり単純な) Appleキーボードのエクスプロイト があり、 K。Chen によって見つかります。 Chenのプレゼンテーションでは、キーストロークを注入することによってTCPポートでシェルを開くために使用可能なメモリ(約1kBのみを節約)を利用する方法、またはパスフレーズが予期されるコンテキストでキーストロークをログに記録して再生する方法を示しています。

実際のファームウェアの脆弱性の別の例については、 CVE-2010-0104:Broadcom NetXtreme管理ファームウェアのASFバッファオーバーフロー を試してください。これは一部のイーサネットファームウェアのバグであり、リモートの攻撃者がネットワークファームウェア(および少なくともすべてのネットワークトラフィックを積極的に攻撃する)を制御できるようにします。また、コンピューター全体を制御することもできます(エクスプロイトの有無はわかりません)。そのためですが、PCIバスにアクセスできるようになったら、多くのことが禁止されているとは思いません)。興味深いことに、バグは特にウェイクオンLANを処理するリモート管理プロトコルパーサーにあるため、スイッチがオフになっているコンピューターでこの脆弱性が悪用されるのが最も簡単です。

さらに別の例は ハードディスクコントローラの再フラッシュOHM 201 で表されます)です。

この質問 はビデオカードのファームウェアを要求します。私が書いているように、実際にマルウェアの例を挙げた人はいませんが、その可能性は確かにあります。

一般的なPCの侵害されたファームウェアに対する実際の保護はありません。コンピュータ内のすべてのフラッシュメモリを追跡する必要があります。ファームウェアの認証を要求する取り組みがあります。 PCでは、このような最も高度な作業は [〜#〜] tpm [〜#〜] であり、必要なハードウェアとハ​​ードウェアがある場合、現在BIOSとOSブートローダーの整合性をチェックできます。それをサポートするBIOS。すべてのコンポーネントのファームウェアの整合性がチェックされているPCについては知りません(少なくとも、PCIバスへのアクセスが許可される前に)。 ARMチップのセキュリティ機能 を活用するスマートフォンの世界でも同様の取り組みがありますが、ここでも、セキュリティ機能の存在から、信頼されたベースにすべてのファームウェアを含めることははるかに異なります。 。

実際には、目立たないターゲットではない場合、それほど心配する必要はありません。スクリプトキディレベルでの悪用はありません。しかし、技術的なスキル(または熟練したハッカーを雇う手段)を備えた攻撃者には、可能性が広がっています。

ファームウェアの攻撃は、時間の経過とともに簡単になっています。 Black Hat USA 2012で Jonathan Brossard は、「100を超えるさまざまなマザーボードに感染する可能性がある、インテルアーキテクチャ向けの一般的な概念実証マルウェア Rakshasa 」を発表しました。概念実証(公開されていない)は、多くのBIOSおよびネットワークチップを含む一般的な周辺機器に感染します。このようなファームウェア感染フレームワークが登場するまでの時間の問題です。 NSA 報告されています BIOSにスパイウェアを植えることを支持します。

さまざまなさまざまな周辺機器の間でコードを隠すことに加えて、復活を遂げている古い手法はブートセクターウイルスです。 Torpig/Sinowal/Anserinは、この手法の賢明な使用の最新の例です。つまり、ウイルスに感染すると、ブートストラップコードがMBRに読み込まれます。この手法を使用する場合、MBRにロードされたコードが次のことを行うことが期待できます。

  1. ウイルスが存在するかどうかを確認します
  2. そうでない場合は、ダウンロードして再感染させます

このようなものを確実にクリーンアップしてMBRをクリーンアップする唯一の方法。再パーティション化するか、fixmbrなどのツールを使用します。そのため、単に再インストールを行うだけで、時にはフォーマット/再インストールを行うだけでは不十分です。

8
Scott Pack

「クリーンインストール」と見なすものによって異なります。

D.W.以外にも言及したように、いくつかのものが、たとえば、「システムボリューム情報」や、追加のパーティション上のリサイクラーディレクトリ(システムの復元とごみ箱ディレクトリ)に残る可能性があります。これは新しいWindowsインストールで簡単に再アクティブ化できますが、Ubuntuでは機能しない可能性があります。とにかく、他のすべてのパーティションがウイルス駆除されない場合、これらのディレクトリのどこかにまだマルウェアが存在している可能性があります。おそらく何もせず、より良い日を待って、Windowsが再インストールされるのを待ちます]:->しかし、まだそこにあります。 Ubuntuのインストール後に行うことをお勧めするのは、clamavをインストールし、それを更新して、すべてのものを再スキャンすることです。

実際にフォーマットすべてを行う場合でも、D.W。製。

7
pootzko

BIOS /ファームウェア内の悪意のあるコードは可能ですが、より現実的な脅威の多くは見過ごされがちです。私の頭の上の2つの例:

OSリポジトリ/イメージ:侵害されている可能性があるため、システムのイメージを再作成するたびにバックドアOSまたはソフトウェアを再インストールしています。

帯域外管理:HPのILO、DellのIDRACまたはIPMI。システムを再インストールしたとしても、コンソールにアクセスできる帯域外管理が存在することは、侵害した人なら誰でも知っているかもしれません。

2

これに対する答えは、あなたのPCに対して行動する範囲内であなたが考える脅威(および攻撃者)の性質に依存すると思います。

一般的に-コンピューターのハードドライブを「実際の」再フォーマットし(他のポスターで述べられているように、ブートセクターを含む)、新しいオペレーティングシステム(Microsoft Windows以外のもの)をインストールした場合。 ..しかし、製造元の「復元パーティション」から単に「復元」するのではなく、DVDからインストールしている限り、Windowsでも実行できます。もちろん、同じマルウェアが原因で簡単に侵害される可能性があります。最初にO/Sを再作成します)。次に、MOST条件下でのMOSTユースケースの場合、これを行うと、最初に使用するときにコンピューターが「事前に妥協」されないという許容レベルの信頼性が得られます。 。

以前の投稿者が正しく指摘しているように、コンピューターの基本インフラストラクチャーに深刻な悪影響を与える可能性のある一連の高度なマルウェアおよび物理的/ BIOS改ざん攻撃が確実に存在することに注意してください。安全な方法は、それをジャンクして別のPCに移動することです。

私の経験では、これらのタイプの攻撃は非常にまれですが、(たとえば)脅威の高い環境にいる場合(たとえば、中国人またはイラン人の反体制派、エドワードスノーデンなど)は、攻撃を行わないほうがよいでしょう。チャンス...特に攻撃者が、ある時点で、問題のPCに物理的にアクセスした可能性がある場合。 (NSAは、他の国家レベルの諜報機関以外の誰もが検出または削除することは事実上不可能であるBIOSおよびハードウェアの妥協を植えることの専門家です。)

ちなみに、「新しい」PCを初期化するときに、多くの人が忘れているもう1つの脅威に注意します。つまり、「最後のPCで使用したのと同じローカルアクセスパスワード、特に管理者アカウントのパスワードを使用する」です。これの背後にある論理は簡単です。「「古い」PCにバックドアを設置してパスワードを傍受しました。インターネットに「新しい」PCが表示されるのを見て、最初のパスワードを推測します。 「新しい」PCに侵入しようとしたら、私は試すつもりですか?」

ちなみに、これはダーティトリックです。特権をゼロにして「ダミー」アカウントを設定し、「古い」パスワードを使用して注意深く監視してもらい、何が起こるか確認してください。実際には、「古い」PCを危険にさらした悪意のあるユーザーを誘惑するために、ローカルの「ハニーポット」を設定しています。もちろん、特権の昇格の悪用の可能性は常にあります。そのため、「ダミー」アカウントをロックダウンして、誰かが認証に成功しても、どこにも行けない、または何もできないように注意する必要があります。

重要なのは、侵害されたと思われる場合は、すぐにすべてのパスワードを変更することです。そして、信用しないでくださいanything物理的に侵害された可能性があります。そうすることで、(ほぼ)起こり得るすべての脅威から安全になります。

1
user53510

別の質問に重複としてフラグを立てながら、返信も書いていたので、誰かに役立つ場合に備えて、ここに残しておきます:

現実的には、ほとんどすべての種類のマルウェアが排除されます。

だが。

<偏執狂モード>

ブートキット: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

「到達不能」なHDD領域のデータを非表示にする: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

その他欠けているかもしれません。

</ paranoidモード>

要約する。これらの再インストール手順を実行した後も残りますが、それを維持するために感染の方法があります "real 「これで、ほとんどすべての標準的なマルウェア感染を取り除くことができます。

もちろん、インストール中に再度感染しないようになり次第。「アクティベータ」などのマルウェア/アドウェアを備えたOSインストーラ...

0
BBerastegui

そのような場合にも、特に回復力のある永続性を防ぐために、ブートセクターをゼロにし、BIOSを更新(または単に再フラッシュ)するのが私の習慣です。通常、ウイルスはネットワーク内またはOS内に残るため、ほとんど常に不要ですが、確実にしたい場合は、他の種類の永続性に対しても予防策を講じる必要があります。

0
Falcon Momot