web-dev-qa-db-ja.com

MBRとBIOSのほかに、ルートキットがハードドライブのフォーマット後も持続することは可能ですか?

システムが感染し、1つのハードドライブ以外に他のストレージユニットがない場合。

BIOSに感染する以外に、ルートキットがシステムに留まる方法は他にありますかOR「高軌道からの核」後のドライブのMBR。

8
Digital fire

通常は違います。自己起動領域ではありません。 「帯域外」の領域では、ディスクワイプによって上書きされないデータがある可能性がありますが、これらの領域には通常はアクセスできません。そうすると、その領域はワイプからもアクセス可能になります。

理論的には、非常に大きいの値は理論的には、はいsomeハードドライブには、そこにmayアクセス可能で、自己起動し、複雑なマルウェアをホストできる3番目のメモリ領域があります(たとえば、 最小Linuxカーネル と同じくらい複雑)。

更新:上記のトリック カスペルスキーによって実際に報告されました

この領域は通常、ハードドライブがホストコンピューターに接続されているデータケーブルを介して(プログラミングのために)アクセスされるのではなく、製造プロセス中にのみ使用される専用のJTAGコネクタを介してアクセスされます。

また、プログラミング命令は、ハードドライブコントローラーのCPUチップに合わせて特別に調整する必要があります。同じHTTPプロトコルがMotorola搭載の古いMacまたはIntel 80386によって「発声」されるのと同じように、2つのCPUが同じ言語を「話す」ことはないため、同じ製造元の2つのディスクにAvagoチップが搭載されている場合があります。 、またはマーベルのもの-そして、それらは異なる完全に互換性のない指示を必要とします。

次に、問題は、マルウェアを特別に標的化する必要があることであり、すべてではないにしても、ほとんどの場合、カスタムによるJTAGコネクタへのハードウェアの物理的アクセスケーブルが必要になります。したがって、純粋なソフトウェアマルウェアにはチャンスはありません。いくつかのプログラミングバックドアが製造元によってファームウェアで焼き付けられていなかった場合を除いて、いくつかの費用を節約し、JTAG全体を使わずに済ませるために。 予想通り、そうだったようです

このようにしてハッキングされたディスクは完全に信頼できないです。 SATAケーブルからハードディスクに対して行うことは、実際には、ユーザーに代わってアクションを実行するためのディスクSoCへの丁寧な要求にすぎません。改ざんされていないSoCは従います(または、嘘をついてyourの利点:たとえば、セクターが即座に書き込まれたことを報告しますが、実際には、パフォーマンスを向上させるためにライトバックキャッシュに保持されています)。改ざんされたSoCは、それに従っていない可能性があり、嘘をつきます(そうするか、改ざんしても意味がありません)。

ブートローダーを上書き(要求)し、それを読み戻して、ゼロにされたという熱狂的な確認を受け取ることができます。 (頼む)その場所にクリーンなブートローダーを書いて、それを再度読んで、それがhasが書かれてコミットされたという傲慢な確認を受け取ります。次に、電源を入れ直します---still悪意のあるブートローダーを、本来あるはずのディスクではなく、ディスクから取り出します bluepilling システム。

もちろん、マルウェアは感染するために使用中のオペレーティングシステムを認識し、それを介してファイル、ネットワーク、キーボードなどへのより高度なアクセスを取得する必要があります。これは、オペレーティングシステムを妨害して、独自のコードをディスクからロードしようと試み、代わりに感染ルーチンを含む変更されたコードを提供することによって行われます。変更されたコードはオペレーティングシステムと互換性がある必要がありますandより高度な手法を使用しない限り、オペレーティングシステムが自身のコードを自己チェックする場合、それは無力です。

実際の確率は、合理的に一般的なシナリオの場合、十分に考慮されています。

一方、NSAの作業に対する感謝の印として新しいデスクトップを受け取った場合は、ディスクをワイプし、HPAとDCOをゼロにし、 Gutmann-blasting すべてのシングルを消去します。 十分ではない

8
LSerni

BIOSを置き換えた場合、 Windowsプラットフォームバイナリテーブル(WPBT) を介してマルウェアを提供し、ハードディスクを新しいものに交換した後でもWindowsマシンに再感染する可能性があります。

これは lenovorootkit2015年8月以降 がクリーンな再インストール後もそれ自体を維持するために使用したものです。

2
Ángel

はい、少なくともブートキットはこれを行うことができ、今やそれは簡単なことです。

John LoucaidesとAndrew Furtakiは、Lighteaterブートキットでそれを示しました。彼らはCanSecWestに 「何百万のBIOSに感染させたいですか?」というタイトルのスピーチを行いました。 それを取り除く唯一の方法は、マザーボードをフラッシュすることです。

LighteaterはBIOSフラッシュ保護を利用しているため、ディスクを変更しても何の効果もありません。その後、コンピューターを引き継いでディスクを再プログラムすることができます。

現在、これに対する唯一の保護は、BIOS/UEFIをフラッシュし、できるだけ頻繁に更新することです。

こちらもご覧ください:

1
Greeneco

ここにあります ホストの保護領域とドライブ構成のオーバーレイについてのスーパーユーザーに関する議論。

  • ホスト保護領域 は通常、オペレーティングシステムでは使用できません。通常、製造元はそれらを使用して、リカバリメディアやその他のユーティリティを隠します。
  • ドライブ構成オーバーレイ は同じ取引の一種ですが、これはドライブの構成に使用されます。ドライブで使用可能なシリンダー数と機能に関するレポート。

理論的には、これらのセクションにデータを保存することは可能であり、標準のドライブワイプには触れられません。スーパーユーザーディスカッションでは、この目的でhdparmに触れます。この手法を使用する既存のルートキットについては知りません。

1
Ohnana

はい、それがGPU Ramに常駐している場合、再起動および再フォーマット後も存続できます。

GPUは必ずしも必要ではないため、再起動(PCIeデバイスへの電力が切断されず、D3コールドに移行しない、いわゆるウォームリブート)に耐えることができるGPUベースのマルウェアの永続性について読むことをお勧めします。電源が切れ、システムが復帰すると、システムメモリに対するDMA攻撃を実行できます。

GPUマルウェアがメモリに常駐し、他の場所に存在しないと仮定すると、システムをシャットダウン(フルパワーオフ)すると、GPUへの電力が切断されます。

0
Tyler