SSDワイプで既知および未知のマルウェアを削除
OSを再インストールしてもマルウェアが存在しないという高い信頼を与えるHDDをワイプする方法を知っている人はいますか? LinuxやWindowsでツールを使用していますか?
私たちは、悪質な外国の国家によって危険にさらされたワークステーションから引き出されたさまざまなメーカーから、サイズが480GB-1TBの約70のSSDを持っています。組織全体にわたる大規模な攻撃の結果としてバックドア/悪意のあるコードが含まれていることが後で判明したWindows 10イメージを使用して複数のワークステーションが再構築されたときに、ネットワークが侵害されました。
マシン自体は交換されました。廃棄しないようにしたいのはSSDだけです。ホスト間で許可されるトラフィックがほとんどない状態で、ネットワークがロックダウンするように対策が講じられています。また、元の違反時に特定されたパターン/動作を探す高度なネットワークモニタリングも実施されています。そのため、悪意のあるコードが特定されて封じ込められると、私たちは高い信頼を得ます。
大規模な組織はゼロから再構築の過程にありますが、問題のネットワークは別のエンティティの管理下にあり、より経済的なアプローチが必要です。
編集:外国の俳優は、極東または近い同盟国から来ていると考えられています。対象となった組織は、5つの目のメンバーである国の連邦政府部門でした。
これは高度な標的型攻撃であり、デスクトップやサーバーでブートコードが侵害されています。悪意のあるSSD/HDDファームウェアの証拠は見つかりませんでしたが、他の領域で実証された機能により除外することはできません。これは間違いなく工場のアドウェアではありません。
TLDR:トスこれが唯一のオプションです。
あなたは、ドライブが証明されたやる気があり、資金が豊富な状態の俳優によって改ざんされていないことを確認する方法を求めています。しかし、ファームウェアが安全であることを確認する方法はありません。
私が考えることができる最良のオプションは、潜在的に危険にさらされているドライブと同じモデルの既知の改ざんされていないドライブからファームウェアを読み取ってから、比較を行うことです。この戦略の問題は、ファームウェアの内容を正確に報告するには、侵害された可能性のあるドライブを信頼する必要があることです。しかし、ドライブは潜在的に危険にさらされているなので、信頼できません。診断アクセスと実際の使用で異なるデータが返されないことをどのように確認できますか。
これは難しそうに聞こえるかもしれませんが、攻撃者にすばらしいスキルとリソースを要求しています。ドライブを投げて、コストを食べます。ごめんなさい :(