¿Se puede transferir una infección de BIOS o UEFI a otras unidades de almacenamiento sin la presencia del sistema operativo?

2

Ya sé que un malware BIOS o UEFI se "activa" solo en el entorno del sistema operativo. Sin embargo, ¿es posible que un mecanismo de propagación se active sin la presencia del sistema operativo, de modo que infecte las unidades de almacenamiento conectadas (IDE, SATA o USB) con el mismo u otro malware?

Escenario de ejemplo :

Deje que una PC con BIOS o UEFI esté infectada, conectada a tres unidades de almacenamiento: un disco SATA, un disco IDE y una unidad de almacenamiento USB.

Se inicia la PC y después de un tiempo se imprime " No hay dispositivo de arranque ". Durante esa etapa, ¿podría alguna unidad de almacenamiento estar infectada por el BIOS o el malware UEFI?

NOTA : me concentro en el hecho de que BIOS o UEFI pueden copiar datos (maliciosos o no) a otras unidades, independientemente del sistema de archivos de las unidades de almacenamiento. Si los datos no se pueden copiar a otras unidades al intentar iniciar, también lo hace el malware (supongo).

    
pregunta pgmank 23.09.2015 - 12:27
fuente

2 respuestas

4

Hay siempre un sistema operativo, aunque no necesariamente complejo. El BIOS es un sistema operativo en el sentido estricto del término: proporciona acceso al hardware a través de una API independiente del hardware. El código de inicio para un sistema operativo (o algún malware que pretende ser ese código de inicio) utiliza la API proporcionada por el BIOS para leer (y posiblemente escribir) bytes del disco duro.

Teóricamente, nada impediría que una pieza de malware, instalada como "código de inicio", use el BIOS para observar los discos duros, localizar archivos "infectables" e infectarlos. Esto implicaría dar sentido a la estructura del sistema de archivos, que normalmente es un trabajo realizado por el sistema operativo "grande" (Windows o Linux o OS X o lo que sea). Si el malware quiere hacer esto por sí mismo, entonces debe incluir el código para hacerlo, que puede ser voluminoso, o tomar un esfuerzo de desarrollo no despreciable. Por lo tanto, aunque es posible, se puede esperar que la mayoría de los autores de malware, no siendo menos perezosos que cualquier otro desarrollador, preferirán evitarlo. Iniciar un sistema operativo "normal" y luego usar sus facilidades para acceder a los archivos es más fácil.

El cargador de arranque GNU GRUB no es en absoluto malware; es una pieza de software cuyo trabajo es aprovechar los accesos de bajo nivel del BIOS para ubicar y cargar en la RAM los elementos centrales de un sistema operativo para arrancar (por ejemplo, el kernel en el caso de Linux). Como parte de su funcionamiento, incluye soporte para muchos sistemas de archivos . Un autor de malware que quiera localizar e infectar archivos en un sistema de archivos desde un entorno de "cargador de arranque" probablemente reutilizará partes de GRUB. En cualquier caso, GRUB demuestra que el código de soporte del sistema de archivos puede ser lo suficientemente compacto como para ajustarse a las restricciones del entorno de carga de arranque.

    
respondido por el Tom Leek 23.09.2015 - 15:15
fuente
1

Centrándose en el más simple de los dos, el arranque del BIOS, la respuesta es no. Para citar esta referencia de IBM enlace de IBM

  

Los problemas históricos limitan el tamaño de un programa de cargador de arranque provisto por el usuario a un poco menos de 512 bytes. Como este espacio no es suficiente para implementar todos los controladores de dispositivos posibles que podrían ser necesarios para acceder a diferentes pantallas y dispositivos de almacenamiento, es necesario que el BIOS instale interfaces de software estandarizadas para todo el hardware instalado y reconocido que pueda ser requerido por el cargador de arranque.

El sistema necesita cargar controladores de dispositivo que no se ajusten al espacio de memoria del firmware y, por lo tanto, el sistema operativo está presente durante la etapa de arranque involucrada en el descubrimiento de las unidades.

    
respondido por el zedman9991 23.09.2015 - 15:23
fuente

Lea otras preguntas en las etiquetas