Alguien aquí en el trabajo acaba de hacer una afirmación interesante; afirmaron que es posible para el malware, lanzado en, por ejemplo, Windows, para permanecer en la RAM a través de un reinicio y continuar trabajando en Linux en la máquina cuando arranca.
¿Tienen razón? Estoy casi seguro de que eso es imposible, pero estoy feliz de ser corregido.
No son correctos . Todo lo que quede en la memoria después de que la máquina se reinicie, incluso si no se sobrescribe, no estará activo. Esto se debe a que no hay código en ningún sistema operativo usado que busque en el espacio no asignado en la memoria y ejecute cualquier cosa que parezca código. Si bien es posible que el malware especialmente diseñado sea multiplataforma e infecte a otro sistema operativo al tener acceso al dispositivo de almacenamiento en el que reside, no podrá persistir una infección quedándose en la memoria después del reinicio. Para obtener una descripción más completa del proceso de arranque, consulte Inicialización del sistema (x86) - OSDev .
Tenga en cuenta que esto solo se aplica a la memoria del sistema. En teoría, el malware que se ejecuta en la GPU puede persistir durante el reinicio. La razón de esto es que un reinicio en caliente simplemente reinicia la CPU. No enciende los periféricos del ciclo, por lo que una GPU discreta seguirá ejecutando el código y retendrá la memoria durante todo el proceso de arranque. El software malicioso creado para ejecutarse en la GPU puede utilizar el acceso directo a la memoria para volver a insertar el código malicioso en el sistema operativo principal. sistema. Sin embargo, esto será bastante específico del hardware, y no funcionará si el dispositivo se inicia desde un estado frío (es decir, la alimentación se corta, incluso a la GPU).
Son correctos . Sin duda, es posible que el malware migre entre sistemas operativos en el mismo host y en muchos estilos diferentes. Para responder mejor a esto, se deben hacer distinciones entre los sistemas operativos virtuales y el arranque dual, pero al final del día, un sistema operativo comprometido puede comunicarse e interactuar con el host directamente y, por lo tanto, comprometerlo.
Si estamos hablando específicamente de un escenario de arranque dual: el firmware malicioso puede comprometer todos los sistemas operativos del host. Entonces, ¿tenemos acceso físico para arrancar desde un firmware arbitrario? ¿El sistema operativo separado en cuestión está en un disco duro separado? ¿Qué sucede con las opciones de arranque seguro, las contraseñas de administrador de bios, el cifrado, etc.? Necesitamos saber mucho más para decirle cómo se hace esto específicamente. Sin embargo, estoy tratando de dar un resumen general.
Si estamos hablando de un escenario virtual: hay un montón de diferentes tipos de ataques alrededor de los escapes de la caja de arena del hipervisor. Depende de lo que hagas. Otro usuario declaró incorrectamente que, sea cual sea el ataque, probablemente no sea persistente , y eso es absolutamente incorrecto. No tenemos idea de cuál fue el compromiso inicial. Si escapó de una caja de arena de un hipervisor o arrancó el host desde un firmware arbitrario ... Se acabó el juego en términos de persistencia y difusión a toda la unidad de disco duro (según las condiciones mencionadas anteriormente).
Se requiere información más específica para responder con precisión a esto en detalle. ¿Tenemos acceso físico al host? ¿Los sistemas operativos están virtualizados? Etc. Aunque el TL; DR es sí, teóricamente, el malware puede propagarse entre sistemas operativos en el mismo host, tanto en el escenario virtual como en el de arranque dual. Se aplican implementaciones totalmente diferentes entre cada una, pero se cumple el mismo objetivo y es extremadamente común en el campo de investigación de malware.
Aquí hay una pregunta muy vagamente relacionada que describe los riesgos de seguridad entre la utilización de la virtualización o el inicio dual: ¿Existe una ventaja de seguridad al usar una Máquina Virtual sobre el arranque dual?