¿Puede el malware tener su propio GRUB / cargador de arranque y usarlo para estar activo?

Navega tus respuestas
1

Yo uso Ubuntu 16.04. Después de montar una ISO que puede o no tener malware, mi sistema a veces muestra una pantalla en blanco después de iniciar sesión en Ubuntu o se reinicia uno o dos minutos después de iniciar sesión en Ubuntu o como hoy, cuando llegó a la pantalla de Grub y reiniciado. Luego llegó a la pantalla de Grub y se reinició de nuevo. La tercera vez que llegué a la pantalla de Grub y la cuenta regresiva para la selección automática del sistema operativo fue una cuenta regresiva de 25 segundos. Esto era inusual porque había puesto la cuenta atrás en 10 segundos. Desconecté mi teléfono inteligente del puerto USB de la computadora, reinicié con fuerza nuevamente, y esta vez la cuenta atrás de Grub fue de 10 segundos y no ocurrió ningún problema.

He tenido mi teléfono conectado de este modo a la computadora durante dos meses y no he observado ningún comportamiento extraño, por lo que descarto que el teléfono Android podría ser la causa. Sin embargo, dado que el tiempo de espera de Grub fue de 25 segundos, me preguntaba si podría haber un malware que instale su propio GRUB y opte al azar para arrancar desde él, concediéndole privilegios de root de alguna manera.

¿Es esto posible o solo estoy siendo paranoico?

P.S. También debo mencionar que este problema de reinicio de la computadora solía ocurrir hace tres meses, que creo que es aproximadamente la vez que monté el mismo archivo ISO en Ubuntu. Limpié el disco duro y reinstalé el sistema operativo sospechando una infección. Pero pensé que la infección podría provenir de un pendrive que inserté en la computadora de un amigo. Solo ahora sospecho que los reinicios podrían estar relacionados con esa ISO.

    
pregunta Nav 11.02.2018 - 12:37
fuente

1 respuesta

1

Los conceptos básicos del proceso de arranque

Primero, necesitas saber cómo funciona un gestor de arranque. Cuando el sistema se inicia por primera vez y el BIOS está a cargo, se inicializan todos los dispositivos necesarios para el inicio. Luego lee el CMOS para averiguar el dispositivo correcto desde el que arrancar. Abre el primer dispositivo y lee el primer sector de 512 bytes (donde debería estar instalado el MBR) en la memoria. Específicamente, transfiere el primer sector a la dirección física 0x7c00. Si los dos últimos bytes del sector son 0x55aa, lo considera un sector de arranque válido y lo ejecuta. En este punto, el BIOS está fuera de la imagen y el MBR se está ejecutando. El MBR es demasiado pequeño para arrancar la mayoría de los sistemas, así que en su lugar arranca la segunda etapa del cargador de arranque. Todo lo que tiene que hacer es poder localizar y ejecutar algunos datos en el disco duro que contiene el resto del cargador de arranque. En este caso, los módulos básicos de GRUB. En este punto, GRUB es completamente funcional y hace toda su magia para cargar su kernel e iniciar el proceso de arranque del sistema operativo. Ahora, ¿cómo puede el malware secuestrar esto?

Secuestrando el proceso

Si el malware desea modificar su proceso de arranque para que lo haga al azar con un código malicioso en juego, puede hacer una de varias cosas. En orden de niveles crecientes de sofisticación y sigilo:

  • Puede modificar el cargador de arranque de la segunda etapa o su configuración directamente, de modo que cuando se ejecuta, cambia su comportamiento al azar, realizando acciones maliciosas durante algunos arranques.

  • Puede modificar el MBR en el primer sector en la unidad de arranque para, al azar, elegir cargar un cargador de arranque de segunda etapa diferente. La segunda etapa diferente inyectaría código malicioso.

  • Podría modificar su BIOS para que cargue un MBR malicioso diferente para algunas botas. Esto es más difícil de lograr, pero es posible. Las infecciones de BIOS son bastante raras.

  • Podría modificar el firmware del disco duro para devolver datos maliciosos en el primer sector al azar. Esto requeriría un nivel muy alto de experiencia y es extremadamente raro (prácticamente desconocido).

Los síntomas mostrados

Pero aquí está la pregunta importante ... ¿Son los síntomas que está describiendo indicativos de alguno de los escenarios anteriores? Veamos los síntomas tal como los describió, uno por uno:

  • Su cargador de arranque contó desde 25 segundos, a pesar de que ha establecido un tiempo de espera más bajo.

  • Su instalación de Ubuntu a veces tiene una pantalla en blanco después de iniciar sesión o se reinicia al azar.

  • Se reinició sin que usted le ordenara hacerlo cuando cargó GRUB.

¿Son estos síntomas de un bootkit? No . El primer problema es muy probablemente un problema de configuración. Cada actualización, su instalación de Ubuntu actualiza el archivo de configuración de GRUB. El archivo de configuración es muy complejo y tiene un gran número de instrucciones condicionales. No sería sorprendente si sus configuraciones se sobrescriben ocasionalmente. El segundo problema solo suena como un error en Ubuntu. Tal vez un controlador para su hardware es buggy. Tuve un viejo sistema de Ubuntu que hizo algo similar. Una actualización lo arregló. Su tercer problema suena como un error en GRUB, o tal vez un error de hardware. Todo lo que estás experimentando es la falla del software. Como los errores siguen siendo molestos, puede intentar reinstalar GRUB o restablecer la configuración. Quizás busque en línea para ver si hay erratas conocidas para su software. Verifique los registros de su sistema para ver si está reportando un bloqueo de la aplicación que pueda llevar a la pantalla en blanco. Y, por supuesto, asegúrate de estar actualizado, para que obtengas todas las correcciones de errores más recientes para tu configuración.

Malware quiere ser sigiloso. No quiere que se descubra su presencia. El malware que es lo suficientemente bueno como para secuestrar el proceso de arranque será muy sigiloso y no revelará su existencia a través de algo tan simple como un choque espontáneo. Así que no, esto no es malware .

    
respondido por el forest 12.02.2018 - 03:57
fuente

Lea otras preguntas en las etiquetas

algoritmo de intercambio de claves TLS = ¿Algoritmo de firma de certificado? ¿Cuál sería la mejor manera de autenticar a un usuario en un entorno móvil multiusuario fuera de línea?