¿Es suficiente realizar una instalación limpia para eliminar el malware potencial?

Es posible que el malware persista en un cambio de formato y reinstalación, si es lo suficientemente ingenioso y sofisticado: por ejemplo, puede persistir en la BIOS, en el firmware para periféricos ( algunos dispositivos de hardware tienen firmware que se puede actualizar y, por lo tanto, podrían actualizarse con firmware malicioso), o con un virus que infecta archivos de datos en un almacenamiento extraíble o en sus copias de seguridad.

Sin embargo, la mayoría de los programas maliciosos no hacen nada tan desagradable. Por lo tanto, si bien no hay garantías, el re-formateo y la reinstalación deberían deshacerse de casi todos los programas maliciosos que probablemente encuentre en la naturaleza.

Personalmente, me encantaría volver a formatear y reinstalar. Probablemente sea lo suficientemente bueno en la práctica.

Definitivamente, es posible que un atacante ligeramente sofisticado deje el malware fuera del alcance directo del sistema operativo. Reinstalar el sistema operativo significa un borrado de disco como máximo. Incluso allí, debe tener cuidado si restaura cualquier dato que pueda haber sido comprometido.

El malware se puede almacenar en una de las muchas memorias regrabables que se esconden en casi todos los componentes de una computadora moderna. Estas memorias almacenan el firmware de ese componente y, por lo general, son regrabables; todo lo que se necesita es conocer la dirección correcta, y los fabricantes suelen proporcionar herramientas para actualizar el firmware, por lo que todo el atacante debe sustituir su propio código (casi nunca hay criptografía).

Por ejemplo, hay un conocido (y bastante simple) exploit para los teclados de Apple , encontrado por K. Chen . La presentación de Chen muestra cómo aprovechar la memoria disponible (solo alrededor de 1kB de repuesto) para abrir un shell en un puerto TCP inyectando pulsaciones de teclas, o registrar las pulsaciones de teclas en un contexto donde se espera una frase de contraseña y reproducirlas.

Para ver otro ejemplo de una vulnerabilidad de firmware en libertad, intente CVE-2010-0104: ASF de firmware de administración de Broadcom NetXtreme desbordamiento de búfer . Este es un error en algunos firmware de Ethernet que le permite a un atacante remoto tomar el control del firmware de la red (y por lo menos atacar activamente todo el tráfico de la red), y potencialmente de toda la computadora (no sé si hay una vulnerabilidad para eso, pero una vez que tenga acceso al bus PCI, dudo que haya mucho prohibido). Curiosamente, esta vulnerabilidad es más fácil de explotar en una computadora que está apagada, ya que el error está en un analizador de protocolo de administración remota, que en particular maneja la activación de LAN.

Otro ejemplo es volver a flashear un controlador de disco duro (presentado en OHM 2013 ).

Esta pregunta solicita firmware en las tarjetas de video. Mientras escribo, nadie ha dado un ejemplo de un malware en la naturaleza, pero la posibilidad está definitivamente ahí.

No hay una protección real contra el firmware comprometido en una PC típica. Necesitará realizar un seguimiento de cada pieza de memoria flash en la computadora. Hay esfuerzos para requerir que el firmware sea autenticado; en las PC, el esfuerzo más avanzado es el TPM , que actualmente puede verificar la integridad del BIOS y del cargador de arranque del SO, Si tiene el hardware requerido y un BIOS que lo soporta. No tengo conocimiento de una PC en la que todos los componentes tengan su firmware verificado de integridad (al menos, antes de que se les permita acceder al bus PCI). Hay esfuerzos similares en el mundo de los teléfonos inteligentes aprovechando las características de seguridad de los chips ARM , pero de nuevo es una gran diferencia. llore desde la existencia de la característica de seguridad hasta la inclusión de todo el firmware en la base confiable.

En la práctica, si no eres un objetivo de alto perfil, no tienes que preocuparte mucho. No hay ninguna hazaña en la naturaleza a nivel de script para niños. Pero las posibilidades abundan para su atacante con habilidades técnicas (o los medios para contratar a un pirata informático calificado).

Los ataques de firmware son cada vez más fáciles con el tiempo. En Black Hat USA 2012, Jonathan Brossard presentó " una prueba genérica de malware para la arquitectura de inteligencia, Rakshasa , capaz de infectar más de un centenar de diferentes placas base ". La prueba de concepto (no publicada públicamente) infecta muchos BIOS y periféricos comunes, incluidos los chips de red. Es solo cuestión de tiempo hasta que dichos marcos de infección de firmware aparezcan en la naturaleza. La NSA se ha informado para favorecer la instalación de spyware en la BIOS.

Además de ocultar su código entre varios y diversos periféricos, una vieja técnica que está regresando es el virus del sector de arranque. Torpig / Sinowal / Anserin es el ejemplo más reciente de uso juicioso de esta técnica. En resumen, una vez infectado, el virus cargará un código de arranque en el MBR. Si se usa esta técnica, se puede esperar que el código cargado en el MBR haga lo siguiente:

1. Comprueba si el virus está presente
2. Si no es así, descargue y vuelva a infectar

La única forma de limpiar de manera confiable algo como esto para limpiar el MBR. Ya sea a través de la re-partición, o utilizando una herramienta como fixmbr. Como tal, simplemente hacer una reinstalación, y algunas veces un formato / reinstalar, no es suficiente.

Depende de lo que consideres "una instalación limpia".

Además de lo que D.W. mencionado, algunas cosas podrían permanecer en, por ejemplo, "Información de volumen del sistema" y / o directorios de recicladores (directorios de la papelera de restauración y reciclaje del sistema) en cualquier partición adicional que pueda tener. Eso podría reactivarse fácilmente en una instalación nueva de Windows, pero lo más probable es que no funcione en Ubuntu. De todos modos, si todas estas otras particiones no se desinfectan, significa que aún podría haber algún malware en algún lugar de estos directorios, probablemente no haciendo nada, solo esperando que lleguen días mejores, para que Windows vuelva a instalarse]: - > pero aún así ... Lo que sugiero que hagas después de instalar Ubuntu es instalar clamav, actualizarlo y volver a escanear todo lo que tienes ..

Si realmente formateas todo , todavía quedan los puntos D.W. hecho.

El código malicioso dentro de BIOS / firmware es posible, pero muchas veces se pasan por alto muchas amenazas más realistas. Dos ejemplos de la parte superior de mi cabeza:

Imágenes / repositorios del sistema operativo: pueden verse comprometidos, por lo que esencialmente está reinstalando un sistema operativo o software de puerta trasera cada vez que vuelva a crear imágenes de sus sistemas.

Administración fuera de banda: HP ILO, IDRAC o IPMI de Dell. Incluso reinstalando su sistema, quien lo haya comprometido puede que ya sepa que hay administración fuera de banda con acceso a la consola disponible.

Creo que la respuesta a esto depende de la naturaleza de las amenazas (y atacantes) que consideres dentro del alcance para actuar contra tu PC.

EN GENERAL - Si realiza un cambio de formato "real" del disco duro de la computadora (incluidos, como han mencionado otros carteles, los sectores de arranque), e instale un nuevo sistema operativo (que no sea Microsoft Windows , con suerte ... pero incluso Windows lo hará, siempre y cuando lo instales desde un DVD en lugar de simplemente "restaurar" desde la "partición de restauración" del fabricante, que por supuesto podría haber sido comprometida fácilmente por el mismo malware que es la razón para volver a crear el O / S en primer lugar), luego, para la mayoría de los casos de uso en la mayoría de los casos, al hacerlo, debe proporcionar un nivel de confianza aceptable de que la computadora no estará "pre-comprometida" para cuando primero úsalo.

Habiendo dicho eso, tenga en cuenta que, como han señalado correctamente los carteles anteriores, definitivamente hay una serie de malware avanzado y ataques de manipulación de BIOS / físicos, que pueden poner en peligro la infraestructura básica de la computadora, por lo que realmente solo 100% seguro es solo para eliminarlo y pasar a otra PC.

En mi experiencia, estos tipos de ataques son muy raros, pero si (por ejemplo) estás en un entorno de alta amenaza (por ejemplo, eres un disidente chino o iraní, eres Edward Snowden, etc.) eres el mejor no arriesgarse ... particularmente si es probable que un atacante pueda, en algún momento, tener acceso físico a la PC en cuestión. (La NSA es experta en la implementación de BIOS y compromisos de hardware que son virtualmente imposibles de detectar o eliminar por parte de otra agencia de inteligencia a nivel nacional o nacional)

Por cierto, me gustaría señalar otra amenaza que mucha gente olvida al iniciar una "nueva" PC: a saber, "usar la misma contraseña de acceso local, particularmente la contraseña de la cuenta del administrador, como la usé en la última PC. ". La lógica detrás de esto es sencilla: "Puse una puerta trasera en su PC 'antigua' e intercepté su contraseña; por lo tanto, cuando veo su PC 'nueva' aparece en Internet ... adivine qué contraseña es la primera que Voy a intentarlo, cuando intente entrar en la 'nueva' PC? "

Por cierto, aquí hay un truco sucio: configura una cuenta "ficticia", con cero privilegios y haz que se supervise cuidadosamente, usando la contraseña "antigua" ... y espera a ver qué sucede. En efecto, está configurando un "honeypot" local para atraer a los malhechores que comprometieron su PC "antigua". Por supuesto, siempre existe la posibilidad de una explotación de privilegios, por lo que debe tener mucho cuidado de bloquear la cuenta "ficticia", por lo que incluso si alguien se autentica correctamente, no puede ir a ningún lado ni hacer nada.

El punto es, cambie todas sus contraseñas, inmediatamente, si cree que ha sido comprometido. Y no confíe en nada que pueda haber sido comprometido físicamente. Haga eso y debería estar a salvo de (casi) todas las amenazas probables.

Es mi costumbre poner a cero el sector de arranque y actualizar (o simplemente volver a actualizar) el BIOS en tales casos, solo para protegerse contra una persistencia particularmente resistente. Es innecesario casi todo el tiempo, ya que generalmente los virus persisten en la red o en el sistema operativo, pero si quieres estar seguro de que también debes tomar precauciones contra otros tipos de persistencia.

Mientras marcaba otra pregunta como duplicada, también estaba escribiendo la respuesta, así que lo dejo aquí por si acaso es útil para alguien:

Para ser realistas, eso eliminará el tipo de malware que es la mayoría de todos .

Pero.

< modo paranoico >

  

Bootkits:    enlace

     

Ocultar datos en áreas de disco duro "inalcanzables": enlace

     

Otros que pueden faltar.

< / modo paranoico >

Para resumir. Existen formas de infección que se mantendrán después de realizar los procedimientos de reinstalación, pero para mantenerlo " real ", se eliminarán casi todas las infecciones de malware estándar.

( tan pronto como no vuelvas a infectarte durante la instalación, por supuesto. Instaladores de sistemas operativos con programas maliciosos / adware, como los "activadores" y otros ... )