Además de MBR y BIOS, ¿es posible que un rootkit permanezca persistente después de un formato del disco duro?

5

Si un sistema se infecta y no tiene otras unidades de almacenamiento además del único disco duro.

¿Existe alguna otra forma para que un rootkit permanezca en el sistema además de infectar el BIOS O el MBR de dicha unidad después de una 'bomba nuclear de alta órbita'?

    
pregunta Digital fire 21.01.2015 - 18:29
fuente

4 respuestas

6

Normalmente, no. No en un área de auto arranque. Es posible que tenga datos no sobrescritos por el borrado del disco, en áreas "fuera de banda", pero esas áreas normalmente no son accesibles, y si se hacen así, también se puede acceder al borrado.

Teóricamente, para valores de muy grandes de teóricamente, sí . En algunos discos duros, puede haber una tercera área de memoria que sea accesible, con arranque automático y capaz de albergar un malware complejo (tan complejo como, digamos, un kernel de Linux mínimo ).

( Actualización : el truco anterior )

ha informado de que Ciber-espionaje "> se encuentra en estado salvaje.

Normalmente no se accede a esta área (para la programación) a través del cable de datos mediante el cual se conecta el disco duro a la computadora host, sino a través de un conector JTAG especializado que solo se usa durante el proceso de fabricación.

Además, las instrucciones de programación deben adaptarse específicamente al chip de la CPU del controlador del disco duro; así como el mismo protocolo HTTP puede ser "hablado" por un Mac antiguo con tecnología Motorola o Intel 80386, pero las dos CPU nunca "hablarán" el mismo idioma, así que dos discos del mismo fabricante pueden tener un chip Avago , o Marvell one - y requerirán instrucciones diferentes y totalmente incompatibles.

El problema entonces es que el malware debería ser dirigido específicamente , y en la mayoría de los casos, si no en todos, se requerirá acceso físico al conector JTAG mediante un cable personalizado. Por lo tanto, un malware puramente de software no tendría ninguna posibilidad . A menos que el fabricante haya quemado alguna programación de puerta trasera en el firmware, para ahorrar algo de dinero y prescindir de todo el material de JTAG. Lo que, como era de esperar, parece haber sido el caso .

Un disco así pirateado es completamente indigno de confianza . Lo que haga al disco duro desde el cable SATA en realidad no es más que una solicitud cortés al SoC del disco para realizar alguna acción en su nombre. Los SoC no controlados obedecerán (o le mentirán a usted sobre su su ventaja: por ejemplo, informar que un sector se ha escrito al instante, mientras que en realidad se guarda en un caché de escritura para aumentar el rendimiento). Un SoC manipulado podría desobedecer y mentir sobre eso (y lo hará, o no tendría sentido manipularlo).

Usted podría (pedirle) que sobrescriba el cargador de arranque, que lo lea nuevamente y reciba una confirmación entusiasta de que se ha puesto a cero; (pida) escriba un cargador de arranque limpio en su lugar, vuelva a leerlo y reciba una confirmación arrogante de que se ha escrito y confirmado . Luego, el ciclo de alimentación ... y todavía tiene un cargador de arranque malicioso saliendo del disco en lugar del que usted creía que debería haber estado allí, por lo tanto, bluepilling el sistema.

Por supuesto, el malware debe estar al tanto del sistema operativo en uso para infectarlo y obtener, a través de él, un acceso más sofisticado a los archivos, la red, el teclado, etc. Lo haría al interceptar los intentos del sistema operativo de cargar su propio código desde el disco, proporcionando en su lugar código modificado que contiene las rutinas de infección. El código modificado tendría que ser compatible con el sistema operativo, y sería impotente si el sistema operativo verificara su propio código, a menos que se usaran técnicas más avanzadas.

La probabilidad real está en los niveles bajos para cualquier escenario razonablemente común.

Por otro lado ... si acaba de recibir un escritorio nuevo como muestra del aprecio de NSA por su trabajo, entonces no: borrando el disco, reduciendo a cero su HPA y DCO y Gutmann-blasting cada sector que tiene, no será suficiente .

    
respondido por el LSerni 21.01.2015 - 23:22
fuente
1

Aquí está una discusión sobre el superusuario sobre áreas protegidas del host y superposiciones de configuración de la unidad.

  • Las Áreas protegidas del host generalmente no están disponibles para un sistema operativo. Normalmente, los fabricantes los utilizan para ocultar los medios de recuperación y otras utilidades.
  • Las superposiciones de configuración de la unidad son algo del mismo tipo, pero se usa para configurar la unidad, es decir. informe sobre la cantidad de cilindros y las funciones disponibles en la unidad.

En teoría, es posible almacenar datos en estas secciones, y no se toca con una limpieza de disco estándar. La discusión del Superusuario toca hdparm para este propósito. No conozco ningún rootkits existente que use esta técnica.

    
respondido por el Ohnana 21.01.2015 - 19:37
fuente
1

Si reemplazó el BIOS, podría, a través de la Tabla de Binarios de la Plataforma de Windows (WPBT) , proporcionar una malware almacenado allí, reinfectando una máquina Windows incluso después de reemplazar el disco duro por uno nuevo.

Esto es lo que fue utilizado por el lenovo rootkit desde agosto de 2015 para persistir incluso después de una reinstalación limpia.

    
respondido por el Ángel 06.09.2015 - 01:10
fuente
1

Sí, al menos un bootkit puede hacer esto, y ahora se ve que es fácil;

John Loucaides y Andrew Furtaki lo han demostrado con su kit de arranque Lighteater. Dieron un discurso de CanSecWest titulado "¿A cuántos millones de BIOS quieres infectar?" La única forma de deshacerse de Es para flashear tu placa base.

Incluso cambiar el disco no serviría de nada, ya que Lighteater explota la protección flash del BIOS y luego puede reprogramarlo por sí solo, tomando el control de su computadora.

Actualmente, la única protección contra esto es actualizar tu BIOS / UEFI y actualizarlo tan a menudo como puedas.

También vea:

respondido por el Con 24.03.2015 - 21:00
fuente

Lea otras preguntas en las etiquetas