Domanda:
Un malware può alimentare un computer?
Benoit Esnard
2019-02-12 22:21:43 UTC
view on stackexchange narkive permalink

Ho appena scaricato ed eseguito un malware sul mio computer.

Non ho molto tempo in questo momento, quindi l'ho spento (l'ho spento tramite il menu Start) , sperando che non sia in grado di rubare dati o svolgere attività dannose finché non riesco a eliminarlo dall'orbita.

  • È sufficiente per impedire al malware di continuare a svolgere attività dannose?
  • Il malware può accendere il mio computer?
  • Devo anche scollegarlo e rimuovere la batteria?
Sono confuso, se stai pianificando di bombardarlo dall'orbita, cosa importa se fa quello che fa?La parte più importante è tagliare la rete.
_ (mettendosi un cappello di carta stagnola e notando che non sono un esperto in questo settore) _ È possibile che il malware possa trasformarsi in bios per farlo riattivare in un determinato momento?
penso che tu abbia bisogno di perm più alti per programmare un risveglio rtc o per configurare il bios per WOL ...
Cosa succede se il malware viene eseguito in un laptop con una batteria saldata al 100% di carica?
@dandavis e ci sono modi per ottenere privilegi elevati, incluso il bypass dell'intero sistema operativo.C'era una presentazione DefCon in cui il malware riusciva a bypassare tutte le finestre, modificare la ROM, quindi sarebbe stato eseguito e sarebbe rimasto in memoria completamente fuori dalla portata del sistema operativo.Quindi, anche se avvii Linux, sarebbe ancora in circolazione e avrebbe accesso a tutti i dati in memoria.Quindi, in breve, questo non è necessariamente un ripiego.Tuttavia, non so quale malware abbia OP.
Ci sono funzioni di sveglia del BIOS, il malware potrebbe programmarle.Dipende dal tuo hardware come evitarli.Scollegare sicuramente aiuterà.
Come facciamo a sapere che il malware non ha già acceso il tuo computer per pubblicare questa domanda?In realtà, Benoit è profondamente addormentato e questo è un malware ISSE sofisticato e benevolo.:-p
"quindi l'ho appena spento (l'ho spento tramite il menu Start)" Se stai utilizzando Windows 10, è molto probabile che il computer sia in uno stato di sospensione / ibernazione invece che completamente spento.
@enon: Semplice, dissaldare la batteria.
Cinque risposte:
LSerni
2019-02-12 23:21:05 UTC
view on stackexchange narkive permalink

TL; DR Sì, ma è improbabile. Per sicurezza, scollega il PC o assicurati che non possa connettersi a nulla.

Diversi sistemi operativi, in particolare Windows 10, hanno la possibilità di impostare " riattivazione automatica" , utilizzando driver appropriati e la relativa e complicata gestione dell'hardware.

Di conseguenza, SE (e questo è un grande se!) Un programma malware ha ottenuto un accesso sufficiente per avere il sistema operativo fa i suoi ordini, ha un modo per chiedere al sistema stesso di farlo per suo conto.

Su alcuni sistemi (che il malware deve essere in grado di riconoscere e pianificare ), questo vale anche per il "vero spegnimento": circuiti aggiuntivi accenderanno il computer in un momento preselezionato dell'orologio in tempo reale integrato. In un modo meno accessibile dal software, questo è disponibile su alcuni BIOS desktop ("Accensione automatica: [] Mai; [] Dopo un'interruzione di corrente; [] Ogni giorno a una determinata ora: : " o simili , nella configurazione del BIOS).

Quindi, il sistema si accenderà automaticamente dopo un po 'di tempo, ad esempio in un momento in cui è probabile che tu stia dormendo.

Quindi:

  • è presente un supporto hardware per l'accensione RTC, o più (sistemi di gestione integrati, comuni sui computer aziendali)
    • il malware deve aver già preso il controllo del sistema, poiché le funzioni RTC di solito richiedono accesso a livello di amministratore / root.
  • RTC powerup Supporto HW non presente o non utilizzato:
    • se il malware ha preso il controllo del sistema, può hai sostituito la procedura di spegnimento con una semplice entrata in sospensione e configurato le cose per uscire dalla modalità di sospensione in un secondo momento.

Ma è stata una di queste opzioni? Probabilmente no. La maggior parte dei malware si basa sull'essere eseguito involontariamente e sulla capacità di funzionare senza essere rilevato per un po 'di tempo. La "simulazione dello spegnimento" è utile solo in scenari molto specifici (e l'opzione hardware è disponibile solo su un numero relativamente basso di sistemi), e non credo che sarebbe utile per uno scrittore di malware preoccuparsi di loro. Di solito vanno con la terza e più semplice opzione:

  • alcune delle solite sequenze di avvio o accesso automatico (autoexec, script di avvio, attività pianificate, servizi di esecuzione e così via) vengono sovvertite codice aggiuntivo, ovvero il malware, viene eseguito silenziosamente.

Per un malware "mirato", progettato pensando a una vittima specifica e adattato alle capacità del bersaglio specifico, piuttosto che al sottoinsieme disponibile sulla macchina media infetta, tutte le qualifiche di cui sopra non entrerebbero in gioco.

Avresti un problema simile se il virus infettasse il tuo BMC (potrebbe utilizzare IPMI per accendere il sistema).Tuttavia, non è un grosso rischio per le macchine di fascia consumer.L'hardware BMC è in genere visibile solo sui server.
@bta Intel ME e AMD PSP sui sistemi desktop hanno essenzialmente le stesse funzioni di un BMC avanzato.
_ "Questo richiede che il malware abbia già (...) sostituito la procedura di spegnimento con un semplice addormentamento" _ Non proprio per un moderno x86, vedi [la risposta di Matija Nalis] (https://security.stackexchange.com/a / 203450/145686).
L'utilità di pianificazione di Windows ha accesso alla funzionalità di riattivazione RTC di ACPI e la utilizzerà.Di solito si sveglia solo da S3 e S4 ma ci sono sistemi che non distinguono tra S4 e S5 a livello acpi per il risveglio.Una volta avevo una macchina così bella (vista) che si avviava nel cuore della notte per controllare gli aggiornamenti di Windows ...
"Wake on LAN" / IME non ha nulla a che fare con Windows 10, è una funzionalità hardware, non una funzionalità software
Non si tratta solo di Windows 10. Decenni fa, il BIOS aveva già la funzione di "sveglia in caso di allarme", che avvia il PC in un momento specificato.E il tuo sistema operativo può impostare l'ora della sveglia.Non hai necessariamente bisogno di una modalità di sospensione per questo, se il tuo malware viene eseguito anche su un normale avvio del PC.
"scollegare il PC" -> il malware può ricollegarlo?;)
Matija Nalis
2019-02-13 01:48:16 UTC
view on stackexchange narkive permalink

Come altri hanno già detto, è del tutto possibile sulla maggior parte dell'hardware del PC, anche se attualmente non molto probabile (poiché la maggior parte dei malware non dà fastidio).

Ciò che altri hanno detto non è possibile, tuttavia forte> sbagliato . Il software in realtà PU riattivare un computer che è stato regolarmente spento tramite i comandi "shutdown" o "poweroff" (GNU / Linux) o facendo clic sul pulsante "start" e quindi "Arresto" (MS Windows) o tramite la pressione manuale del pulsante di accensione.

La funzione si chiama RTC Wakeup e consente al software di programmare la riattivazione a un'ora specifica del giorno . È controllato dal chip dell'orologio in tempo reale (chip che tiene traccia del tempo mentre il computer è spento e funziona con la sua batteria CR2032).

Se esegui GNU / Sistema Linux, il controllo di tale funzionalità è fornito dal comando di sistema rtcwake (8) .

Come caratteristica correlata, molti computer hanno anche una funzione chiamata Wake on LAN, che consente ad altri computer e router di accendere il tuo computer tramite una rete ethernet cablata (nota che questa funzionalità deve essere abilitato sul tuo computer e il suo valore predefinito dipende dal tuo BIOS).

il mobo non guarda l'interruttore di alimentazione, l'alimentatore lo fa.il mobo collega semplicemente l'intestazione del pin del pulsante piccolo al connettore atx a 24 pin.
Dico alla gente che, come Westley in The Princess Bride, un computer che viene "spento" non è completamente spento.È solo per lo più spento.Una piccola parte della scheda madre sta monitorando l '"interruttore di alimentazione" sulla parte anteriore del case [instradato attraverso l'alimentatore per @Matija Nails], l'uscita della tastiera per un segnale di "accensione" e potrebbe anche essere alla ricerca di un pacchetto distintivoper colpire la NIC ...
@MontyHarder: Quelle sono parti diverse, in realtà, e la logica dell'interruttore di alimentazione è probabilmente tutta nell'hardware.La parte WOL è probabilmente implementata nel firmware, quindi è il software.
Nota inoltre, dall'avvento degli [alimentatori ATX] (https://en.wikipedia.org/wiki/ATX) nel 1995 circa, la maggior parte dei computer PC non ha più un interruttore di spegnimento fisico (puoi staccare il cavo, o raramente tramite un interruttore meccanico sul retro dell'alimentatore ATX vicino al cavo CA).Quindi, se il computer può essere "spento" tramite software (facendo clic sul pulsante di spegnimento), quasi sempre può essere acceso anche tramite software.Quindi in realtà i computer moderni non sono mai spenti e ciò che chiamiamo "spenti" è in realtà [ACPI G2 / S5] (https://en.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface#Power_states) lo stato "soft-off"
Wake on lan funziona solo quando si ha il controllo di un'altra macchina sulla stessa LAN * accesa *.Nota che con "acceso" non intendo necessariamente ventole e dischi che girano rumorosamente.Qualsiasi dispositivo che abbia elettricità e attività sufficienti per emettere un pacchetto LAN, sia esso un dispositivo IoT a batterie, può emettere un pacchetto WoL
@MatijaNalis - Credo che tutti gli alimentatori venduti nel Regno Unito siano legalmente obbligati ad avere un interruttore fisico, anche se nessuno lo usa mai in circostanze normali.Questo può essere esteso a tutta l'UE.
@MSalters Non può essere tutto nell'hardware, perché se si preme l '"interruttore di alimentazione" mentre il computer è in esecuzione, viene avviato un grazioso spegnimento (svuotamento dei buffer del disco, parcheggio delle testine di lettura / scrittura, ecc.) Prima di entrare nellaoff "stato.Ricordo quando non era vero (pre-ATX).È possibile che ci sia un componente hardware che tiene traccia di quello stato e consente l '"accensione" senza alcun software, ma proprio perché le schede madri hanno Wake on LAN (e spesso Wake on Modem) che richiedono un qualche tipo di elaborazione di basso livello, è ragionevolepresumere che funzionino in modo simile.
@MatijaNalis: Hanno rimesso a posto gli interruttori.Guarda sul retro del computer.C'è un interruttore 1 0 accanto al cavo di ingresso. Spostalo su 0 per spegnere completamente.
@MatijaNalis con batterie di riserva che durano due ore mentre la macchina è accesa, nemmeno tirare il cavo è un'opzione ...
C'è un "interruttore di alimentazione" e un interruttore PSU (più una caratteristica di sicurezza).Anche i vecchi PC avevano un vero interruttore di alimentazione dopo l'alimentatore.
I PC davvero vecchi avevano solo il vero interruttore di alimentazione.Sul mio primo, era una grande leva rossa, che potresti cambiare, preferibilmente dopo aver eseguito "park" dalla riga di comando per parcheggiare la testina del disco rigido.
@Joshua Ho un Lenovo nuovo di zecca, due HP di 2 anni e un Dell di 3 anni qui e nessuno di loro ha interruttori di alimentazione.Credo che il tuo dispositivo debba soddisfare un certo limite di potenza in standby morbido, oppure puoi mettere un interruttore di alimentazione per soddisfarlo.
J.A.K.
2019-02-12 23:36:27 UTC
view on stackexchange narkive permalink

Modifica: sì, è possibile. Come osserva l'ottima risposta di Majita Nalis, i sistemi moderni hanno una funzionalità incorporata che consente di impostare un "allarme" di avvio dal software.

Uno scenario che potrebbe anche essere realistico è il malware che ottiene persistenza su un altro dispositivo. Supponiamo che il tuo router abbia credenziali predefinite o una vulnerabilità, il malware potrebbe essersi diffuso. Qualcuno potrebbe quindi accendere la tua macchina se avesse attivato la funzione Wake-on-Lan.

Ma dopo aver controllato la sveglia WoL e RTC non sei ancora completamente sicuro. La maggior parte dei malware verrà eseguita nell'anello 3 e, se sei davvero sfortunato, nell'anello 0 come modulo del kernel o driver di sistema. Entrambi non sono in esecuzione quando il sistema è effettivamente spento e se non è stato impostato alcun orologio, fondamentalmente non possono più esercitare il controllo sulla macchina.

Esistono tuttavia modalità di esecuzione sotto l'anello 0 come SMM e altro firmware, che fa la gestione dell'alimentazione. Tuttavia il malware che abusa di questo è estremamente raro, l'unico esempio in natura che potrei citare è il nome in codice NSA DEITYBOUNCE class malware e LoJax probabilmente diffuso da Fancy Bear.

Vedi l'eccellente risposta di Forests su come ciò può accadere.

https://security.stackexchange.com/a/180107/121894

Hai informazioni sul malware come un hash o un nome di famiglia ? Ciò consentirebbe una risposta più dettagliata.

LoryOne
2019-02-13 03:41:26 UTC
view on stackexchange narkive permalink

Il pacchetto WOL ha una struttura particolare; Non è detto che possa essere inviato su internet o instradato su intranet per raggiungere l'obiettivo.Un computer è spento quando il cavo di alimentazione è scollegato o è collegato ma spento.La sveglia RTC è carina, ma suppongo che possa essere utilizzata solo in modalità sleep. A mio parere personale alcune funzionalità del firmware SMM, se non adeguatamente configurate e alcune di esse disabilitate di default, potrebbero essere potenzialmente pericolose per la gestione remota.La scelta migliore è scollegare il cavo internet o disabilitare la scheda wireless finché non si è sicuri per aver disinfettato il tuo PC dall'infezione da virus.

In condizioni speciali, il frame WOL potrebbe essere inviato su Internet come trasmissione IP diretta o potrebbe essere inviato da un router hackerato o da un altro dispositivo sulla LAN.--- L'allarme RTC sui computer ATX (introdotto nel 1995 e successivamente ampiamente adottato) è progettato per poter accendere il computer da uno stato completamente spento.L'alimentatore ATX fornisce 5 volt in standby anche quando è spento.Questo per consentire funzioni come WOL, accensione da tastiera ecc. --- SMM viene utilizzato per le funzioni APM ma teoricamente non è necessario per implementare le due funzioni di sveglia menzionate.
Ed Kideys
2019-02-15 18:18:52 UTC
view on stackexchange narkive permalink
Il malware

Root Kit può fare questo e molto altro. Tuttavia, i rootkit vengono normalmente utilizzati come spyware per raccogliere informazioni dal sistema senza che tu sia mai in grado di rilevare che il tuo sistema è infetto. Accendere il sistema, fare qualche guaio e quindi spegnerlo non sarebbe utile dal punto di vista dello spyware poiché non lo sa e sarebbe difficile prevedere il programma di utilizzo del computer.

Un testo davvero ben scritto root kit non sarebbe rilevabile da un sistema che non dispone di una protezione anti-malware altrettanto ben scritta. Nel tuo caso, il malware è stato rilevato. Considerati fortunato. Per proteggere il tuo sistema dal malware del kit di root:

  1. mai, mai accedere come utente root o amministratore !! Usa sempre 'sudo' (linux) o 'run as' (Windows) se devi fare qualcosa a livello di sistema.

  2. Assicurati di avere un utente root molto forte ( amministratore) e cambiarla tutte le volte che è possibile.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...