it-swarm-tr.com

Potansiyel kötü amaçlı yazılımları kaldırmak için temiz bir yükleme yapmak yeterli mi?

Diski biçimlendirmek ve sistemi sıfırdan (Ubuntu'ya) yeniden yüklemek, gizli herhangi bir potansiyel yazılım casus yazılım, keylogger vb.

Veya bios'ta hala yüklü olan bir şey veya bunun gibi bir şey olabilir mi? O zaman ne yapmalı?

Açık olmak gerekirse, yaygın kötü amaçlı yazılımlarla ilgili değil. Soru, kullanıcı dışındaki kişilerin saatlerce fiziksel erişime sahip olduğu bir makine hakkında daha belirgindir. Dolayısıyla, kullanıcı geri döndüğünde hiçbir şeyin değişmediğinden emin olamaz, bu nedenle kullanıcı birkaç hafta sonra yeni bir yükleme yapar. "Temizlemek" için yeterli mi?

Donanım keyloggerları, yazılımın yeniden yüklenmesinden sonra devam etmeleri gerektiği için bu sorunun bir parçası değildir.

43
Strapakowsky

Kötü amaçlı yazılımın yeterince biçimlendirilmiş ve karmaşıksa yeniden biçimlendirme ve yeniden yükleme boyunca devam etmesi olası: örn. Çevre birimlerin ürün yazılımında (bazı donanım aygıtları) bios'ta kalabilir. güncellenebilen ve dolayısıyla kötü amaçlı ürün yazılımı ile güncellenebilecek ürün yazılımına sahip) veya çıkarılabilir depolama birimindeki veya yedeklemelerinizdeki veri dosyalarına bulaşan bir virüsle.

Ancak, çoğu kötü amaçlı yazılım bu kadar kötü bir şey yapmaz. Bu nedenle, hiçbir garanti olmasa da, yeniden biçimlendirme ve yeniden yükleme, vahşi doğada karşılaşabileceğiniz neredeyse tüm kötü amaçlı yazılımlardan kurtulmalıdır.

Şahsen, yeniden biçimlendirmekten ve yeniden yüklemekten memnun olurum. Muhtemelen pratikte yeterince iyi.

40
D.W.

Biraz sofistike bir saldırganın kötü amaçlı yazılımı işletim sisteminin doğrudan erişiminin dışında bırakması kesinlikle mümkündür. İşletim sistemini yeniden yüklemek, en fazla disk temizleme anlamına gelir. Orada bile, ele geçirilmiş olabilecek verileri geri yüklerseniz dikkatli olmanız gerekir.

Kötü amaçlı yazılım, modern bir bilgisayarın hemen her bileşeninde gizlenen birçok yeniden yazılabilir anıdan birinde saklanabilir. Bu anılar bu bileşenin firmware değerini saklar ve genellikle yeniden yazılabilir; tüm gereken doğru adresi bilmektir ve üreticiler genellikle bellenimi yükseltmek için araçlar sağlar, bu yüzden tüm saldırgan kendi kodunu değiştirir (neredeyse hiç şifreleme yoktur).

Örneğin, K. Chen tarafından bulunan bilinen (ve oldukça basit) Apple klavyeler için istismar var. bir TCP portunda bir kabuk açmak veya bir parola beklenen bir bağlamda tuş vuruşlarını günlüğe kaydetmek ve bunları tekrar oynatmak için kullanılabilir bellekten (yedeklenecek sadece 1kB) yararlanmak.

Vahşi ortamdaki bir bellenim güvenlik açığına başka bir örnek için CVE-2010-0104: Broadcom NetXtreme yönetim bellenimi ASF arabellek taşması öğesini deneyin. Bu, uzak bir saldırganın ağ ürün yazılımının kontrolünü ele geçirmesine izin veren bazı Ethernet ürün yazılımlarındaki bir hatadır (ve en azından aktif olarak tüm ağ trafiğine saldırır) ve potansiyel olarak tüm bilgisayarın (bir istismar olup olmadığını bilmiyorum bunun için, ancak PCI veriyoluna erişiminiz olduğunda, bunun çok fazla engellendiğinden şüpheliyim). İlginç bir şekilde, bu güvenlik açığından kapatılan bir bilgisayardan yararlanmak en kolay olanıdır, çünkü hata özellikle LAN'da uyandırmayı sağlayan bir uzaktan yönetim protokolü ayrıştırıcısındadır.

Yine başka bir örnek bir sabit disk denetleyicisini yeniden yanıtlama ( OHM 201 adresinde sunulmuştur).

Bu sor video kartlarında bellenim ister. Ben yazarken, hiç kimse vahşi doğada bir kötü amaçlı yazılım örneği vermedi, ancak olasılık kesinlikle orada.

Tipik bir PC'de güvenliği ihlal edilmiş ürün yazılımına karşı gerçek bir koruma yoktur. Bilgisayardaki her bir flash bellek parçasını takip etmeniz gerekir. Firmware'in kimliğinin doğrulanmasını isteme çabaları vardır; PC'lerde, bu tür en gelişmiş çaba, gerekli donanıma sahipseniz BIOS'un ve OS önyükleyicisinin bütünlüğünü kontrol edebilen TPM . destekleyen bir BIOS. Tüm bileşenlerin kendi yazılımlarının bütünlük açısından kontrol edildiği bir bilgisayarın farkında değilim (en azından PCI veriyoluna erişmelerine izin verilmeden önce). Akıllı telefon dünyasında benzer çabalar var ARM cips güvenlik özellikleri, ancak yine de güvenlik özelliğinin varlığından tüm ürün yazılımının dahil edilmesine kadar çok ağlıyor güvenilir üs.

Pratikte, yüksek profilli bir hedef değilseniz, fazla endişelenmenize gerek yoktur. Senaryo kiddie düzeyinde vahşi herhangi bir istismar yoktur. Ancak, teknik becerilere (veya yetenekli bir hacker kiralama aracı) saldırganınıza olasılıklar yüksektir.

Ürün yazılımı saldırıları zamanla daha kolay hale geliyor. Black Hat USA 2012'de Jonathan Brossard “yüzlerce farklı anakartı enfekte edebilen, intel mimarisi için genel bir kavram kötü amaçlı yazılım kanıtı, Rakshasa sundu”. Kavram kanıtı (genel olarak piyasaya sürülmedi), ağ çipleri de dahil olmak üzere birçok BIOS'u ve ortak çevre birimini enfekte eder. Bu tür bellenim enfeksiyonu çerçeveleri vahşi doğada görünene kadar sadece bir zaman meselesi. NSA rapor edilmiştir BIOS'a casus yazılım ekmeyi desteklemek için.

Kodunuzu çeşitli ve muhtelif çevre birimleri arasında gizlemenin yanı sıra, geri dönüş yapan eski bir teknik de önyükleme sektörü virüsüdür. Torpig/Sinowal/Anserin bu tekniğin mantıklı kullanımına en yeni örnektir. Kısacası, virüs bulaştıktan sonra MBR'ye bazı önyükleme kodu yükleyecektir. Bu teknik kullanılırsa, MBR'ye yüklenen kodun aşağıdakileri yapması beklenebilir:

  1. Virüsün mevcut olup olmadığını kontrol edin
  2. Değilse, indirin ve yeniden enfekte edin

MBR'yi temizlemek için böyle bir şeyi güvenilir bir şekilde temizlemenin tek yolu. Yeniden bölümleme yoluyla veya fixmbr gibi bir araç kullanarak. Bu nedenle, sadece bir yeniden yükleme ve bazen bir format/yeniden yükleme yapmak yeterli değildir.

8
Scott Pack

"Temiz yükleme" olarak düşündüğünüz şeye bağlıdır.

Ayrıca D.W. bahsettiğimiz bazı ek bölümlerde örneğin "Sistem Birim Bilgisi" ve/veya geri dönüşüm dizinlerinde (sistem geri yükleme ve geri dönüşüm kutusu dizinleri) kalabilir. Bu, yeni bir Windows kurulumunda kolayca yeniden etkinleştirilebilir, ancak büyük olasılıkla Ubuntu üzerinde çalışmaz. Her neyse, tüm diğer bölümler dezenfekte olmazsa, bu dizinlerde bir yerlerde hala bazı kötü amaçlı yazılımlar olabileceği anlamına gelir - muhtemelen hiçbir şey yapmaz, sadece daha iyi günler bekler, Windows'un yeniden yüklenmesi için]: -> ama yine de orada .. Ubuntu'yu kurduktan sonra ne önerirsiniz clamav'yi yükler, günceller ve sahip olduğunuz her şeyi yeniden tarar.

Gerçekten biçim yaparsanız her şey, hala D.W. yapılmış.

7
pootzko

BIOS/bellenimin içindeki kötü amaçlı kod mümkündür, ancak daha gerçekçi tehditler genellikle göz ardı edilir. Başımın üstünden iki örnek:

İşletim Sistemi Depoları/Görüntüleri: Bu sistemlerin güvenliği aşılmış olabilir, bu nedenle sistemlerinizi her yeniden biçimlendirdiğinizde arka kapı işletim sistemini veya Yazılımı yeniden yüklersiniz.

Bant dışı yönetim: HP'nin ILO, Dell'in IDRAC veya IPMI. Sisteminizi yeniden yüklerken bile, kimin güvenliğini aşmışsa, konsol erişimi olan bant dışı yönetimin mevcut olduğunu zaten biliyor olabilir.

2
Gabriel Talavera

Bunun cevabının, PC'nize karşı hareket etmeyi düşündüğünüz tehditlerin (ve saldırganların) doğasına bağlı olduğunu düşünüyorum.

GENEL - Bilgisayarın sabit sürücüsünün (diğer bazı posterlerde de belirtildiği gibi, önyükleme sektörleri de dahil olmak üzere) "gerçek" bir yeniden biçimlendirmesi yapar ve sonra yeni bir işletim sistemi (Microsoft Windows dışında bir şey umarım) yüklerseniz. .. ancak Windows bile, üreticinin "geri yükleme bölümünden" "geri yüklemek" yerine bir DVD'den yüklediğiniz sürece, elbette bunun nedeni ile aynı kötü amaçlı yazılım tarafından kolayca tehlikeye girmiş olabilir. İlk olarak O/S'yi yeniden oluşturma), daha sonra MOST koşulları altında ÇOK kullanım durumları için, bunu yapmak, bilgisayarı ilk kez kullandığınızda "önceden tehlikeye atılmayacağı" konusunda kabul edilebilir bir güven düzeyi sağlamalıdır. .

Şimdi, eski posterlerin doğru bir şekilde işaret ettiği gibi, kesinlikle farkında olun, bilgisayarın temel altyapısını çok kötü bir şekilde tehlikeye atabilecek bir dizi gelişmiş kötü amaçlı yazılım ve fiziksel/BIOS saldırı saldırısı var, bu yüzden sadece% 100 güvenli eylem sadece onu ıvır zıvır ve başka bir bilgisayara devam etmektir.

Deneyimlerime göre, bu tür saldırılar çok nadirdir, ancak (örneğin) yüksek tehdit içeren bir ortamdaysanız (örneğin, Çinli veya İranlı bir muhalif iseniz, Edward Snowden, vb.) bir şans ... özellikle bir saldırganın bir noktada söz konusu PC'ye fiziksel erişimi olmuşsa. (NSA, başka bir ulus devlet düzeyindeki istihbarat ajansı dışında herkesin tespit etmesi veya kaldırması neredeyse imkansız olan BIOS ve donanım uzlaşmalarının planlanmasında uzmandır.)

Bu arada, "yeni" bir bilgisayarı başlatırken çok fazla kişinin unuttuğu başka bir tehdide dikkat çekmek istiyorum: "son PC'de kullandığımla aynı yerel erişim şifresini, özellikle yönetici hesabı şifresini kullanarak". Bunun arkasındaki mantık çok basit: "Eski" PC'nize bir arka kapı koydum ve şifrenizi ele geçirdim; bu yüzden 'yeni' PC'nizi İnternet'te gördüğümü görün ... 'Yeni' PC'ye girmeye çalıştığımda deneyeceğim mi? ”

Bu arada kirli bir numara var: sıfır ayrıcalıklarla "kukla" bir hesap oluşturun ve "eski" parolayı kullanarak dikkatlice izlenmesini sağlayın ... ve ne olduğunu görmek için bekleyin. Aslında, "eski" PC'nizi tehlikeye atan yanlış fikirleri çekmek için yerel bir "bal küpü" kuruyorsunuz. Tabii ki her zaman bir ayrıcalık yükselme istismar şansı vardır, bu yüzden "kukla" hesabını kilitlemek için gerçekten dikkatli olmalısınız, bu yüzden birisi başarılı bir şekilde kimlik doğrulaması yapsa bile, hiçbir yere gidemez veya hiçbir şey yapamazlar.

Mesele şu ki, tehlikeye atıldığınızı düşünüyorsanız, tüm şifrelerinizi hemen değiştirin. Ve fiziksel olarak tehlikeye girmiş olabilecek herhangi bir şey güvenmeyin. Bunu yapın ve olası tüm tehditlerden (neredeyse) güvende olmalısınız.

1
user53510

Başka bir soruyu yinelenen olarak işaretlerken, yanıtı da yazıyordum, bu yüzden birisi için yararlı olması durumunda bunu burada bırakacağım:

Gerçekçi olmak, çoğunlukla hepsi kötü amaçlı yazılımlardan kurtulacaktır.

Fakat.

<paranoyak modu>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

"Ulaşılamaz" HDD alanlarındaki verileri gizleme: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Eksik olabileceğim diğerleri.

</ paranoyak modu>

Özetlemek. bu yeniden yükleme işlemlerini gerçekleştirdikten sonra kalacak, ancak " gerçek" ile bulaşabilecek enfeksiyon yolları vardır. neredeyse tüm standart kötü amaçlı yazılım bulaşmalarından kurtulacaksınız.

( kurulum sırasında tekrar virüs bulaşmaz bulaşmaz. Bu "aktivatörler" ve benzeri gibi kötü amaçlı yazılım/reklam yazılımlarına sahip işletim sistemi yükleyicileri ...)

0
BBerastegui

Önyükleme sektörünü sıfırlamak ve bu gibi durumlarda BIOS'u güncellemek (veya sadece yeniden yansıtmak) benim alışkanlığım. Genellikle virüsler ağda veya işletim sisteminde devam ettiğinden neredeyse her zaman gereksizdir, ancak emin olmak istiyorsanız diğer kalıcılık türlerine karşı önlem almalısınız.

0
Falcon Momot