Est-ce qu'une installation propre est suffisante pour supprimer les logiciels malveillants potentiels?

Il est certainement possible pour un attaquant légèrement sophistiqué de laisser les logiciels malveillants hors de portée directe du système d'exploitation. La réinstallation du système d'exploitation signifie au maximum un effacement du disque. Même là, vous devez être prudent si vous restaurez des données qui pourraient avoir été compromises.

Les logiciels malveillants peuvent être stockés dans l'une des nombreuses mémoires réinscriptibles qui se cachent dans presque tous les composants d'un ordinateur moderne. Ces mémoires stockent le composant firmware et sont généralement réinscriptibles; il suffit de connaître la bonne adresse, et les fabricants fournissent généralement des outils pour mettre à jour le firmware, donc tout l'attaquant doit remplacer son propre code (il n'y a presque jamais de cryptographie).

Par exemple, il existe un (connu et assez simple) exploit pour Apple claviers , trouvé par K. Chen . La présentation de Chen montre comment pour profiter de la mémoire disponible (seulement environ 1 Ko de rechange) pour ouvrir un shell sur un port TCP en injectant des touches, ou enregistrer des touches dans un contexte où une phrase de passe est attendue et les rejouer.

Pour un autre exemple de vulnérabilité de micrologiciel dans la nature, essayez CVE-2010-0104: dépassement de la mémoire tampon ASF du micrologiciel de gestion Broadcom NetXtreme . Il s'agit d'un bug dans certains firmware Ethernet qui permet à un attaquant distant de prendre le contrôle du firmware réseau (et donc à tout le moins d'attaquer activement tout le trafic réseau), et potentiellement de tout l'ordinateur (je ne sais pas s'il y a un exploit pour cela, mais une fois que vous avez accès au bus PCI, je doute que beaucoup soit interdit). Fait intéressant, cette vulnérabilité est plus facile à exploiter sur un ordinateur éteint, car le bogue se trouve dans un analyseur de protocole de gestion à distance, qui gère en particulier le réveil sur réseau local.

Encore un autre exemple est reflasher un contrôleur de disque dur (présenté à OHM 201 ).

Cette question demande un firmware sur les cartes vidéo. Au moment où j'écris, personne n'a donné d'exemple de malware dans la nature, mais la possibilité est définitivement là.

Il n'y a pas de véritable protection contre le micrologiciel compromis sur un PC typique. Vous devez garder une trace de chaque morceau de mémoire flash de l'ordinateur. Il y a des efforts pour exiger l'authentification du firmware; sur les PC, l'effort le plus avancé est le TPM , qui peut actuellement vérifier l'intégrité du BIOS et du chargeur de démarrage du système d'exploitation, si vous avez le matériel requis et un BIOS qui le prend en charge. Je ne connais pas de PC où tous les composants ont leur firmware vérifié pour l'intégrité (au moins, avant d'être autorisés à accéder au bus PCI). Des efforts similaires sont déployés dans le monde des smartphones en tirant parti fonctionnalités de sécurité des puces ARM chips , mais là encore, on est loin de l'existence d'une fonction de sécurité pour inclure tous les micrologiciels dans la base de confiance.

En pratique, si vous n'êtes pas une cible de premier plan, vous n'avez pas à vous inquiéter beaucoup. Il n'y a aucun exploit dans la nature au niveau du script kiddie. Mais les possibilités sont nombreuses pour votre attaquant possédant des compétences techniques (ou les moyens d'embaucher un pirate qualifié).

Les attaques de micrologiciel deviennent plus faciles avec le temps. Lors de Black Hat USA 2012, Jonathan Brossard a présenté "un logiciel générique de preuve de concept pour l'architecture Intel, Rakshasa , capable d'infecter plus d'une centaine de cartes mères différentes". La preuve de concept (non publiée) infecte de nombreux BIOS et périphériques courants, y compris les puces réseau. Ce n'est qu'une question de temps jusqu'à ce que de tels cadres d'infection de micrologiciels apparaissent dans la nature. Le NSA a été signalé pour favoriser l'implantation de logiciels espions dans le BIOS.

En plus de cacher votre code parmi divers périphériques, une ancienne technique qui fait son retour est le virus du secteur de démarrage. Torpig/Sinowal/Anserin est l'exemple le plus récent d'utilisation judicieuse de cette technique. En bref, une fois infecté, le virus chargera du code d'amorçage dans le MBR. Si cette technique est utilisée, on peut s'attendre à ce que le code chargé dans le MBR fasse ce qui suit:

1. Vérifiez si le virus est présent
2. Sinon, téléchargez et réinfectez

La seule façon de nettoyer de manière fiable quelque chose comme ça pour nettoyer le MBR. Soit par re-partitionnement, soit en utilisant un outil comme fixmbr. En tant que tel, il ne suffit pas de faire simplement une réinstallation, et parfois un formatage/réinstallation.

Cela dépend de ce que vous considérez comme "une installation propre".

Outre ce que D.W. mentionné, certains éléments peuvent rester par exemple dans les répertoires "Informations sur le volume système" et/ou recycleur (répertoires de restauration du système et de corbeille) sur toutes les partitions supplémentaires que vous pourriez avoir. Cela pourrait facilement se réactiver sur une nouvelle installation de Windows, mais cela ne fonctionnera probablement pas sur Ubuntu. Quoi qu'il en soit, si toutes ces autres partitions ne sont pas désinfectées, cela signifie qu'il pourrait toujours y avoir des logiciels malveillants quelque part dans ces répertoires - ne faisant probablement rien, attendant juste des jours meilleurs, pour que Windows soit réinstallé]: -> mais toujours là .. Ce que je vous suggère de faire après l'installation d'Ubuntu, c'est d'installer clamav, de le mettre à jour et de réanalyser tout ce que vous avez ..

Si vous formatez vraiment tout, il y a toujours les points D.W. fabriqué.

Un code malveillant dans le BIOS/firmware est possible, mais de nombreuses menaces plus réalistes sont souvent ignorées. Deux exemples au sommet de ma tête:

Repos/images du système d'exploitation: ils peuvent être compromis, vous réinstallez donc essentiellement un système d'exploitation ou un logiciel à porte dérobée chaque fois que vous réimaginez vos systèmes.

Gestion hors bande: HP OIT, Dell IDRAC ou IPMI. Même en réinstallant votre système, celui qui l'a compromis peut déjà savoir qu'il existe une gestion hors bande avec accès à la console disponible.

Je pense que la réponse à cela dépend de la nature des menaces (et des attaquants) que vous considérez comme pouvant agir contre votre PC.

EN GÉNÉRAL - Si vous effectuez un "vrai" formatage du disque dur de l'ordinateur (y compris, comme certaines autres affiches l'ont mentionné, les secteurs de démarrage), puis installez un nouveau système d'exploitation (autre que Microsoft Windows, espérons-le. .. mais même Windows fera l'affaire, tant que vous l'installez à partir d'un DVD au lieu de simplement "restaurer" à partir de la "partition de restauration" du fabricant, qui bien sûr aurait facilement pu être compromise par le même malware comme c'est la raison de recréer l'O/S en premier lieu), puis pour la plupart des cas d'utilisation dans des conditions MOST, cela devrait fournir un niveau de confiance acceptable que l'ordinateur ne sera pas "pré-compromis" au moment où vous l'utiliserez pour la première fois .

Cela dit, sachez que, comme les affiches précédentes l'ont correctement souligné, il existe très certainement une série d'attaques malveillantes avancées et de falsification physique/BIOS, qui peuvent si gravement compromettre l'infrastructure de base de l'ordinateur, de sorte que vraiment les seuls 100% La ligne de conduite sûre consiste simplement à le jeter et à passer à un autre PC.

D'après mon expérience, ces types d'attaques sont très rares, mais si (par exemple) vous êtes dans un environnement à haut risque (par exemple, vous êtes un dissident chinois ou iranien, vous êtes Edward Snowden, etc.), il vaut mieux ne pas prendre une chance ... surtout s'il est probable qu'un attaquant puisse, à un moment donné, avoir eu un accès physique au PC en question. (Le NSA est expert dans la mise en place de compromis sur le BIOS et le matériel qui sont pratiquement impossibles pour quiconque, sauf une autre agence de renseignement au niveau de l'État-nation, à détecter ou à supprimer.)

Soit dit en passant, je voudrais noter une autre menace que trop de gens oublient lors de l'initialisation d'un "nouveau" PC: à savoir "utiliser le même mot de passe d'accès local, en particulier le mot de passe du compte administrateur, comme je l'ai utilisé sur le dernier PC". La logique derrière cela est simple: "J'ai installé une porte dérobée sur votre 'ancien' PC et j'ai intercepté votre mot de passe; donc quand je vois votre 'nouveau' PC apparaître sur Internet ... devinez quel mot de passe est le premier qui Je vais essayer, quand j'essaierai de pénétrer dans le "nouveau" PC? "

En passant, voici une sale astuce: créez un compte "factice", avec zéro privilèges et faites-le surveiller attentivement, en utilisant l '"ancien" mot de passe ... et attendez de voir ce qui se passe. En fait, vous installez un "pot de miel" local pour attirer les mécréants qui ont compromis votre "ancien" PC. Il y a toujours une chance d'exploiter l'élévation de privilèges, bien sûr, vous devez donc être très prudent de verrouiller le compte "factice", donc même si quelqu'un réussit à s'authentifier, il ne peut aller nulle part ni rien faire.

Le point est, changez tous vos mots de passe, immédiatement, si vous pensez que vous avez été compromis. Et ne croyez pas quoi que ce soit qui peut avoir été physiquement compromis. Faites-le et vous devriez être à l'abri (presque) de toutes les menaces probables.

En signalant une autre question comme dupliquée, j'écrivais également la réponse, donc je vais laisser ceci ici au cas où cela serait utile pour quelqu'un:

Pour être réaliste, cela supprimera la plupart du temps type de malware.

Mais.

<mode paranoïaque>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Masquage des données dans les zones du disque dur "inaccessibles": https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

D'autres qui pourraient me manquer.

</ mode paranoïaque>

Résumer. Il y a des façons d'infection qui subsisteront après avoir fait ces procédures de réinstallation, mais pour le garder " réel", avec que vous vous débarrasserez de presque toutes les infections de logiciels malveillants standard.

( dès que vous n'êtes plus infecté pendant l'installation, bien sûr. Les installateurs de système d'exploitation avec des logiciels malveillants/adwares tels que ces "activateurs" et autres ...)

J'ai l'habitude de mettre à zéro le secteur de démarrage et de mettre à jour (ou simplement reflasher) le BIOS dans de tels cas également, juste pour éviter une persistance particulièrement résistante. C'est inutile presque tout le temps, car les virus persistent généralement sur le réseau ou dans le système d'exploitation, mais si vous voulez être sûr, vous devez également prendre des précautions contre d'autres types de persistance.