it-swarm-id.com

Apakah membuat instalasi yang bersih cukup untuk menghapus potensi malware?

Apakah memformat disk dan menginstal ulang sistem dari awal (ke Ubuntu) cukup untuk menghilangkan potensi yang tersembunyi perangkat lunak spyware, keyloggers, dll.?

Atau bisakah sesuatu yang masih bertahan diinstal di bios atau sesuatu seperti itu? Lalu apa yang harus dilakukan?

Agar jelas, tidak peduli tentang malware umum. Pertanyaannya lebih spesifik tentang mesin yang orang lain selain pengguna memiliki akses fisik selama berjam-jam. Jadi ketika pengguna kembali tidak dapat memastikan bahwa tidak ada yang berubah, maka pengguna melakukan instalasi baru setelah beberapa minggu. Apakah itu cukup untuk "membersihkannya"?

Keyloggers perangkat keras bukan bagian dari pertanyaan ini karena harus dilanjutkan setelah penginstalan ulang perangkat lunak.

43
Strapakowsky

Itu mungkin untuk malware untuk bertahan di format ulang dan menginstal ulang, jika cukup cerdik dan canggih: misalnya, ia dapat bertahan dalam bios, dalam firmware untuk periferal (beberapa perangkat perangkat keras memiliki firmware yang dapat diperbarui, dan dengan demikian dapat diperbarui dengan firmware jahat), atau dengan virus yang menginfeksi file data pada penyimpanan yang dapat dilepas atau pada cadangan Anda.

Namun, sebagian besar malware tidak melakukan apa pun yang jahat ini. Karena itu, meskipun tidak ada jaminan, format ulang dan instal ulang harus menghilangkan hampir semua malware yang mungkin Anda temui di alam liar.

Secara pribadi, saya akan senang memformat ulang dan menginstal ulang. Ini mungkin cukup bagus dalam praktik.

40
D.W.

Sangat mungkin bagi penyerang yang sedikit canggih untuk meninggalkan malware di luar jangkauan langsung sistem operasi. Menginstal ulang sistem operasi berarti penghapusan disk paling banyak. Bahkan di sana, Anda harus berhati-hati jika Anda mengembalikan data apa pun yang mungkin telah dikompromikan.

Malware dapat disimpan di salah satu dari banyak memori yang dapat ditulis ulang yang mengintai di hampir setiap komponen komputer modern. Kenangan ini menyimpan komponen itu firmware dan biasanya ditulis ulang; yang diperlukan hanyalah mengetahui alamat yang benar untuk itu, dan produsen biasanya menyediakan alat untuk meningkatkan firmware, sehingga yang harus dilakukan penyerang adalah mengganti kode sendiri (hampir tidak pernah ada kriptografi).

Misalnya, ada yang diketahui (dan cukup sederhana) mengeksploitasi untuk Apple keyboard , ditemukan oleh K. Chen . Presentasi Chen menunjukkan bagaimana untuk memanfaatkan memori yang tersedia (hanya sekitar 1kB yang tersisa) untuk membuka Shell pada port TCP dengan menyuntikkan penekanan tombol, atau mencatat penekanan tombol dalam konteks di mana frasa sandi diharapkan dan memutar ulangnya.

Untuk contoh lain dari kerentanan firmware di alam liar, coba CVE-2010-0104: Broadcom NetXtreme firmware manajemen ASF buffer overflow . Ini adalah bug di beberapa firmware Ethernet yang memungkinkan penyerang jarak jauh untuk mengambil kendali atas firmware jaringan (dan karenanya paling tidak secara aktif menyerang semua lalu lintas jaringan), dan kemungkinan seluruh komputer (saya tidak tahu apakah ada eksploit untuk itu, tetapi begitu Anda memiliki akses ke bus PCI, saya ragu bahwa banyak yang dilarang). Menariknya, kerentanan ini paling mudah untuk dieksploitasi pada komputer yang dimatikan, karena bug ada di parser protokol manajemen jarak jauh, yang secara khusus menangani wake-on-LAN.

Contoh lain adalah memantulkan hard disk controller (disajikan pada OHM 201 ).

Pertanyaan ini meminta firmware pada kartu video. Saat saya menulis, tidak ada yang memberikan contoh malware di alam liar, tetapi kemungkinannya pasti ada.

Tidak ada perlindungan nyata terhadap firmware yang dikompromikan pada PC biasa. Anda harus melacak setiap bagian memori flash di komputer. Ada upaya untuk meminta firmware untuk diautentikasi; pada PC, upaya yang paling canggih adalah TPM , yang saat ini dapat memeriksa integritas BIOS dan OS bootloader, jika Anda memiliki perangkat keras yang diperlukan dan BIOS yang mendukungnya. Saya tidak mengetahui PC di mana semua komponen memiliki firmware mereka diperiksa untuk integritas (setidaknya, sebelum mereka diizinkan untuk mengakses bus PCI). Ada upaya serupa di dunia smartphone yang meningkatkan fitur keamanan ARM chip , tapi sekali lagi itu jauh dari keberadaan fitur keamanan dengan dimasukkannya semua firmware di basis tepercaya.

Dalam praktiknya, jika Anda bukan target profil tinggi, Anda tidak perlu terlalu khawatir. Tidak ada eksploitasi di alam liar di tingkat script kiddie. Tetapi kemungkinan besar untuk penyerang Anda dengan keterampilan teknis (atau sarana untuk menyewa seorang hacker yang terampil).

Serangan firmware menjadi lebih mudah dari waktu ke waktu. Di Black Hat USA 2012, Jonathan Brossard menyajikan “bukti generik malware konsep untuk arsitektur intel, Rakshasa , yang mampu menginfeksi lebih dari seratus motherboard yang berbeda”. Konsep bukti (tidak dirilis untuk umum) menginfeksi banyak BIOS dan periferal umum termasuk chip jaringan. Hanya masalah waktu sampai kerangka kerja infeksi firmware tersebut muncul di alam liar. The NSA telah dilaporkan untuk mendukung penanaman spyware di BIOS.

Selain menyembunyikan kode Anda di antara berbagai periferal dan beragam, teknik lama yang membuat comeback adalah virus boot sector. Torpig/Sinowal/Anserin adalah contoh terbaru dari penggunaan teknik ini secara bijaksana. Singkatnya, setelah terinfeksi virus akan memuat beberapa kode bootstrap ke MBR. Jika teknik ini digunakan, seseorang dapat mengharapkan kode dimuat ke MBR untuk melakukan hal berikut:

  1. Periksa untuk melihat apakah virus ada
  2. Jika tidak, unduh dan infeksi ulang

Satu-satunya cara untuk secara andal membersihkan sesuatu seperti ini untuk membersihkan MBR. Baik melalui partisi ulang, atau menggunakan alat seperti fixmbr. Dengan demikian, cukup melakukan instal ulang, dan terkadang format/instal ulang, tidak cukup.

8
Scott Pack

Tergantung pada apa yang Anda anggap sebagai "instalasi yang bersih".

Selain apa yang D.W. disebutkan, beberapa hal dapat tetap ada misalnya "Informasi Volume Sistem" dan/atau direktori pendaur ulang (pemulihan sistem dan direktori daur ulang bin) pada setiap partisi tambahan yang mungkin Anda miliki. Itu bisa dengan mudah diaktifkan kembali pada instalasi Windows baru tetapi kemungkinan besar itu tidak akan berfungsi di Ubuntu. Lagi pula, jika semua partisi lain ini tidak didesinfeksi, berarti masih ada beberapa malware di direktori ini - mungkin tidak melakukan apa-apa, hanya menunggu hari yang lebih baik, agar Windows diinstal ulang]: -> tetapi masih ada .. Apa yang saya sarankan Anda lakukan setelah menginstal Ubuntu adalah menginstal clamav, memperbarui dan memindai ulang semua yang Anda miliki ..

Jika Anda benar-benar melakukan format semuanya, masih ada poin D.W. terbuat.

7
pootzko

Kode berbahaya di dalam BIOS/firmware dimungkinkan, tetapi banyak ancaman yang lebih realistis sering diabaikan. Dua contoh di atas kepala saya:

Repos/Gambar OS: Gambar-gambar tersebut dapat dikompromikan, jadi Anda pada dasarnya menginstal ulang OS atau Perangkat Lunak yang di-backdoor setiap kali Anda melihat kembali sistem Anda.

Manajemen luar band: ILO HP, IDRAC atau IPMI Dell. Bahkan menginstal ulang sistem Anda, siapa pun yang berkompromi mungkin sudah tahu bahwa ada manajemen band dengan akses konsol yang tersedia.

2
Gabriel Talavera

Saya pikir jawaban untuk ini tergantung pada sifat ancaman (dan penyerang) yang Anda pertimbangkan dalam ruang lingkup untuk bertindak terhadap PC Anda.

DALAM UMUM - Jika Anda melakukan format ulang "nyata" hard drive komputer (termasuk, seperti beberapa poster lain katakan, sektor boot), dan kemudian instal sistem operasi baru (sesuatu selain Microsoft Windows, semoga. .. tetapi bahkan Windows akan melakukannya, selama Anda menginstalnya dari DVD yang bertentangan dengan hanya "memulihkan" dari "mengembalikan partisi" pabrikan, yang tentu saja dapat dengan mudah dikompromikan oleh malware yang sama seperti alasan untuk menciptakan kembali O/S di tempat pertama), maka untuk kasus penggunaan PALING dalam kondisi PALING, melakukan ini harus memberikan tingkat kepercayaan yang dapat diterima bahwa komputer tidak akan "dikompromikan" pada saat Anda pertama kali menggunakannya .

Karena itu, perlu diketahui, seperti yang telah ditunjukkan oleh poster sebelumnya, pasti ada serangkaian malware canggih dan serangan perusakan fisik/BIOS, yang dapat sangat membahayakan infrastruktur dasar komputer, sehingga benar-benar hanya 100% tindakan yang aman hanya dengan membuangnya dan melanjutkan ke PC lain.

Dalam pengalaman saya, jenis serangan ini sangat jarang, tetapi jika (misalnya) Anda berada di lingkungan dengan ancaman tinggi (misalnya Anda adalah pembangkang Cina atau Iran, Anda adalah Edward Snowden, dll.) Anda sebaiknya tidak mengambil kesempatan ... terutama jika ada kemungkinan bahwa penyerang mungkin, pada beberapa titik, memiliki akses fisik ke PC yang dimaksud. (The NSA adalah ahli dalam menanam BIOS dan kompromi perangkat keras yang hampir tidak mungkin bagi siapa pun kecuali untuk mendeteksi atau menghapus badan intelijen tingkat negara lain).

Kebetulan, saya ingin mencatat ancaman lain yang terlalu banyak orang lupakan, ketika menginisialisasi PC "baru": yaitu, "menggunakan kata sandi akses lokal yang sama, khususnya kata sandi akun administrator, seperti yang saya gunakan pada PC terakhir". Logika di balik ini adalah langsung ke depan: "Saya meletakkan pintu belakang pada PC 'lama' Anda dan mencegat kata sandi Anda; jadi ketika saya melihat PC 'baru' Anda muncul di Internet ... tebak kata sandi mana yang merupakan kata sandi pertama yang Saya akan mencoba, ketika saya mencoba masuk ke PC 'baru'? "

Ngomong-ngomong, ini adalah trik kotor: buat akun "dummy", dengan nol hak istimewa dan dimonitor dengan cermat, menggunakan kata sandi "lama" ... dan tunggu untuk melihat apa yang terjadi. Akibatnya, Anda sedang menyiapkan "honeypot" lokal untuk memikat penjahat yang mengganggu PC "lama" Anda. Selalu ada kesempatan untuk mengeksploitasi hak istimewa, jadi Anda harus benar-benar berhati-hati untuk mengunci akun "dummy" sehingga bahkan jika seseorang berhasil mengautentikasi untuk itu, mereka tidak dapat pergi ke mana pun atau melakukan apa pun.

Intinya adalah, segera ganti semua kata sandi Anda, jika Anda merasa telah dikompromikan. Dan jangan percaya apa pun yang mungkin telah dikompromikan secara fisik. Lakukan itu dan Anda harus aman dari (hampir) semua kemungkinan ancaman.

1
user53510

Saat menandai pertanyaan lain sebagai duplikat, saya juga menulis balasan, jadi saya akan meninggalkan ini di sini kalau-kalau berguna untuk seseorang:

Agar realistis, itu akan menghilangkan sebagian besar semua jenis malware.

Tapi.

<mode paranoid>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Menyembunyikan data di area HDD "yang tidak dapat dijangkau": https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Lainnya yang mungkin saya lewatkan.

</ mode paranoid>

Untuk meringkas. Ada adalah cara infeksi yang akan tetap setelah melakukan prosedur instalasi ulang tersebut, tetapi untuk menjaganya " nyata", dengan Anda akan menghilangkan hampir semua infeksi malware standar.

( segera setelah Anda tidak terinfeksi lagi selama instalasi tentu saja. Pemasang OS dengan malware/adware seperti "aktivator" dan semacamnya ...)

0
BBerastegui

Sudah menjadi kebiasaan saya untuk memperbaiki sektor boot dan memperbarui (atau hanya merefleksikan) BIOS dalam kasus-kasus seperti itu juga, hanya untuk berjaga-jaga terhadap kegigihan yang sangat kuat. Ini hampir tidak perlu sepanjang waktu, karena biasanya virus bertahan baik di jaringan atau di OS, tetapi jika Anda ingin memastikan Anda harus mengambil tindakan pencegahan terhadap jenis kegigihan lainnya juga.

0
Falcon Momot