Question:
Un malware peut-il alimenter un ordinateur?
Benoit Esnard
2019-02-12 22:21:43 UTC
view on stackexchange narkive permalink

Je viens de télécharger et d'exécuter un logiciel malveillant sur mon ordinateur.

Je n'ai pas beaucoup de temps pour le moment, alors je l'ai juste éteint (désactivé via le menu Démarrer) , en espérant qu'il ne pourra pas voler de données ou faire des activités malveillantes tant que je n'aurai pas pu le neutraliser de son orbite.

  • Est-ce suffisant pour empêcher le malware de continuer à mener des activités malveillantes?
  • Le logiciel malveillant peut-il alimenter mon ordinateur?
  • Dois-je également le débrancher et retirer sa batterie?
Je suis confus, si vous envisagez de le neutraliser de son orbite, qu'importe s'il fait ce qu'il fait?Le plus important est de couper le réseau.
_ (mettant un chapeau en papier d'aluminium et notant que je ne suis pas un expert dans ce domaine) _ Est-il possible que les logiciels malveillants puissent modifier le bios pour le réveiller à un certain moment?
Je pense que vous avez besoin de perms plus élevées pour planifier un réveil rtc ou pour configurer le bios pour WOL ...
Et si le malware s'exécutait dans un ordinateur portable avec une batterie soudée à 100% de charge?
@dandavis et il existe des moyens d'obtenir des privilèges élevés, notamment en contournant l'ensemble du système d'exploitation.Il y avait une présentation DefCon où le malware a réussi à contourner toutes les fenêtres, à modifier la ROM, puis il s'exécutait et restait en mémoire complètement hors de la portée du système d'exploitation.Donc, même si vous démarrez sous Linux, il serait toujours là et aurait accès à toutes les données en mémoire.Donc, en bref - ce n'est pas nécessairement un palliatif.Cependant, je ne sais pas quel malware OP a.
Il existe des fonctions de réveil du BIOS, le logiciel malveillant pourrait les programmer.Cela dépend de votre matériel pour les éviter.Le débranchement aidera certainement.
Comment savons-nous que le logiciel malveillant n'a pas déjà allumé votre ordinateur pour publier cette question?Vraiment, Benoit est profondément endormi et il s'agit d'un malware sophistiqué et bienveillant à pointage ISSE.:-p
"donc je l'ai juste éteint (éteint via le menu Démarrer)" Si vous utilisez Windows 10, il est fort probable que l'ordinateur soit dans un état suspendu / hibernation au lieu d'être complètement éteint.
@enon: Simple, dessouder la batterie.
Cinq réponses:
LSerni
2019-02-12 23:21:05 UTC
view on stackexchange narkive permalink

TL; DR Oui, mais c'est peu probable. Pour être sûr, débranchez le PC ou assurez-vous qu'il ne peut pas se connecter à quoi que ce soit.

Plusieurs systèmes d'exploitation, notamment Windows 10, ont la possibilité de paramétrer " réveil automatique" , en utilisant des pilotes appropriés et une gestion du matériel compliquée et associée.

En conséquence, SI (et c'est un gros si!) un programme malveillant a obtenu un accès suffisant pour avoir le système d'exploitation faire ses enchères, il a un moyen de simplement demander au système lui-même de le faire en son nom.

Sur certains systèmes (que le logiciel malveillant doit être capable de reconnaître et de prévoir ), cela vaut également pour la "vraie mise hors tension": des circuits supplémentaires allumeront l'ordinateur à une heure présélectionnée de l'horloge temps réel intégrée. De manière moins accessible par logiciel, ceci est disponible sur certains BIOS de bureau ("Mise sous tension automatique: [] Jamais; [] Après une coupure de courant; [] Tous les jours à une heure donnée: : " ou similaire , dans la configuration du BIOS).

Ensuite, le système se mettra automatiquement sous tension après un certain temps, par exemple à un moment où vous êtes susceptible de dormir.

Donc:

  • il existe un support matériel de mise sous tension RTC, ou plus (systèmes de gestion intégrés, courants sur les ordinateurs d'entreprise)
    • le malware doit déjà avoir pris le contrôle du système, car les fonctions RTC nécessitent généralement Accès au niveau administrateur / racine.
  • Prise en charge matérielle de la mise sous tension RTC absente ou non utilisée:
    • si le logiciel malveillant a pris le contrôle du système, il peut ont remplacé la procédure d'arrêt par une simple mise en veille , et configuré les choses pour quitter le mode veille ultérieurement.

Mais est-ce que l'une de ces options s'est produite? Probablement pas. La plupart des logiciels malveillants doivent être exécutés sans le vouloir et pouvoir fonctionner sans être détectés pendant un certain temps. La "simulation de mise hors tension" n'est utile que dans des scénarios très spécifiques (et l'option matérielle n'est disponible que sur relativement peu de systèmes), et je ne pense pas qu'il serait utile pour un auteur de malware de s'en soucier. Ils utilisent généralement la troisième option, la plus simple:

  • certaines des séquences de démarrage ou d'ouverture de session automatiques habituelles (autoexec, scripts de démarrage, tâches planifiées, services d'exécution, etc.) sont subverties de sorte que le code supplémentaire, à savoir, le malware, est exécuté en silence.

Pour un malware "ciblé", conçu avec une victime spécifique à l'esprit et adapté aux capacités de la cible spécifique, plutôt qu'au sous-ensemble disponible sur une machine infectée moyenne, toutes les qualifications ci-dessus n'entrent pas en jeu.

Vous auriez un problème similaire si le virus infectait votre BMC (il pourrait utiliser IPMI pour mettre le système sous tension).Cependant, ce n'est pas beaucoup de risque pour les machines grand public.Le matériel BMC n'est généralement visible que sur les serveurs.
@bta Intel ME et AMD PSP sur les systèmes de bureau remplissent essentiellement les mêmes fonctions qu'un BMC avancé.
_ «Cela nécessite que le malware ait déjà (…) remplacé la procédure d'arrêt par une simple mise en veille» _ Pas vraiment pour un x86 moderne, voir [la réponse de Matija Nalis] (https://security.stackexchange.com/a / 203450/145686).
Le planificateur de tâches Windows a accès à la fonctionnalité de réveil ACPI RTC et l'utilisera.Habituellement, il ne se réveille qu'à partir de S3 et S4 mais il existe des systèmes qui ne font pas de distinction entre S4 et S5 au niveau acpi pour le réveil.Une fois, j'ai eu une si belle machine (vista) qui démarrait au milieu de la nuit pour vérifier les mises à jour de Windows ...
"Wake on LAN" / IME n'a rien à voir avec Windows 10, c'est une fonctionnalité matérielle, pas une fonctionnalité logicielle
Ce n'est pas seulement Windows 10. Il y a des décennies, votre BIOS avait déjà un «réveil en cas d'alarme», qui démarre votre PC à une heure précise.Et votre système d'exploitation peut régler cette heure d'alarme.Vous n'avez pas nécessairement besoin d'un mode veille pour cela, si votre logiciel malveillant s'exécute également au démarrage normal d'un PC.
"débrancher le PC" -> le malware peut-il le rebrancher?;)
Matija Nalis
2019-02-13 01:48:16 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont mentionné, c'est tout à fait possible sur la plupart des matériels PC, bien que ce ne soit pas très probable actuellement (car la grande majorité des logiciels malveillants ne dérange pas).

Ce que d'autres ont dit n'est pas possible, cependant faux . Le logiciel PEUT réveiller un ordinateur qui a été régulièrement éteint soit via les commandes "shutdown" ou "poweroff" (GNU / Linux) ou en cliquant sur le bouton "start" et puis "Shutdown" (MS Windows), ou via une pression manuelle sur le bouton d'alimentation.

La fonction s'appelle réveil RTC, et elle permet au logiciel de programmer le réveil à une heure précise de la journée . Il est contrôlé par une puce d'horloge en temps réel (puce qui enregistre l'heure lorsque votre ordinateur est éteint et fonctionne sur sa propre pile CR2032).

Si vous exécutez GNU / Linux, le contrôle de cette fonctionnalité est assuré par la commande système rtcwake (8) .

En tant que fonctionnalité connexe, de nombreux ordinateurs ont également une fonctionnalité appelée Wake on LAN, qui permet à d'autres ordinateurs et routeurs d'allumer votre ordinateur via un réseau Ethernet filaire (notez que cette fonctionnalité doit être activé sur votre ordinateur, et la valeur par défaut dépend de votre BIOS).

le mobo ne regarde pas l'interrupteur d'alimentation, le bloc d'alimentation le fait.le mobo connecte simplement le petit connecteur à broche bouton au connecteur atx 24 broches.
Je dis aux gens que, comme Westley dans The Princess Bride, un ordinateur qui est «éteint» n'est pas complètement éteint.C'est juste la plupart du temps éteint.Une petite partie de la carte mère surveille le «commutateur d'alimentation» à l'avant du boîtier [acheminé via l'alimentation par @Matija Nails], la sortie clavier pour un signal de «mise sous tension», et peut également être à la recherche d'un paquet distinctifpour frapper la carte réseau ...
@MontyHarder: Ce sont des parties différentes, vraiment, et la logique de l'interrupteur d'alimentation est probablement entièrement matérielle.La partie WOL est probablement implémentée dans le firmware, donc c'est le logiciel.
Notez également que depuis l'avènement des [alimentations ATX] (https://en.wikipedia.org/wiki/ATX) à cca 1995., la plupart des ordinateurs PC n'ont plus d'interrupteur d'arrêt physique (vous pouvez retirer le câble, ou rarement par interrupteur mécanique à l'arrière de l'ATX PSU près du câble AC).Donc, si votre ordinateur peut être "éteint" via un logiciel (en cliquant sur le bouton d'arrêt), il peut presque toujours être également allumé par un logiciel.Donc, en fait, les ordinateurs modernes ne sont jamais éteints, et ce que nous appelons "off" est en fait un état [ACPI G2 / S5] (https://en.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface#Power_states) "soft-off"
Wake on LAN ne fonctionne que lorsque vous avez le contrôle d'une autre machine sur le même LAN qui est * sous tension *.Notez que par "sous tension" je ne veux pas nécessairement dire que les ventilateurs et les disques tournent bruyamment.Tout appareil disposant de suffisamment d'électricité et d'activité pour émettre un paquet LAN, qu'il s'agisse d'un appareil IoT sur batteries, peut émettre un paquet WoL
@MatijaNalis - Je crois que toutes les alimentations électriques vendues au Royaume-Uni sont légalement tenues d'avoir un interrupteur physique, bien que personne ne l'utilise jamais dans des circonstances normales.Cela peut être à l'échelle de l'UE.
@MSalters Tout cela ne peut pas être matériel, car si vous appuyez sur le "commutateur d'alimentation" pendant que l'ordinateur est en marche, cela déclenche un arrêt progressif (vidage des tampons de disque, stationnement des têtes de lecture / écriture, etc.) avant d'entrer dans le "principalementoff "état.Je me souviens quand ce n'était pas vrai (pré-ATX).Il est possible qu'il y ait un composant matériel qui suit cet état et permet la «mise sous tension» sans aucun logiciel, mais précisément parce que les cartes mères ont Wake on LAN (et souvent Wake on Modem) qui nécessitent une sorte de traitement de bas niveau, c'est raisonnablepour supposer qu'ils fonctionnent de la même manière.
@MatijaNalis: Ils ont remis les interrupteurs.Regardez à l'arrière de l'ordinateur.Il y a un interrupteur 1 0 à côté du cordon. Basculez-le sur 0 pour éteindre l'appareil.
@MatijaNalis avec des batteries de secours qui durent deux heures lorsque la machine est allumée, tirer le câble n'est pas non plus une option ...
Il y a un "interrupteur d'alimentation" et un interrupteur PSU (plus une fonction de sécurité).Les anciens PC avaient également un véritable interrupteur d'alimentation après le bloc d'alimentation.
Les PC vraiment vieux n'avaient que le véritable interrupteur d'alimentation.Sur mon premier, c'était un gros levier rouge, que vous pouviez basculer, de préférence après avoir exécuté `park` depuis la ligne de commande pour garer la tête des disques durs.
@Joshua J'ai un tout nouveau Lenovo, deux HP de 2 ans et un Dell de 3 ans ici et aucun d'entre eux n'a d'interrupteur d'alimentation dur.Je pense que votre appareil doit respecter une certaine limite de puissance en veille douce, ou vous pouvez mettre un interrupteur d'alimentation dur pour y parvenir.
J.A.K.
2019-02-12 23:36:27 UTC
view on stackexchange narkive permalink

Edit: oui, cela peut être fait. Comme l'observe la grande réponse de Majita Nalis, les systèmes modernes ont une fonctionnalité intégrée qui vous permet de définir une 'alarme' de démarrage à partir d'un logiciel.

Un scénario qui pourrait également être réaliste est que le malware gagne en persistance sur un autre dispositif. Supposons que votre routeur possède des informations d'identification par défaut ou une vulnérabilité, le malware pourrait s'être propagé. Quelqu'un pourrait alors allumer votre machine si le réveil sur réseau était activé.

Mais après avoir vérifié le réveil de WoL et RTC, vous n'êtes toujours pas complètement en sécurité. La plupart des logiciels malveillants fonctionneront dans l'anneau 3, et si vous êtes vraiment malchanceux dans l'anneau 0 en tant que module de noyau ou pilote système. Ceux-ci ne fonctionnent pas lorsque le système est réellement éteint, et si aucune horloge n'a été réglée, ils ne peuvent fondamentalement plus exercer de contrôle sur la machine.

Il existe cependant des modes d'exécution inférieurs à l'anneau 0 tels que SMM et autre firmware, qui font la gestion de l'alimentation. Cependant, les logiciels malveillants qui en abusent sont extrêmement rares, le seul exemple dans la nature que je pourrais nommer est le logiciel malveillant de classe DEITYBOUNCE de nom de code NSA et le LoJax probablement répandu par Fancy Bear.

Voir l'excellente réponse de Forests sur la façon dont cela peut arriver.

https://security.stackexchange.com/a/180107/121894

Avez-vous des informations sur le malware telles qu'un hachage ou un nom de famille ? Cela permettrait une réponse plus détaillée.

LoryOne
2019-02-13 03:41:26 UTC
view on stackexchange narkive permalink

Le paquet WOL a une structure particulière; N'est pas dit qu'il pourrait être envoyé sur internet ou acheminé sur intranet pour atteindre la cible.Un ordinateur est éteint lorsque le câble d'alimentation est déconnecté ou est connecté mais éteint.Le réveil RTC est agréable, mais je suppose qu'il pourrait être utilisé uniquement À mon avis personnel, certaines fonctionnalités du micrologiciel SMM, si elles ne sont pas correctement configurées et certaines d'entre elles désactivées par défaut, pourraient être potentiellement dangereuses pour la gestion à distance.Le meilleur choix est de débrancher le câble Internet ou de désactiver la carte sans fil jusqu'à ce que vous ne soyez pas sûr pour avoir désinfecté votre ordinateur par l'infection virale.

Dans des conditions spéciales, la trame WOL peut être envoyée sur Internet en tant que diffusion IP dirigée ou elle peut être envoyée à partir d'un routeur piraté ou d'un autre appareil sur le LAN.--- L'alarme RTC sur les ordinateurs ATX (introduite en 1995 et plus tard largement adoptée) est conçue pour pouvoir mettre l'ordinateur sous tension à partir d'un état complètement éteint.L'alimentation ATX fournit 5 volts en veille même lorsqu'elle est éteinte.Ceci permet d'autoriser des fonctions comme WOL, la mise sous tension par clavier, etc. --- SMM est utilisé pour les fonctions APM mais théoriquement il n'est pas nécessaire pour implémenter les deux fonctions de réveil mentionnées.
Ed Kideys
2019-02-15 18:18:52 UTC
view on stackexchange narkive permalink
Les logiciels malveillants

Root Kit peuvent faire cela et bien plus encore. Cependant, les rootkits sont normalement utilisés comme logiciels espions pour collecter des informations sur votre système sans que vous ne puissiez jamais détecter que votre système est infecté. Mettre votre système sous tension, faire des bêtises, puis le remettre hors tension ne serait pas utile du point de vue des logiciels espions, car il ne sait pas et serait difficile de prévoir le calendrier d'utilisation de votre ordinateur.

Un très bien écrit Le kit racine ne serait pas détectable par un système qui ne dispose pas d'une protection anti-malware aussi bien écrite. Dans votre cas, le malware a été détecté. Considérez-vous chanceux. Pour protéger votre système contre les logiciels malveillants du kit racine:

  1. jamais, ne jamais se connecter en tant qu'utilisateur root ou administrateur !! Utilisez toujours 'sudo' (linux), ou 'run as' (Windows) si vous avez besoin de faire quelque chose à l'échelle du système.

  2. Assurez-vous d'avoir un utilisateur root très puissant ( administrateur) et modifiez ce mot de passe aussi souvent que possible.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...