1990 년대 후반 CIH로 알려진 컴퓨터 바이러스가 일부 컴퓨터를 감염시키기 시작했습니다. 페이로드가 트리거되면 시스템 정보를 덮어 쓰고 컴퓨터의 BIOS를 파괴하여 본질적으로 감염된 모든 컴퓨터를 손상시킵니다. 최신 운영 체제 (Windows 10과 같은)에 영향을 미치는 바이러스가 최신 컴퓨터의 BIOS를 파괴하고 기본적으로 동일한 손상을 일으킬 수 있습니다. 또는 바이러스가 최신 컴퓨터의 BIOS에 액세스하는 것이 불가능합니까?
댓글
- 예,하지만 공격자의 관점에서 볼 때 이는 낭비 또는 자원입니다 … UEFI 용 루트킷에 대한 자세한 정보는 다음 문서의 예입니다 … welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
- 설명은 확장 된 논의를위한 것이 아닙니다. 이 대화는 채팅으로 이동 되었습니다.
- 일부 (또는 대부분?) 데스크탑 마더 보드에는 어떤 형식에서 BIOS를 복구하는 데 사용되는 ROM이 있습니다. 미디어 (예전에는 플로피 디스크, 요즘에는 USB 스틱, 아마도 CD-ROM). ROM은 ' 수정할 수 없지만 일반적으로 복구하려면 케이스를 열고 점퍼를 이동하여 BIOS 복구 모드로 부팅해야합니다. 저는 ' 랩톱이이 문제를 어떻게 처리하는지 모릅니다.
- 관련 : security.stackexchange.com/q / 13105 / 165253
답변
최신 컴퓨터에는 BIOS가 없습니다. UEFI . 실행중인 운영 체제에서 UEFI 펌웨어를 업데이트하는 것은 표준 절차이므로 충분한 권한이있는 운영 체제에서 실행되도록 관리하는 모든 맬웨어가 시도 할 수 있습니다. 그러나 대부분의 UEFI는 제조업체가 디지털 서명하지 않은 업데이트를 수락하지 않습니다. 즉, 임의의 코드로 덮어 쓸 수 없어야합니다.
그러나 이것은 다음을 가정합니다.
- 메인 보드 제조업체는 개인 키를 비밀로 유지합니다. li>
- UEFI에는 임의의 코드로 덮어 쓰거나 악용되어 피해를 입힐 수있는 의도하지 않은 보안 취약성이 없습니다.
이 두 가지 가정이 반드시 유지되는 것은 아닙니다. .
유출 된 키에 관하여 : UEFI 서명 키가 일반 대중에게 알려지게된다면 미디어보고와 히스테리 적 패치가 계속 진행될 것이라고 가정 할 수 있습니다. IT 뉴스에서는 “[브랜드] 메인 보드가 있다면 지금 UEFI를 업데이트하세요 !!! 1111oneone” 헤드 라인을 많이 보게 될 것입니다. 그러나 또 다른 가능성은 비밀리에 주 행위자에게 유출 된 키에 서명하는 것입니다. 따라서 귀하의 작업이 산업 스파이 활동에 흥미로울 수 있다면 이는 또한 신뢰할 수있는 위협이 될 수 있습니다.
버그 관련 : UEFI는 이득을 얻습니다. 숨겨진 버그에 대한 더 많은 가능성을 가진 점점 더 많은 기능. 또한 “실제”운영 체제를 부팅 한 후에는 대부분의 내부 보안 기능이 부족합니다.
댓글
- 댓글은 확장 기능이 아닙니다. 토론; 이 대화는 채팅으로 이동 되었습니다.
답변
예, 가능합니다.
요즘 UEFI가 널리 보급됨에 따라 더 큰 문제가되고 있습니다. UEFI는 기존 BIOS보다 훨씬 더 큰 공격 표면을 가지고 있으며 UEFI의 (잠재적) 결함을 활용하여 시스템에 액세스하지 않고도 시스템에 액세스 할 수 있습니다. 모든 종류의 물리적 액세스 ( 작년에 black hat에서 Eclypsium 사람들이 입증 한 것처럼 )
답변
h2>
실제로 바이러스는 소프트웨어이므로 다른 소프트웨어가 할 수있는 모든 작업을 할 수 있습니다.
그렇게 간단한 방법 이 질문과 다른 모든 클래스의 “바이러스가 X를 수행 할 수 있습니까?” “소프트웨어가 현재 X를 수행합니까?”라는 질문입니다.
이러한 질문에는 “바이러스가 내 개를 산책시킬 수 있습니까?”가 포함될 수 있습니다. (개를 걷는 로봇 없이는 아님); “바이러스가 피자를 얻을 수 있습니까?” (예 : 유감스럽게도 대부분의 바이러스 작성자의 주요 초점은 아닙니다.)
현재 BIOS (UEFI)가 소프트웨어를 사용하여 업데이트됩니까? 대답은 그렇습니다. 어젯밤 재부팅했을 때 내 정보가 업데이트되었습니다.
그래서 대답은 예입니다.
동일한 논리에 따라 바이러스는 CPU, 하드 드라이브 및 프린터에 물리적 손상을 일으킬 수 있습니다 (역사적으로도 발생했습니다).
가정 자동화 시스템과 무인 차량도 물리적 손상의 대상이 될 수 있지만 그렇게 한 바이러스는 없습니다.
댓글
- ' 멀웨어 개발자가 무료 피자를 주문하기 위해 내 개인 정보를 사용하더라도 별다른 관심이 없습니다. (유용한 추론에 +1)
- @Marc.2377, 당신의 개인 정보가 나 무료 피자를 주문하는 데 사용 되었다면별로 신경 쓰지 않을 것입니다… 🙂
- 현대 바이러스는 매우 어렵습니다 물리적 손상을 일으키는 시간. 기껏해야 CPU를 매우 뜨겁게 실행하여 하드웨어를 약간 마모시켜 유용한 수명을 단축시킬 수 있지만 ' 이로 인해 손상을 일으킬 수있는 경우는 흔하지 않습니다. . 과거에는 그렇지 않았습니다. ' " 죽음의 찌르기 "를 참조하십시오.
- @forest Aren ' 요즘에는 팬과 냉각 시스템 소프트웨어가 제어되지 않습니까? 저는 ' 확실하지 않지만 소프트웨어에서 CPU 또는 GPU 팬을 오염시킬 수 있습니다. 러시아는 공진 주파수로 켜고 끄는 방식으로 발전기를 원격으로 파괴했습니다. 모니터를 꽤 빨리 죽일 수있는 유사한 트릭이있을 것입니다. 플래터 하드 드라이브는 반복적으로 위아래로 회전하여 폐기 할 수 있으며, 솔리드 스테이트 드라이브는 반복적 인 읽기 / 쓰기주기에 취약합니다. 의욕적 인 해커가 할 수있는 일이 많이있을 것 같습니다.
- ' " 물리적 손상을 초래합니다 " 가능한 / 그럴듯한 지 결정하기 전에. 코드를 실행하는 컴퓨터를 말 그대로 손상 시키도록 정의를 제한한다면, ' 꽤 좁고 @forest가 옳다고 생각합니다. 보다 일반적인 의미에서 물리적 손상을 포함하면 ' 감염된 컴퓨터가 무언가를 제어하는 ' 시나리오를 상상하기가 훨씬 쉽습니다. 그렇지 않으면 발전소, 신호등, 대중 교통 시스템, 수처리 시설 등이 쉽게 심각한 물리적 손상을 입힐 수 있습니다.
답변
예, 가능합니다.
다음은 제조업체의 개인 키로 부정하게 서명 된 악성 코드 OS 업데이트의 예입니다. https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/
Kaspersky Labs에 따르면 약 백만 대의 Asus 노트북이 Shadowhammer
에 감염되었습니다. 올바로 서명 된 것으로 보이는 업데이트. 펌웨어가 변경되었는지 여부는 분명하지 않지만 확실히 할 수있었습니다.
답변
귀하의 질문은 운영 체제에서 코드의 링 및 권한과 같은 더 깊은 주제에 대한 힌트입니다. MS DOS에서 코드는 원하는대로 할 수 있습니다. 코드가 모든 0x00 “을 하드 드라이브에 쓰고 자한다면 이상한 출력을 하드웨어에 보내고 자한다면 사용자의 코드를 멈추지 않을 수도 있습니다. 최신 OS에는 링 개념이 있습니다 (이는 CPU에 의해 적용됨). 커널은 링 0에서 실행되며 원하는 모든 작업을 수행 할 수 있습니다. 반면에 사용자의 코드는 할 수 없습니다. 그것은 ring 3이라고 부르는 것에서 실행되고 그것에게 자신의 작은 메모리 조각이 주어지고 그 메모리 안에서 원하는 것을 할 수 있지만 하드웨어와 직접 대화 할 수는 없습니다. . 사용자의 코드가 하드웨어와 통신을 시도하면 커널은 즉시 프로그램을 죽입니다. 즉, 일반 바이러스가 하드웨어와 직접 대화 할 수 없기 때문에 하드웨어를 죽일 가능성이 거의 없습니다.
If 커널이 해킹되면 게임은 기본적으로 끝납니다. 커널은 원하는 모든 작업을 수행 할 수 있으며 하드웨어가 불안정한 지점까지 CPU를 오버 클럭하고 하드 드라이브를 지우는 등의 나쁜 일이 많이 발생할 수 있습니다. 예) 또는 기타 그럴듯한 공격.
댓글
- " 사용자의 코드가 ' 하드웨어와 통신을 시도하면 커널이 즉시 프로그램을 종료합니다. " -정말요? 나는 보호 된 지침이 단순히 실패 할 것이라고 생각했고, '이를 합리적으로 처리하거나 충돌을 일으키는 것은 프로그램에 달려 있습니다.
- @Marc .2377 맞습니다. 유저 '의 코드는 CPL0 권한이 필요한 CPL3에서 명령을 실행하려고 시도하면
#GP(0)
(일반 보호 오류 또는 GPF)가 발생합니다. 이로 인해 코드가 해당 이벤트에 대해 설정된 신호 처리기를 확인하기 위해 커널로 이동합니다. 기본적으로 커널은 프로세스를 종료하지만 ' 프로세스가 SIGSEGV에 대한 신호 처리기를 설정하는 것은 기술적으로 가능합니다.이 경우 커널은 다음 위치에서 프로세스 실행을 다시 시작합니다. 신호 핸들러의 위치. 프로세스가 … - … 실행이 재개 될 경우 POSIX에 따라 정의되지 않은 상태로 간주되기 때문에 일반적으로 ' 좋은 생각이 아닙니다. '
raise()
에서 오지 않은 SIGSEGV가 제기 된 후. 실패한 명령에서 실행을 다시 시작하고 다시 실행되고 신호가 무시되면 프로세스가 잠기 게됩니다.따라서 SIGSEGV에 대한 신호 처리기를 설정하면 프로그램에 따라 처리 할 수 있지만 ' 그렇게 할 수있는 상황은 거의 없습니다 (Dolphin 에뮬레이터가 일종의 해키 최적화를 위해 세그 폴트를 포착한다고 생각하지만 ' 이상한 페이징 동작을 에뮬레이션 할 필요가 없습니다. MMU에 의존 할 수 있습니다. - 에 대한 (드문) 예는 이 를 참조하세요. 프로그램까지. 또는 PoC || GTFO 6 : 3
Answer
잠재적으로. 그러나 합법적 인 BIOS 업데이트로 가장해야 할 가능성이 높기 때문에 수행하기가 어려울 것입니다. 이를 수행하는 방법은 mobo에 따라 다르지만 개인 키 또는 하드웨어 키 또는 기타 비밀의 유출이 수반되어야 할 가능성이 있습니다.
답변
예. 하드웨어에 따라 다르지만 사용자가 실수로 OS 레벨에서 마더 보드 펌웨어를 깨뜨린 경우입니다. https://github.com/systemd/systemd/issues/2402
MSI 노트북 펌웨어의 버그로 인해 efi 변수를 지우면 노트북을 사용할 수 없게되었습니다. 이러한 변수는 OS에 노출되고 파일로 마운트되어 OS 수준에서 모든 파일이 삭제 되었기 때문입니다. 바이러스에 의해 악용 될 수있는 문제가 발생하여 이러한 변수를 구체적으로 표적으로 삼았습니다.
답변
여러 가지 방법이 있으며 일부 예를 들어 Computrace는 운영 체제뿐만 아니라 BIOS까지 우회 할 수있는 영구적 인 백도어 인 것 같습니다 .보다 일반적으로 인텔 관리 엔진 은 컴퓨터를 완전히 제어 할 수 있으며 악용 될 수 있습니다. 이러한 구성은 BIOS를 수정할 수는 있지만 그럴 필요조차 없습니다. 2017 년에 보안 연구원들은 다음과 같은 결론을 내 렸습니다. ut USB를 통해 Intel IME를 악용하여 서명되지 않은 코드를 실행하는 방법 .
요점은 완전히 안전한 운영 체제를 가지고 있더라도 안전하지 않거나 악성 소프트웨어를 다운로드하지 않는 경우에도 하드웨어의 보안 취약성을 악용하여 모든 것을 우회하는 맬웨어의 영향을받을 수있는 가능성은 무시할 수 없습니다 (컴퓨터 전원이 꺼져있을 때도 포함).
답변
내가 여기에서 본 것 :
공격자에게도 설치할 수있는 충분한 권한을 얻은 경우 시스템 제조업체가 올바르게 서명 한 UEFI 펌웨어는 프로세스 중에 적절한 시간에 강제로 컴퓨터 전원을 꺼서 컴퓨터를 부팅 할 수없는 상태로 둘 수 있습니다.
최신 펌웨어의 업데이트 코드 일반적으로 정전으로 인해 펌웨어가 손상되는 상태에서 컴퓨터가 소비하는 시간을 최소화하려고합니다. ome 펌웨어에는 이러한 경우에 활성화되는 복구 모드도 있습니다.
그러나 이러한 시스템 중 상당수는 완전히 방탄이 아닙니다. 임의의 전원 장애에 대해 우수한 보호 기능을 제공하지만 펌웨어에 강력한 자동 복구 기능이없는 경우 적절한 시간에 전원을 꺼도 여전히 작동을 중단 할 수 있습니다.
또한 공격 할 필요가 없을 수도 있습니다. 주요 시스템 펌웨어. 최신 PC의 거의 모든 장치에는 일종의 펌웨어가 있으며 대부분 소프트웨어를 통해 업데이트 할 수 있습니다. 이러한 장치는 보안 수준이 떨어지는 경우가 많습니다. 서명되지 않은 펌웨어를 완전히 수용하거나 적어도 복원력이 떨어질 수 있습니다. 업데이트 프로세스 중에 악의적 인 전원 끄기에 대비합니다.
전원 컨트롤러, 저장 컨트롤러, 저장 장치, 비디오 장치 또는 입력 컨트롤러의 펌웨어를 파괴하면 시스템을 사용할 수 없게 될 수 있습니다. UEFI를 공격했습니다.