Frage:
Kann eine Malware einen Computer einschalten?
Benoit Esnard
2019-02-12 22:21:43 UTC
view on stackexchange narkive permalink

Ich habe gerade eine Malware auf meinen Computer heruntergeladen und ausgeführt.

Ich habe momentan nicht viel Zeit, also habe ich sie einfach ausgeschaltet (über das Startmenü ausgeschaltet). in der Hoffnung, dass es keine Daten stehlen oder böswillige Aktivitäten ausführen kann, bis ich sie aus dem Orbit entfernen kann.

  • Reicht es aus, um zu verhindern, dass die Malware weiterhin böswillige Aktivitäten ausführt?
  • Kann die Malware meinen Computer mit Strom versorgen?
  • Soll ich auch den Netzstecker ziehen und den Akku entfernen?
Ich bin verwirrt, wenn Sie vorhaben, es aus dem Orbit zu entfernen, was macht es dann aus, wenn es das tut, was es tut?Das wichtigere ist, das Netzwerk abzuschneiden.
_ (Aufsetzen eines Alufolienhutes und Feststellen, dass ich kein Experte auf diesem Gebiet bin) _ Ist es möglich, dass Malware in BIOS geändert wird, um sie zu einem bestimmten Zeitpunkt aufwecken zu lassen?
Ich denke, Sie benötigen höhere Dauerwellen, um ein RTC-Wakeup zu planen oder BIOS für WOL zu konfigurieren ...
Was ist, wenn die Malware in einem Laptop mit einem gelöteten Akku zu 100% aufgeladen wird?
@dandavis und es gibt Möglichkeiten, erhöhte Berechtigungen zu erhalten, einschließlich der Umgehung des gesamten Betriebssystems.Es gab eine DefCon-Präsentation, bei der es Malware gelang, alle Fenster zu umgehen, das ROM zu ändern, es dann auszuführen und vollständig außerhalb der Reichweite des Betriebssystems im Speicher zu bleiben.Selbst wenn Sie Linux starten, ist es immer noch verfügbar und hat Zugriff auf alle Daten im Speicher.Kurz gesagt - das ist nicht unbedingt eine Notlösung.Obwohl ich nicht weiß, was Malware OP hat.
Es gibt BIOS-Weckzeitfunktionen, die von der Malware programmiert werden könnten.Hängt von Ihrer Hardware ab, wie Sie diese vermeiden können.Das Herausziehen des Netzsteckers wird sicherlich helfen.
Woher wissen wir, dass die Malware Ihren Computer noch nicht eingeschaltet hat, um diese Frage zu stellen?Wirklich, Benoit schläft tief und fest und dies ist hoch entwickelte, wohlwollende ISSE-Malware, die Punkte bewertet.:-p
"Also habe ich es einfach ausgeschaltet (über das Startmenü ausgeschaltet)." Wenn Sie Windows 10 ausführen, befindet sich der Computer wahrscheinlich in einem angehaltenen / Ruhezustand, anstatt vollständig heruntergefahren zu werden.
@enon: Entlöten Sie einfach die Batterie.
Fünf antworten:
LSerni
2019-02-12 23:21:05 UTC
view on stackexchange narkive permalink

TL; DR Ja, aber es ist unwahrscheinlich. Um sicherzugehen, ziehen Sie entweder den Stecker aus der Steckdose oder stellen Sie sicher, dass keine Verbindung hergestellt werden kann.

Mehrere Betriebssysteme - insbesondere Windows 10 - haben die Möglichkeit, " automatisches Aufwecken" einzustellen.

Infolgedessen hat IF (und das ist ein großes Problem!) ein Malware-Programm ausreichend Zugriff auf das Betriebssystem erhalten Wenn Sie Gebote abgeben, können Sie das System einfach bitten , dies in seinem Namen zu tun.

Auf einigen Systemen (die die Malware erkennen und planen muss) ) gilt dies auch für "echtes Herunterfahren": Zusätzliche Schaltkreise schalten den Computer zu einer vorgewählten Zeit der integrierten Echtzeituhr ein. Auf weniger Software-zugängliche Weise ist dies in einigen Desktop-BIOS verfügbar ("Automatisch einschalten: [] Nie; [] Nach Stromausfall; [] Jeden Tag zu einer bestimmten Zeit: : " oder ähnlich (im BIOS-Setup).

Dann wird das System nach einiger Zeit automatisch hochgefahren, beispielsweise zu einem Zeitpunkt, an dem Sie wahrscheinlich schlafen.

Also:

  • Es gibt RTC-Powerup-Hardwareunterstützung oder mehr (integrierte Managementsysteme, wie sie auf Unternehmenscomputern üblich sind)
    • Die Malware muss bereits die Kontrolle über das System übernommen haben, da RTC-Funktionen normalerweise erforderlich sind Zugriff auf Administrator- / Root-Ebene.
  • RTC-Powerup HW-Unterstützung nicht vorhanden oder nicht verwendet:
    • Wenn die Malware die Kontrolle über das System übernommen hat, kann dies der Fall sein haben das Herunterfahren durch ein bloßes Einschlafen ersetzt und Dinge eingerichtet, um den Schlafmodus zu einem späteren Zeitpunkt zu verlassen.
  • Aber ist eine dieser Optionen aufgetreten? Wahrscheinlich nicht. Die meisten Malware-Programme sind darauf angewiesen, dass sie unabsichtlich ausgeführt werden und für einige Zeit ohne Erkennung ausgeführt werden können. Die "Ausschaltsimulation" ist nur in sehr spezifischen Szenarien nützlich (und die Hardwareoption ist nur auf vergleichsweise wenigen Systemen verfügbar), und ich denke nicht, dass es sich für einen Malware-Writer lohnen würde, sich mit ihnen zu befassen. Sie gehen normalerweise mit der dritten und einfachsten Option:

    • Einige der üblichen automatischen Einschalt- oder Anmeldesequenzen (Autoexec, Boot-Skripte, geplante Aufgaben, Ausführen von Diensten usw.) werden so unterlaufen Zusätzlicher Code, nämlich die Malware, wird unbeaufsichtigt ausgeführt.

    Für eine "gezielte" Malware, die für ein bestimmtes Opfer entwickelt und auf die Fähigkeiten des jeweiligen Ziels zugeschnitten ist und nicht auf die verfügbare Teilmenge Auf einem durchschnittlich infizierten Computer würden nicht alle oben genannten Qualifikationen ins Spiel kommen.

    Sie hätten ein ähnliches Problem, wenn der Virus Ihren BMC infiziert hätte (er könnte IPMI verwenden, um das System einzuschalten).Für Maschinen der Verbraucherklasse ist dies jedoch kein großes Risiko.BMC-Hardware wird normalerweise nur auf Servern angezeigt.
    @bta Intel ME und AMD PSP auf Desktop-Systemen erfüllen im Wesentlichen die gleichen Funktionen wie ein fortschrittliches BMC.
    _ „Dies setzt voraus, dass die Malware das Herunterfahren bereits (…) durch ein einfaches Einschlafen ersetzt hat.“ _ Nicht wirklich für ein modernes x86, siehe [die Antwort von Matija Nalis] (https://security.stackexchange.com/).a / 203450/145686).
    Der Windows-Taskplaner hat Zugriff auf die ACPI RTC-Weckfunktion und nutzt diese.Normalerweise wacht es nur von S3 und S4 auf, aber es gibt Systeme, die auf der ACPI-Ebene nicht zwischen S4 und S5 für das Aufwecken unterscheiden.Ich hatte einmal eine so schöne (Vista) Maschine, die mitten in der Nacht startete, um nach Windows-Updates zu suchen ...
    "Wake on LAN" / IME hat nichts mit Windows 10 zu tun, es ist eine Hardwarefunktion, keine Softwarefunktion
    Dies ist nicht nur Windows 10. Vor Jahrzehnten hatte Ihr BIOS bereits einen "Wake-on-Alarm", der Ihren PC zu einem bestimmten Zeitpunkt startet.Und Ihr Betriebssystem kann diese Alarmzeit einstellen.Sie benötigen dafür nicht unbedingt einen Ruhemodus, wenn Ihre Malware auch nur bei einem normalen PC-Start ausgeführt wird.
    "PC ausstecken" -> Kann die Malware ihn wieder einstecken?;)
    Matija Nalis
    2019-02-13 01:48:16 UTC
    view on stackexchange narkive permalink

    Wie andere bereits erwähnt haben, ist dies auf den meisten PC-Geräten durchaus möglich, obwohl dies derzeit nicht sehr wahrscheinlich ist (da die überwiegende Mehrheit der Malware nicht stört).

    Was andere gesagt haben, ist jedoch nicht möglich, ist falsch . Software KANN tatsächlich einen Computer aktivieren, der regelmäßig ausgeschaltet ist, entweder über die Befehle "Herunterfahren" oder "Ausschalten" (GNU / Linux) oder durch Klicken auf die Schaltfläche "Start" und dann "Herunterfahren" (MS Windows) oder durch manuelles Drücken des Netzschalters.

    Die Funktion heißt RTC-Aufwecken und ermöglicht es der Software, das Aufwecken zu einer bestimmten Tageszeit zu planen . Es wird von einem Echtzeituhr-Chip gesteuert (Chip, der die Zeit verfolgt, während Ihr Computer ausgeschaltet ist und mit seiner eigenen CR2032-Batterie betrieben wird).

    Wenn Sie GNU / ausführen. Linux-System, die Steuerung dieser Funktionalität wird durch den Systembefehl rtcwake (8) bereitgestellt.

    Als verwandte Funktion verfügen viele Computer auch über eine Funktion namens Wake on LAN, mit der andere Computer und Router Ihren Computer über ein kabelgebundenes Ethernet-Netzwerk einschalten können (beachten Sie diese Funktion muss auf Ihrem Computer aktiviert sein, und ob standardmäßig aktiviert ist, hängt von Ihrem BIOS ab.

    Der Mobo sieht den Netzschalter nicht, das Netzteil nicht.Der Mobo verbindet einfach die kleine Stiftleiste mit dem 24-poligen ATX-Anschluss.
    Ich sage den Leuten, dass wie Westley in The Princess Bride ein Computer, der "heruntergefahren" ist, nicht vollständig ausgeschaltet ist.Es ist nur meistens aus.Ein kleiner Teil des Motherboards überwacht den "Netzschalter" an der Vorderseite des Gehäuses [über das Netzteil per @Matija-Nägel geleitet], den Tastaturausgang für ein "Einschalt" -Signal, und sucht möglicherweise auch nach einem bestimmten Paketum die Netzwerkkarte zu treffen ...
    @MontyHarder: Das sind wirklich verschiedene Teile, und die Netzschalterlogik ist wahrscheinlich alles in Hardware.Der WOL-Teil ist wahrscheinlich in der Firmware implementiert, das ist also Software.
    Beachten Sie außerdem, dass seit dem Aufkommen von [ATX-Netzteilen] (https://en.wikipedia.org/wiki/ATX) im Jahr 1995 die meisten PC-Computer keinen physischen Aus-Schalter mehr haben (Sie können das Kabel herausziehenoder selten durch einen mechanischen Schalter an der Rückseite des ATX-Netzteils in der Nähe des Netzkabels).Wenn Ihr Computer also per Software "ausgeschaltet" werden kann (durch Klicken auf die Schaltfläche zum Herunterfahren), kann er fast immer auch per Software eingeschaltet werden.Tatsächlich sind moderne Computer niemals ausgeschaltet, und was wir als "aus" bezeichnen, ist tatsächlich [ACPI G2 / S5] (https://en.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface#Power_states) "Soft-Off" -Zustand
    Wake on LAN funktioniert nur, wenn Sie die Kontrolle über einen anderen Computer im selben LAN haben, der * eingeschaltet * ist.Beachten Sie, dass mit "eingeschaltet" nicht unbedingt Lüfter und Festplatten gemeint sind, die sich geräuschvoll drehen.Jedes Gerät, das über genügend Strom und Aktivität verfügt, um ein LAN-Paket auszugeben, sei es ein IoT-Gerät mit Batterien, kann ein WoL-Paket ausgeben
    @MatijaNalis - Ich glaube, dass alle in Großbritannien verkauften Netzteile gesetzlich dazu verpflichtet sind, einen physischen Schalter zu haben, obwohl niemand ihn unter normalen Umständen jemals benutzt.Dies kann EU-weit sein.
    @MSalters Es kann nicht alles in Hardware sein, denn wenn Sie den "Netzschalter" drücken, während der Computer läuft, wird ein ordnungsgemäßes Herunterfahren (Löschen von Festplattenpuffern, Parken der Lese- / Schreibköpfe usw.) eingeleitet, bevor die "meistens" eingegeben werdenaus "Zustand.Ich erinnere mich, als das nicht stimmte (vor ATX).Es ist möglich, dass es eine Hardwarekomponente gibt, die diesen Status verfolgt und das "Einschalten" ohne Software ermöglicht. Gerade weil die Motherboards über Wake on LAN (und häufig Wake on Modem) verfügen, für die eine Verarbeitung auf niedriger Ebene erforderlich ist, ist dies sinnvollanzunehmen, dass sie ähnlich funktionieren.
    @MatijaNalis: Sie setzen die Schalter zurück.Schauen Sie auf die Rückseite des Computers.Neben dem Kabel befindet sich ein 1 0 -Schalter. Schalten Sie ihn auf 0, um das Gerät auszuschalten.
    @MatijaNalis mit Pufferbatterien, die bei eingeschaltetem Gerät zwei Stunden lang halten, das Ziehen des Kabels ist ebenfalls keine Option ...
    Es gibt einen "Netzschalter" und einen Netzteilschalter (eher eine Sicherheitsfunktion).Alte PCs hatten auch nach dem Netzteil einen echten Netzschalter.
    Wirklich alte PCs hatten nur den richtigen Netzschalter.Bei meinem ersten war es ein großer roter Hebel, den Sie umschalten konnten, vorzugsweise nachdem Sie "Park" über die Befehlszeile ausgeführt hatten, um den Festplattenkopf zu parken.
    @Joshua Ich habe ein brandneues Lenovo, zwei 2 Jahre alte HPs und einen 3 Jahre alten Dell hier und keiner von ihnen hat Festnetzschalter.Ich glaube, Ihr Gerät muss ein bestimmtes Soft-Standby-Leistungslimit erfüllen, oder Sie können einen Hard-Power-Schalter verwenden, um dieses zu erreichen.
    J.A.K.
    2019-02-12 23:36:27 UTC
    view on stackexchange narkive permalink

    Bearbeiten: Ja, das geht. Wie die großartige Antwort von Majita Nalis feststellt, verfügen moderne Systeme über eine integrierte Funktion, mit der Sie einen Startalarm über Software einstellen können.

    Ein Szenario, das möglicherweise auch realistisch ist, ist die Persistenz der Malware auf einem anderen Gerät. Angenommen, Ihr Router verfügt über Standardanmeldeinformationen oder eine Sicherheitsanfälligkeit. Die Malware könnte sich verbreitet haben. Jemand könnte dann Ihren Computer einschalten, wenn Wake-on-LAN aktiviert wäre.

    Aber nachdem Sie WoL- und RTC-Wakeup überprüft haben, sind Sie immer noch nicht ganz sicher. Die meiste Malware wird in Ring 3 ausgeführt, und wenn Sie in Ring 0 als Kernelmodul oder Systemtreiber wirklich Pech haben. Diese werden beide nicht ausgeführt, wenn das System tatsächlich ausgeschaltet ist, und wenn keine Uhr eingestellt wurde, können sie grundsätzlich keine Kontrolle mehr über die Maschine ausüben.

    Es gibt jedoch Ausführungsmodi unterhalb von Ring 0 wie SMM und andere Firmware, die Power Management macht. Obwohl Malware, die dies missbraucht, äußerst selten ist, ist das einzige Beispiel in freier Wildbahn, das ich nennen könnte, die Malware der NSA-Codename DEITYBOUNCE-Klasse und der LoJax, der wahrscheinlich von Fancy Bear verbreitet wird.

    Siehe Forests, ausgezeichnete Antwort darauf, wie dies geschehen kann.

    https://security.stackexchange.com/a/180107/121894

    Haben Sie Informationen zu Malware wie einen Hash oder einen Familiennamen? ? Dies würde eine detailliertere Antwort ermöglichen.

    LoryOne
    2019-02-13 03:41:26 UTC
    view on stackexchange narkive permalink

    Das WOL-Paket hat eine bestimmte Struktur. Es wird nicht gesagt, dass es über das Internet gesendet oder über das Intranet weitergeleitet werden kann, um das Ziel zu erreichen. Ein Computer wird ausgeschaltet, wenn das Nahrungskabel abgezogen oder angeschlossen, aber ausgeschaltet ist. Das RTC-Aufwecken ist nett, aber ich nehme an, es könnte nur verwendet werden Meiner persönlichen Meinung nach können einige SMM-Firmware-Funktionen, wenn sie nicht richtig konfiguriert und einige standardmäßig deaktiviert sind, möglicherweise gefährlich für die Fernverwaltung sein. Die beste Wahl ist, das Internetkabel abzuziehen oder die WLAN-Karte zu deaktivieren, bis Sie sich nicht sicher sind um Ihren PC durch die Virusinfektion desinfiziert zu haben.

    Unter bestimmten Bedingungen kann der WOL-Frame als gerichtete IP-Übertragung über das Internet oder von einem gehackten Router oder einem anderen Gerät im LAN gesendet werden.--- Der RTC-Alarm auf ATX-Computern (1995 eingeführt und später weit verbreitet) soll den Computer aus einem vollständig ausgeschalteten Zustand einschalten können.Das ATX-Netzteil liefert 5 Volt Standby, auch wenn es ausgeschaltet ist.Dies dient dazu, Funktionen wie WOL, Einschalten über die Tastatur usw. zu ermöglichen. --- SMM wird für APM-Funktionen verwendet, ist jedoch theoretisch nicht erforderlich, um die beiden genannten Weckfunktionen zu implementieren.
    Ed Kideys
    2019-02-15 18:18:52 UTC
    view on stackexchange narkive permalink

    Root Kit Malware kann dies und vieles mehr. Rootkits werden jedoch normalerweise als Spyware verwendet, um Informationen von Ihrem System zu sammeln, ohne dass Sie jemals feststellen können, dass Ihr System infiziert ist. Das Einschalten Ihres Systems, das Ausführen von Unfug und das anschließende Herunterfahren wäre aus Spyware-Sicht nicht sinnvoll, da es Ihren Computernutzungsplan nicht kennt und schwer vorherzusagen ist.

    Ein wirklich gut geschriebenes Das Root-Kit ist für ein System, das keinen gleich gut geschriebenen Anti-Malware-Schutz bietet, nicht erkennbar. In Ihrem Fall wurde die Malware erkannt. Betrachten Sie sich als glücklich. So schützen Sie Ihr System vor Malware im Root-Kit:

    1. Melden Sie sich niemals als Root-Benutzer oder Administrator an! Verwenden Sie immer 'sudo' (Linux) oder 'run as' (Windows), wenn Sie systemweit etwas tun müssen.

    2. Stellen Sie sicher, dass Sie einen sehr starken Root-Benutzer haben ( Administrator) und ändern Sie dieses Passwort so oft wie möglich.

    3. ol>


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...