Kernel d'avvio infetto

[VReality]

Come potete vedere dallo screenshot il malwere è presente sin dai kernel di avvio di qualsiasi o.s. persino su LiveDVD o LiveUSB come questa forensic mode di Parrot.
Formattando unità SSD/USB e flashando bios non riesce a rimuovere,persiste in qualche loop/block cryptato o inaccessibile sulle periferiche o la mobo stessa.
Unica soluzione provare ad isolarlo/renderlo inutile capendo come agisce e prende privilegi hyper/root sia su Windows che su linux(qualsiasi distro).
Non ho ancora provato da una VM isolata ma credo che il virus stesso sia una sorta di sandbox VM rootkit come scritto da Matasano alcuni anni fa.
Poi vi riporto il link.
Cosa pensate che sia?

 

[Leggend_1]

Può essere un bootkit.
Fai scansione con malwarebytes.

Il tuo bios è UEFI?
Hai il secure boot abilitato?

 

[VReality]

Può essere un bootkit.
Fai scansione con malwarebytes.

Il tuo bios è UEFI?
Hai il secure boot abilitato?

Le scansioni su Windows ovviamente nn rilevano nulla.
Forse dovrei provare qualche live cd di kaspersky o simila di quelli antibootkit.
Il Bios era stato modificato dal malware,flashato di recente nn sono sicuro sia stato ripulito.
Purtroppo il secure boot non è presente trattandosi di una vecchia mobo di 10 anni fa :(
Però il UEFI c'è ed esiste la U-Key,ma il boot del bios non è salvabile,anche selezionandolo e salvando lo ritrovi sempre disabilitato.

 

[Leggend_1]

Prova con una di queste distro e facci sapere.

 

[VReality]

In Windows ho scoperto che va a modificare le chiavi di registro in modo che neppure dando accesso amministrativo alla chiave selezionata sia possibile cambiarla.
Windows Defender e sicurezza varia di Windows viene disattivata.
Qualcosa si può fare all'interno di regedit ma davvero poco e nulla per arrestarlo e far girare i servizi di protezione e sicurezza del pc.
Avevo letto da qualche parte che in teoria è possibile da un pc collegato o offline dal DVD di Windows resettare il registro di sistema allo stato originario di default(quello standard).
Qualcuno sa dirmi nulla?

 

[Air_]

In Windows ho scoperto che va a modificare le chiavi di registro in modo che neppure dando accesso amministrativo alla chiave selezionata sia possibile cambiarla.
Windows Defender e sicurezza varia di Windows viene disattivata.
Qualcosa si può fare all'interno di regedit ma davvero poco e nulla per arrestarlo e far girare i servizi di protezione e sicurezza del pc.
Avevo letto da qualche parte che in teoria è possibile da un pc collegato o offline dal DVD di Windows resettare il registro di sistema allo stato originario di default(quello standard).
Qualcuno sa dirmi nulla?

In teoria quando riscrivi il Bios dovrebbe essere debellato almeno a livello di Bios. Penso più ci sia qualche problema lato disco, come se ci fosse una parte del disco criptata che non riesci a formattare e nel momento in cui avvia qualsiasi tipologia di distribuzione e/o sistema si propaga anche nelle periferiche connesse. Ti conviene formattare completamente il disco usando una distribuzione di linux o creando una pendrive bootable magari anche tramite il programma di windows e quando avvi fai un installazione personalizzata e da li formatti tutto, elimini lo spazio allocato. Altrimenti, fai un avvio avanzato con una distro su una pendrive tramite terminale formatti il disco completamente.

 

[Skills07]

si ma prima dovresti spiegarci come lo hai preso questo "malwere" che comunque si scrive malware... Magari qualche dettaglio in piu aiuta.
I virus non si prendono mai casualmente

 

[VReality]

In teoria quando riscrivi il Bios dovrebbe essere debellato almeno a livello di Bios. Penso più ci sia qualche problema lato disco, come se ci fosse una parte del disco criptata che non riesci a formattare e nel momento in cui avvia qualsiasi tipologia di distribuzione e/o sistema si propaga anche nelle periferiche connesse. Ti conviene formattare completamente il disco usando una distribuzione di linux o creando una pendrive bootable magari anche tramite il programma di windows e quando avvi fai un installazione personalizzata e da li formatti tutto, elimini lo spazio allocato. Altrimenti, fai un avvio avanzato con una distro su una pendrive tramite terminale formatti il disco completamente.

Purtroppo i sistemi di formattazione li ho provati tutti.
Da usare distro come PartedMagic a Knoppix a ubuntu,e quant'altro.
Ho provato in passato diverse volte anche con rescue disk kaspersky/eset nod etc ma non rileva nulla.
Quando formatti anche cambiando file system e settando GPT come mbr invece di dos creando poi una nuova unità del tutto pulita non ti fa vedere queste sezioni(loop/blocks) bloccati.
Pensavo ieri e se si trattasse di una sorta di blockchain cryptata?
Tra l'altro questi Blk1 Blk2 blk3 e vari loop2 loop3 loop4 etc sono presenti anche sul lettore Blu-Ray e nel Bios UEFI della scheda madre,senza aver ancora neppure collegato l'SSD alla macchina.
Alcuni mi dicevano di provare a staccare la Eprom e riscriverci sopra,ma andrei solo a distruggere la mobo penso.
Forse sarebbe da provare un SPI programmer da collegare alla mobo per provare questa cosa senza fare danni fisici.
Cosa mi consigliate di provare?
Per rispondere a chi mi chiedeva come è arrivato mi hanno hackerato pc e router.
Anche il router ha tutti parametri automatici settati,te ne accorgi quando vai a leggere i log.
Questo router è uno schifo purtroppo permette connesioni remote che nn è possibile disabilitare.
Stavo pensando di provare a caricarci su un bios hack soluzione enterprise che lo renderebbe una sorta di firewall hardware.

 

[Air_]

Purtroppo i sistemi di formattazione li ho provati tutti.
Da usare distro come PartedMagic a Knoppix a ubuntu,e quant'altro.
Ho provato in passato diverse volte anche con rescue disk kaspersky/eset nod etc ma non rileva nulla.
Quando formatti anche cambiando file system e settando GPT come mbr invece di dos creando poi una nuova unità del tutto pulita non ti fa vedere queste sezioni(loop/blocks) bloccati.
Pensavo ieri e se si trattasse di una sorta di blockchain cryptata?
Tra l'altro questi Blk1 Blk2 blk3 e vari loop2 loop3 loop4 etc sono presenti anche sul lettore Blu-Ray e nel Bios UEFI della scheda madre,senza aver ancora neppure collegato l'SSD alla macchina.
Alcuni mi dicevano di provare a staccare la Eprom e riscriverci sopra,ma andrei solo a distruggere la mobo penso.
Forse sarebbe da provare un SPI programmer da collegare alla mobo per provare questa cosa senza fare danni fisici.
Cosa mi consigliate di provare?
Per rispondere a chi mi chiedeva come è arrivato mi hanno hackerato pc e router.
Anche il router ha tutti parametri automatici settati,te ne accorgi quando vai a leggere i log.
Questo router è uno schifo purtroppo permette connesioni remote che nn è possibile disabilitare.
Stavo pensando di provare a caricarci su un bios hack soluzione enterprise che lo renderebbe una sorta di firewall hardware.

Comunque sinceramente mancano parecchi passaggi. Non stai dicendo tutto ed esplicando. Un attacco hacker di questa portata a te? A pro di cosa? Scusa se te lo chiedo, ma se non sei una persona di rilievo la vedo proprio difficile. Più facile se hai fatto qualche operazione che non dovevi. Mi dispiace ma mancano i passaggi chiavi ovvero da dove ti sei infettato. Risalendo alla fonte si potrebbe fare molto di più.
In ogni caso, se tale virus ti infetta chiavetta e quant'altro, fai un CD con una live DISTRO e fai tutto da CD ROM che non può essere infatti in quanto viene masterizzato e chiuso. Perché se vai di distro usb sono a sua volta infettabili.

Detto ciò, il router può essere cambiato ed inoltre le porte possono essere chiuse in modo tale da evitare attacchi da esterno.

Se si conoscesse la fonte si potrebbe fare un debug e capirne di più. Una tipologia di virus come questa sono veramente difficili da poter prendere. Non penso che un hacker di tale livello fa una cosa del genere da remoto senza che tua sia un obiettivo specifico, sarebbe solo una perdita di tempo.

Se riesci spiega bene, inoltre risalendo al tuo profilo hai una discussione molto simile aperta nel 2018, è ancora sempre lo stesso problema?

 

[Skills07]

anche secondo me non rispondi volutamente alle domande che ti poniamo, mi viene da pensare che tu hai fatto qualche test con qualcosa e ti sei autoinfettato

 

[VReality]

Il

Comunque sinceramente mancano parecchi passaggi. Non stai dicendo tutto ed esplicando. Un attacco hacker di questa portata a te? A pro di cosa? Scusa se te lo chiedo, ma se non sei una persona di rilievo la vedo proprio difficile. Più facile se hai fatto qualche operazione che non dovevi. Mi dispiace ma mancano i passaggi chiavi ovvero da dove ti sei infettato. Risalendo alla fonte si potrebbe fare molto di più.
In ogni caso, se tale virus ti infetta chiavetta e quant'altro, fai un CD con una live DISTRO e fai tutto da CD ROM che non può essere infatti in quanto viene masterizzato e chiuso. Perché se vai di distro usb sono a sua volta infettabili.

Detto ciò, il router può essere cambiato ed inoltre le porte possono essere chiuse in modo tale da evitare attacchi da esterno.

Se si conoscesse la fonte si potrebbe fare un debug e capirne di più. Una tipologia di virus come questa sono veramente difficili da poter prendere. Non penso che un hacker di tale livello fa una cosa del genere da remoto senza che tua sia un obiettivo specifico, sarebbe solo una perdita di tempo.

Se riesci spiega bene, inoltre risalendo al tuo profilo hai una discussione molto simile aperta nel 2018, è ancora sempre lo stesso problema?

router lo posso cambiare certo,e anche prendere un hardware firewall perimetrale che filtra il traffico che arriva al pc o.forse anche al router.
Se è dite che è l'unica soluzione investo in questo senso.
Ma dal mio punto di vista lavorare da una macchina infetta seppur il.traffico di rete viene filtrato nn credo.risolva del.tutto.
Ad esempio quando avvio ubuntu noto del.traffico presente in entrata e uscita su iptables nonostante il router sia spento e nessun dispositivo bluetooth/wireless è presente nel pc.Dopo pochi minuti inizia tutto a laggare sullo schermo fino a frozzarsi e devo resettare la live distro(idem se installato sul SSD)
Se cambio policy e setto.tutto su DROP invece il traffico viene droppato e la distro resta stabile e performante.

@Air_ si è sempre lo stesso malware che non sono riuscito a debellare ma ho ricevuto di recente ulteriori attacchi sia sul pc che sul cellulare(anche sul cellulare sembrano legati ai flash,e una cosa che si muove sulle pagine web inizia a sfarfallare e si frozza lo schermo,oppure il device all'improvviso si spegne/riavvia).
Quando usavo windows 10 nell'ultimo periodo(meno di 1 mese fa)all'improvviso sparivano le schede di rete,andavo a cercarle e nn c'erano più.Inutile qualsiasi tentativo di.ripristinarle..dovevo solamente fare un ripristino di sistema ad uno stato.precedente.
Inutile dire dopo qualche giorno mi.fu reso impossibile fare i ripristino di sistema,fallivano per qualche oscura ragione.
C'è una persona che mi ha preso di mira per antipatia personale tutto qui,nessun motivo economico/aziendale nn lavoro da nessuna parte ne ho wallet con soldi etc.
Vorrei capire se è il caso di rivolgermi ad una società di esperti in cybersecurity o se non serve per risolvere tutto qui.
P.s. per qualcuno che ne potrebbe capire,se questo codice che modifica i kernel d'avvio agisce sulla ram dove sia avvia la distro linux andrei a risolvere inveve cryptando un hard disk/SSD e installandoci sopra un o.s.?

 

[Air_]

Il

router lo posso cambiare certo,e anche prendere un hardware firewall perimetrale che filtra il traffico che arriva al pc o.forse anche al router.
Se è dite che è l'unica soluzione investo in questo senso.
Ma dal mio punto di vista lavorare da una macchina infetta seppur il.traffico di rete viene filtrato nn credo.risolva del.tutto.
Ad esempio quando avvio ubuntu noto del.traffico presente in entrata e uscita su iptables nonostante il router sia spento e nessun dispositivo bluetooth/wireless è presente nel pc.Dopo pochi minuti inizia tutto a laggare sullo schermo fino a frozzarsi e devo resettare la live distro(idem se installato sul SSD)
Se cambio policy e setto.tutto su DROP invece il traffico viene droppato e la distro resta stabile e performante.

@Air_ si è sempre lo stesso malware che non sono riuscito a debellare ma ho ricevuto di recente ulteriori attacchi sia sul pc che sul cellulare(anche sul cellulare sembrano legati ai flash,e una cosa che si muove sulle pagine web inizia a sfarfallare e si frozza lo schermo,oppure il device all'improvviso si spegne/riavvia).
Quando usavo windows 10 nell'ultimo periodo(meno di 1 mese fa)all'improvviso sparivano le schede di rete,andavo a cercarle e nn c'erano più.Inutile qualsiasi tentativo di.ripristinarle..dovevo solamente fare un ripristino di sistema ad uno stato.precedente.
Inutile dire dopo qualche giorno mi.fu reso impossibile fare i ripristino di sistema,fallivano per qualche oscura ragione.
C'è una persona che mi ha preso di mira per antipatia personale tutto qui,nessun motivo economico/aziendale nn lavoro da nessuna parte ne ho wallet con soldi etc.
Vorrei capire se è il caso di rivolgermi ad una società di esperti in cybersecurity o se non serve per risolvere tutto qui.
P.s. per qualcuno che ne potrebbe capire,se questo codice che modifica i kernel d'avvio agisce sulla ram dove sia avvia la distro linux andrei a risolvere inveve cryptando un hard disk/SSD e installandoci sopra un o.s.?

Lavorare da una macchina infetta assolutamente no. Soprattutto perchè se sei in un ambiente non sperimentale puoi infettare tutti i dispositivi connessi alla rete quindi proprio no. Essere preso di mira da qualcuno significa che probabilmente aveva accesso fisico alla macchina per poter installare qualcosa del genere o in ogni caso ti ha mandato un qualcosa che aprendolo ha fatto scaturire tutta la catena di scrittura.
Rivolgersi ad una ditta di sicurezza ti costerebbe quanto farti un pc nuovo. La cosa che potresti fare in realtà è come ti ho consigliato avviare una distro da CD ROM che non è infettabile dato che viene chiuso dopo la masterizzazione e procedere con una formattazione a livello 0, in modo da poter pulire il tutto. Quando hai fatto la pulizia con la distro, fai un altro CD ROM e flashi il Bios da CD ROM in modo tale che non usi una usb. Perchè se il virus come dici persiste anche quando flashi il tutto significa che si propaga nella pendrive che colleghi inoltre essendo a livello 0 qui si ragione prima dell'OS stesso perchè sei infettato alla base.

Per cui doppio CD ROM, riflashi Bios da CD e Porti tutto a 0 tramite una distro di sicurezza tramite CD-ROM.

A questo punto dovresti essere pulito. Inoltre, se anche il router è infettato ti conviene aggiornarlo all'ultimo aggiornamento disponibile per quel dispositivo e fai un reset generale.

Ps: potresti anche comprare un TPM ed installarlo sulla scheda madre in modo da attivare il secure boot.

 

[Skills07]

la cosa piu semplice sarebbe capire che pc hai e quanto vale... se vale poco buttalo nel cestino ne prendi uno nuovo e hai debellato il malware.
Rivolgersi ad esperti di cybersecurity ti costa come un rene

 

[VReality]

Aggiornamento sulla situazione.
In assistenza non ho risolto nulla,non c'è serieta nell'approcciarsi a problemi come questi nei negozi di assisenza,perchè sono sbrigativi,formattano a basso livello e pensano di aver risolto..niente di più sbagliato.
Ad oggi sono convinto che il malware si annida in settori cryptati resistenti alle formattazioni di qualsiasi genere oppure che parti dell'hard disk sono utilizzate in loop ciclicamente dal virus,quindi appena gli dai corrente parte e non hai modo di cancellare quelle parti neppure con clean all in diskpart o altri metodi pesanti.
Ho trovato delle regole firewall avviate da HyperVector che sono delle backdoor,e lanciano connessioni come ad una sorta di botnet interna su 127.0.0.0,127.255.255.255,::1
Con il comando remove delle regole trovate attive in powershell non succede nulla,o si ricreano al volo o restano li.
In ambiente infetto non c'è modo di aggirare il malware che rende il sistema instabile e le protezioni di Windows o di parti terze di sicurezza inattive.
Se avete soluzioni da proporre sono in ascolto, grazie.

 

[Mursey]

Aggiornamento sulla situazione.
In assistenza non ho risolto nulla,non c'è serieta nell'approcciarsi a problemi come questi nei negozi di assisenza,perchè sono sbrigativi,formattano a basso livello e pensano di aver risolto..niente di più sbagliato.
Ad oggi sono convinto che il malware si annida in settori cryptati resistenti alle formattazioni di qualsiasi genere oppure che parti dell'hard disk sono utilizzate in loop ciclicamente dal virus,quindi appena gli dai corrente parte e non hai modo di cancellare quelle parti neppure con clean all in diskpart o altri metodi pesanti.
Ho trovato delle regole firewall avviate da HyperVector che sono delle backdoor,e lanciano connessioni come ad una sorta di botnet interna su 127.0.0.0,127.255.255.255,::1
Con il comando remove delle regole trovate attive in powershell non succede nulla,o si ricreano al volo o restano li.
In ambiente infetto non c'è modo di aggirare il malware che rende il sistema instabile e le protezioni di Windows o di parti terze di sicurezza inattive.
Se avete soluzioni da proporre sono in ascolto, grazie.

Sono passati due anni e hai ancora questo problema?