Protocolo passo a passo para limpeza completa do sistema (suspeitando de backdoor persistente)

Não existe um protocolo único para isso. Realmente depende de que tipo de adversário você acredita estar lidando.

De qualquer maneira, o primeiro passo é o mesmo: não entre em pânico, respire fundo e considere cuidadosamente seu modelo de ameaça, suas opções e objetivos. Tem certeza de que deseja limpar o dispositivo? Isso pode destruir evidências que podem ser relevantes em uma investigação futura. Se você puder pagar, pode isolar o dispositivo e solicitar que um profissional faça análises forenses em seu dispositivo para descobrir que tipo de porta dos fundos você possui e para preservar todas as evidências.

Se isso não for viável, a próxima pergunta seria o quão completo você deseja ser. Existem mais lugares do que o inicialmente óbvio onde uma backdoor pode persistir, embora os mais sofisticados sejam bastante incomuns. É aqui que considerar seu modelo de ameaça é realmente importante. Que tipo de sofisticação você está esperando? É algum malware bootkit run-off-the-mill ou você está enfrentando um ator de nível estadual (a maioria das pessoas não é o alvo de ataques TAO ou semelhantes, e se você pensa que é, mas então pode haver lugares melhores para obter conselhos;).

Então, vamos examinar alguns dos lugares onde uma porta dos fundos pode ser instalada, do menos ao mais sofisticado (ou bem, provavelmente ao menos provável):

• Em algum lugar do seu sistema operacional, ou seja, no seu HD / SSD. Isso seria destruído com a reinstalação do seu sistema operacional. Embora você afirme que a reinstalação não remove seu backdoor, ainda é prudente reinstalar o sistema operacional, pois um backdoor mais sofisticado pode persistir aqui também.
• O carregador de boot. Isso depende um pouco se você está usando UEFI ou um carregador de inicialização CSM / BIOS legado. Em ambos os casos, o carregador de boot é armazenado em seu disco, mas pode estar dentro da partição do sistema EFI ou nos primeiros setores do disco (MBR). Em qualquer caso, ele pode ser removido limpando completamente o disco.
• O estado do BIOS / UEFI, por exemplo, em variáveis ​​UEFI ou configuração do BIOS. Em ambos os casos, ele é armazenado em um pequeno chip flash ou EEPROM na placa-mãe. Como isso é completamente eliminado depende do seu hardware - isso pode ser tão fácil quanto remover uma bateria CMOS ou pode exigir a conexão de um cabo a um chip na placa-mãe.
• O firmware BIOS / UEFI, ME ou outro firmware de CPU / placa-mãe. Se isso pode ser resolvido por um reflash de firmware depende do dispositivo - se você não puder confiar que seu computador ligará, a única aposta segura pode ser conectar um cabo de programação aos respectivos chips de flash.
• Outro firmware periférico, por exemplo, o disco rígido ou controladores SSD ou firmware da placa de rede. Muitos periféricos possuem pequenas CPUs que podem ser reprogramadas e se ou como elas podem ser restauradas novamente depende do seu dispositivo. Os dispositivos PCI podem ter os chamados ROMs de inicialização que são executados na CPU principal antes da inicialização do sistema e podem fazer backdoor em estágios de inicialização posteriores. Como eles são programados novamente depende do dispositivo em questão.
• Potenciais modificações de hardware - podem ser muito difíceis de detectar e de se livrar.

Ao limpar o disco, considere que você pode não querer fazer isso usando o dispositivo possivelmente comprometido. Você pode querer remover o disco e anexá-lo a um segundo computador sem montá-lo e, em seguida, substituí-lo, por exemplo, usando dd. Se o seu dispositivo for um SSD com recursos de apagamento seguro, você também pode usá-los. Isso deve remover qualquer malware persistente no disco, mas não necessariamente backdoors mais sofisticados no controlador de disco ou outro firmware.

Finalmente, a opção mais paranóica é considerar o dispositivo queimado, desligá-lo e não usá-lo mais - embora isso provavelmente não faça parte do modelo de ameaça diário de Joe.