北京航天信安信息咨詢(xún)有限公司
24小時(shí)服務(wù)熱線
17710685320
Beijing Aerospace Xin'an Information Consulting Co. Ltd.
?
您當(dāng)前的位置:
美國(guó)國(guó)家安全局硬盤(pán)固件入侵技術(shù)揭秘
近期發(fā)現(xiàn)的間諜網(wǎng)絡(luò)“方程式小組(Equation Group)”最令人震驚的部分就是其能用惡意代碼對(duì)硬盤(pán)固件進(jìn)行重編程的神秘模塊。曝光此事的卡巴斯基研究人員稱(chēng),這一顛覆計(jì)算機(jī)胃腸道一樣的存在——硬盤(pán)固件的能力,他們“聞所未聞”。
這種黑客工具被認(rèn)為是美國(guó)國(guó)家安全局(NSA)的杰作,它通過(guò)重寫(xiě)硬盤(pán)固件獲得對(duì)計(jì)算機(jī)系統(tǒng)神一般的控制權(quán),即使軟件更新都不能阻止它長(zhǎng)期潛伏。模塊被命名為“nls_933w.dll”,在卡巴斯基發(fā)現(xiàn)的間諜平臺(tái)“方程毒藥(EquationDrug)”和“角鯊(GrayFish)”中都有用到,是此類(lèi)模塊中第一個(gè)被發(fā)現(xiàn)的。
它還具備另一個(gè)能力:在硬盤(pán)上開(kāi)辟隱藏存儲(chǔ)空間以備攻擊者在一段時(shí)間后取回盜取的數(shù)據(jù)。這一能力使得像方程組一類(lèi)的間諜,通過(guò)將想要獲取的文檔藏入不會(huì)被加密的存儲(chǔ)空間來(lái)規(guī)避硬盤(pán)加密。
卡巴斯基目前為止已發(fā)現(xiàn)了500個(gè)方程組的受害者,但只有5個(gè)在其系統(tǒng)上留存有固件重寫(xiě)模塊。重寫(xiě)模塊似乎僅在有特殊監(jiān)視價(jià)值的重要系統(tǒng)上留存。卡巴斯基全球研究與分析團(tuán)隊(duì)主管科斯廷·拉尤認(rèn)為,這些是未接入互聯(lián)網(wǎng)且用硬盤(pán)加密進(jìn)行了保護(hù)的高價(jià)值計(jì)算機(jī)。
關(guān)于固件重寫(xiě)模塊,目前了解的有如下幾點(diǎn):
工作原理
硬盤(pán)都有一個(gè)控制器,基本上相當(dāng)于一臺(tái)微型電腦,包含了一塊存儲(chǔ)芯片或是閃存ROM(只讀存儲(chǔ)器)用以存放驅(qū)動(dòng)硬盤(pán)的固件代碼。
當(dāng)電腦感染了方程毒藥或角鯊代碼,固件重寫(xiě)模塊就被植入到系統(tǒng),并與主控服務(wù)器連接獲取惡意代碼,然后將之寫(xiě)入固件,代替原本的固件代碼。研究人員發(fā)現(xiàn)了兩種版本的重寫(xiě)模塊:一個(gè)是2010年編譯的,用在方程毒藥中;另一個(gè)是2013編譯的,用于角鯊。
被植入木馬的固件使攻擊者可以潛伏在系統(tǒng)中,即使軟件更新升級(jí)都影響不到它。受害者就算懷疑自己的電腦被感染了,想抹掉舊操作系統(tǒng)再全新安裝一個(gè)以清除惡意代碼,惡意固件代碼模塊還是能夠留存在系統(tǒng)中不受波及。它可以再次連接上主控服務(wù)器,將系統(tǒng)中被清除掉的其他惡意組件再行安裝回來(lái)。
甚至就算廠商發(fā)布了固件自身的升級(jí)更新,惡意固件代碼也有可能依然存續(xù)。因?yàn)橛行┕碳轮惶鎿Q固件的某些部分,意味著存放了惡意代碼的部分很可能沒(méi)有被更新重寫(xiě)。受害者唯一的解決辦法就是扔掉被感染的硬盤(pán),換塊新的。
這種攻擊之所以會(huì)奏效,是因?yàn)楣碳谠O(shè)計(jì)的時(shí)候就根本沒(méi)考慮過(guò)安全性。硬盤(pán)生產(chǎn)商不會(huì)像軟件廠商給軟件加簽名一樣在安裝在硬盤(pán)中的固件上也來(lái)個(gè)加密簽名。自然,也沒(méi)有內(nèi)建的對(duì)簽名固件進(jìn)行的核查的驗(yàn)證機(jī)制。這也就給他人留下了修改固件的可能。而且固件也是隱藏惡意軟件的最佳地點(diǎn),因?yàn)榉床《緬呙韪静粰z查這塊地方。用戶(hù)也沒(méi)有什么好方法可以讀取固件手工檢查它是否被篡改了。
這一固件重寫(xiě)模塊可以對(duì)十幾家廠商的硬盤(pán)固件進(jìn)行重編程,包括IBM、希捷、西部數(shù)據(jù)(Western Digital)和東芝。
拉尤說(shuō):“你知道僅僅染指一種硬盤(pán)的固件就有多難嗎?你需要清楚很多細(xì)節(jié),CPU、固件架構(gòu),還有它們的運(yùn)行機(jī)制。”這位卡巴斯基的研究員稱(chēng)之為“一項(xiàng)令人震驚的技術(shù)成就,充分證明了‘方程式小組’的能力。”
一旦固件被替換成植入了木馬的版本,重寫(xiě)模塊便會(huì)創(chuàng)建能與系統(tǒng)中其他惡意模塊通信的應(yīng)用程序接口(API),并訪問(wèn)硬盤(pán)上攻擊者想藏匿所盜數(shù)據(jù)的隱藏扇區(qū)。他們將這些數(shù)據(jù)放在硬盤(pán)上所謂的“服務(wù)區(qū)”中,也就是硬盤(pán)為自身內(nèi)部操作存儲(chǔ)數(shù)據(jù)的地方。
這種黑客工具被認(rèn)為是美國(guó)國(guó)家安全局(NSA)的杰作,它通過(guò)重寫(xiě)硬盤(pán)固件獲得對(duì)計(jì)算機(jī)系統(tǒng)神一般的控制權(quán),即使軟件更新都不能阻止它長(zhǎng)期潛伏。模塊被命名為“nls_933w.dll”,在卡巴斯基發(fā)現(xiàn)的間諜平臺(tái)“方程毒藥(EquationDrug)”和“角鯊(GrayFish)”中都有用到,是此類(lèi)模塊中第一個(gè)被發(fā)現(xiàn)的。
它還具備另一個(gè)能力:在硬盤(pán)上開(kāi)辟隱藏存儲(chǔ)空間以備攻擊者在一段時(shí)間后取回盜取的數(shù)據(jù)。這一能力使得像方程組一類(lèi)的間諜,通過(guò)將想要獲取的文檔藏入不會(huì)被加密的存儲(chǔ)空間來(lái)規(guī)避硬盤(pán)加密。
卡巴斯基目前為止已發(fā)現(xiàn)了500個(gè)方程組的受害者,但只有5個(gè)在其系統(tǒng)上留存有固件重寫(xiě)模塊。重寫(xiě)模塊似乎僅在有特殊監(jiān)視價(jià)值的重要系統(tǒng)上留存。卡巴斯基全球研究與分析團(tuán)隊(duì)主管科斯廷·拉尤認(rèn)為,這些是未接入互聯(lián)網(wǎng)且用硬盤(pán)加密進(jìn)行了保護(hù)的高價(jià)值計(jì)算機(jī)。
關(guān)于固件重寫(xiě)模塊,目前了解的有如下幾點(diǎn):
工作原理
硬盤(pán)都有一個(gè)控制器,基本上相當(dāng)于一臺(tái)微型電腦,包含了一塊存儲(chǔ)芯片或是閃存ROM(只讀存儲(chǔ)器)用以存放驅(qū)動(dòng)硬盤(pán)的固件代碼。
被植入木馬的固件使攻擊者可以潛伏在系統(tǒng)中,即使軟件更新升級(jí)都影響不到它。受害者就算懷疑自己的電腦被感染了,想抹掉舊操作系統(tǒng)再全新安裝一個(gè)以清除惡意代碼,惡意固件代碼模塊還是能夠留存在系統(tǒng)中不受波及。它可以再次連接上主控服務(wù)器,將系統(tǒng)中被清除掉的其他惡意組件再行安裝回來(lái)。
甚至就算廠商發(fā)布了固件自身的升級(jí)更新,惡意固件代碼也有可能依然存續(xù)。因?yàn)橛行┕碳轮惶鎿Q固件的某些部分,意味著存放了惡意代碼的部分很可能沒(méi)有被更新重寫(xiě)。受害者唯一的解決辦法就是扔掉被感染的硬盤(pán),換塊新的。
這種攻擊之所以會(huì)奏效,是因?yàn)楣碳谠O(shè)計(jì)的時(shí)候就根本沒(méi)考慮過(guò)安全性。硬盤(pán)生產(chǎn)商不會(huì)像軟件廠商給軟件加簽名一樣在安裝在硬盤(pán)中的固件上也來(lái)個(gè)加密簽名。自然,也沒(méi)有內(nèi)建的對(duì)簽名固件進(jìn)行的核查的驗(yàn)證機(jī)制。這也就給他人留下了修改固件的可能。而且固件也是隱藏惡意軟件的最佳地點(diǎn),因?yàn)榉床《緬呙韪静粰z查這塊地方。用戶(hù)也沒(méi)有什么好方法可以讀取固件手工檢查它是否被篡改了。
這一固件重寫(xiě)模塊可以對(duì)十幾家廠商的硬盤(pán)固件進(jìn)行重編程,包括IBM、希捷、西部數(shù)據(jù)(Western Digital)和東芝。
拉尤說(shuō):“你知道僅僅染指一種硬盤(pán)的固件就有多難嗎?你需要清楚很多細(xì)節(jié),CPU、固件架構(gòu),還有它們的運(yùn)行機(jī)制。”這位卡巴斯基的研究員稱(chēng)之為“一項(xiàng)令人震驚的技術(shù)成就,充分證明了‘方程式小組’的能力。”
一旦固件被替換成植入了木馬的版本,重寫(xiě)模塊便會(huì)創(chuàng)建能與系統(tǒng)中其他惡意模塊通信的應(yīng)用程序接口(API),并訪問(wèn)硬盤(pán)上攻擊者想藏匿所盜數(shù)據(jù)的隱藏扇區(qū)。他們將這些數(shù)據(jù)放在硬盤(pán)上所謂的“服務(wù)區(qū)”中,也就是硬盤(pán)為自身內(nèi)部操作存儲(chǔ)數(shù)據(jù)的地方。
北京市海淀區(qū)阜成路8號(hào)
Beijing city Haidian District Fuchengmen Road No. 8
17710685320
勤勉盡責(zé) · 公正立業(yè)
航天信安
AEROSPACE XIN'AN
?
版權(quán)所有:北京航天信安信息咨詢(xún)有限公司 Copyright ? 2009-2014,All rights reserved
北京航天信安信息咨詢(xún)有限公司
聯(lián)系電話 :17710685320
Q Q:11558362
郵 箱:lukai@bjhtxa.com
地 址:北京市海淀區(qū)阜成路8號(hào)
勤勉盡責(zé) · 公正立業(yè)