北京航天信安信息咨詢有限公司
24小時服務熱線
17710685320
Beijing Aerospace Xin'an Information Consulting Co. Ltd.
?
您當前的位置:
美國國家安全局硬盤固件入侵技術揭秘
近期發現的間諜網絡“方程式小組(Equation Group)”最令人震驚的部分就是其能用惡意代碼對硬盤固件進行重編程的神秘模塊。曝光此事的卡巴斯基研究人員稱,這一顛覆計算機胃腸道一樣的存在——硬盤固件的能力,他們“聞所未聞”。
這種黑客工具被認為是美國國家安全局(NSA)的杰作,它通過重寫硬盤固件獲得對計算機系統神一般的控制權,即使軟件更新都不能阻止它長期潛伏。模塊被命名為“nls_933w.dll”,在卡巴斯基發現的間諜平臺“方程毒藥(EquationDrug)”和“角鯊(GrayFish)”中都有用到,是此類模塊中第一個被發現的。
它還具備另一個能力:在硬盤上開辟隱藏存儲空間以備攻擊者在一段時間后取回盜取的數據。這一能力使得像方程組一類的間諜,通過將想要獲取的文檔藏入不會被加密的存儲空間來規避硬盤加密。
卡巴斯基目前為止已發現了500個方程組的受害者,但只有5個在其系統上留存有固件重寫模塊。重寫模塊似乎僅在有特殊監視價值的重要系統上留存。卡巴斯基全球研究與分析團隊主管科斯廷·拉尤認為,這些是未接入互聯網且用硬盤加密進行了保護的高價值計算機。
關于固件重寫模塊,目前了解的有如下幾點:
工作原理
硬盤都有一個控制器,基本上相當于一臺微型電腦,包含了一塊存儲芯片或是閃存ROM(只讀存儲器)用以存放驅動硬盤的固件代碼。
當電腦感染了方程毒藥或角鯊代碼,固件重寫模塊就被植入到系統,并與主控服務器連接獲取惡意代碼,然后將之寫入固件,代替原本的固件代碼。研究人員發現了兩種版本的重寫模塊:一個是2010年編譯的,用在方程毒藥中;另一個是2013編譯的,用于角鯊。
被植入木馬的固件使攻擊者可以潛伏在系統中,即使軟件更新升級都影響不到它。受害者就算懷疑自己的電腦被感染了,想抹掉舊操作系統再全新安裝一個以清除惡意代碼,惡意固件代碼模塊還是能夠留存在系統中不受波及。它可以再次連接上主控服務器,將系統中被清除掉的其他惡意組件再行安裝回來。
甚至就算廠商發布了固件自身的升級更新,惡意固件代碼也有可能依然存續。因為有些固件更新只替換固件的某些部分,意味著存放了惡意代碼的部分很可能沒有被更新重寫。受害者唯一的解決辦法就是扔掉被感染的硬盤,換塊新的。
這種攻擊之所以會奏效,是因為固件在設計的時候就根本沒考慮過安全性。硬盤生產商不會像軟件廠商給軟件加簽名一樣在安裝在硬盤中的固件上也來個加密簽名。自然,也沒有內建的對簽名固件進行的核查的驗證機制。這也就給他人留下了修改固件的可能。而且固件也是隱藏惡意軟件的最佳地點,因為反病毒掃描根本不檢查這塊地方。用戶也沒有什么好方法可以讀取固件手工檢查它是否被篡改了。
這一固件重寫模塊可以對十幾家廠商的硬盤固件進行重編程,包括IBM、希捷、西部數據(Western Digital)和東芝。
拉尤說:“你知道僅僅染指一種硬盤的固件就有多難嗎?你需要清楚很多細節,CPU、固件架構,還有它們的運行機制。”這位卡巴斯基的研究員稱之為“一項令人震驚的技術成就,充分證明了‘方程式小組’的能力。”
一旦固件被替換成植入了木馬的版本,重寫模塊便會創建能與系統中其他惡意模塊通信的應用程序接口(API),并訪問硬盤上攻擊者想藏匿所盜數據的隱藏扇區。他們將這些數據放在硬盤上所謂的“服務區”中,也就是硬盤為自身內部操作存儲數據的地方。
這種黑客工具被認為是美國國家安全局(NSA)的杰作,它通過重寫硬盤固件獲得對計算機系統神一般的控制權,即使軟件更新都不能阻止它長期潛伏。模塊被命名為“nls_933w.dll”,在卡巴斯基發現的間諜平臺“方程毒藥(EquationDrug)”和“角鯊(GrayFish)”中都有用到,是此類模塊中第一個被發現的。
它還具備另一個能力:在硬盤上開辟隱藏存儲空間以備攻擊者在一段時間后取回盜取的數據。這一能力使得像方程組一類的間諜,通過將想要獲取的文檔藏入不會被加密的存儲空間來規避硬盤加密。
卡巴斯基目前為止已發現了500個方程組的受害者,但只有5個在其系統上留存有固件重寫模塊。重寫模塊似乎僅在有特殊監視價值的重要系統上留存。卡巴斯基全球研究與分析團隊主管科斯廷·拉尤認為,這些是未接入互聯網且用硬盤加密進行了保護的高價值計算機。
關于固件重寫模塊,目前了解的有如下幾點:
工作原理
硬盤都有一個控制器,基本上相當于一臺微型電腦,包含了一塊存儲芯片或是閃存ROM(只讀存儲器)用以存放驅動硬盤的固件代碼。
被植入木馬的固件使攻擊者可以潛伏在系統中,即使軟件更新升級都影響不到它。受害者就算懷疑自己的電腦被感染了,想抹掉舊操作系統再全新安裝一個以清除惡意代碼,惡意固件代碼模塊還是能夠留存在系統中不受波及。它可以再次連接上主控服務器,將系統中被清除掉的其他惡意組件再行安裝回來。
甚至就算廠商發布了固件自身的升級更新,惡意固件代碼也有可能依然存續。因為有些固件更新只替換固件的某些部分,意味著存放了惡意代碼的部分很可能沒有被更新重寫。受害者唯一的解決辦法就是扔掉被感染的硬盤,換塊新的。
這種攻擊之所以會奏效,是因為固件在設計的時候就根本沒考慮過安全性。硬盤生產商不會像軟件廠商給軟件加簽名一樣在安裝在硬盤中的固件上也來個加密簽名。自然,也沒有內建的對簽名固件進行的核查的驗證機制。這也就給他人留下了修改固件的可能。而且固件也是隱藏惡意軟件的最佳地點,因為反病毒掃描根本不檢查這塊地方。用戶也沒有什么好方法可以讀取固件手工檢查它是否被篡改了。
這一固件重寫模塊可以對十幾家廠商的硬盤固件進行重編程,包括IBM、希捷、西部數據(Western Digital)和東芝。
拉尤說:“你知道僅僅染指一種硬盤的固件就有多難嗎?你需要清楚很多細節,CPU、固件架構,還有它們的運行機制。”這位卡巴斯基的研究員稱之為“一項令人震驚的技術成就,充分證明了‘方程式小組’的能力。”
一旦固件被替換成植入了木馬的版本,重寫模塊便會創建能與系統中其他惡意模塊通信的應用程序接口(API),并訪問硬盤上攻擊者想藏匿所盜數據的隱藏扇區。他們將這些數據放在硬盤上所謂的“服務區”中,也就是硬盤為自身內部操作存儲數據的地方。
北京市海淀區阜成路8號
Beijing city Haidian District Fuchengmen Road No. 8
17710685320
勤勉盡責 · 公正立業
航天信安
AEROSPACE XIN'AN
?
版權所有:北京航天信安信息咨詢有限公司 Copyright ? 2009-2014,All rights reserved
北京航天信安信息咨詢有限公司
聯系電話 :17710685320
Q Q:11558362
郵 箱:lukai@bjhtxa.com
地 址:北京市海淀區阜成路8號
勤勉盡責 · 公正立業