揭示NSA硬盘固件入侵技术的秘密

揭示NSA硬盘固件入侵技术的秘密

作者: 娜娜，20150年3月5日，星期四

最近发现的网络“ Equation Group”中最令人震惊的部分是其神秘的模块，该模块可以使用恶意代码对硬盘驱动器固件进行重新编程. 揭露此事的卡巴斯基研究人员说，破坏计算机胃肠道，硬盘固件的能力是“闻所未闻”的.

此黑客工具被认为是国家安全局（NSA）的杰作. 它重写硬盘固件以获得对计算机系统的控制. 即使软件更新也无法防止其长时间潜伏. 该模块被命名为“ nls_933w.dll”，并且在卡巴斯基发现的“ EquationDrug”和“ GrayFish”平台中使用. 这是第一个被发现的模块.

它还具有另一种功能: 在硬盘驱动器上打开隐藏的存储空间，以使攻击者在一段时间后准备好检索被盗的数据. 此功能使“方程式组”之类的通过将他们想要获取的文档隐藏在不会被加密的存储空间中，从而逃避了硬盘驱动器的加密.

卡巴斯基迄今已发现等式团队的500名受害者，但只有5名在其系统上具有固件重写模块. 重写模块似乎只能在具有特殊监视价值的重要系统上生存. 卡巴斯基全球研究与分析团队负责人Kostin Raju认为，这些是不连接到Internet并受到硬盘加密保护的高价值计算机.

关于固件重写模块，目前了解以下几点:

工作原理

硬盘具有控制器，基本上等同于微型计算机. 它包含一个存储芯片或闪存ROM（只读存储器），用于存储硬盘的固件代码.

当计算机感染方程式毒物或狗鱼代码时，将固件重写模块植入系统并连接到主控制服务器以获取恶意代码，然后将其写入固件以替换原始固件代码. 研究人员发现重写模块有两种版本: 一种是在2010年编译并用于Equation Poison. 另一个在2013年进行了编译，并用于Dogfish.

木马程序中植入的固件允许攻击者隐藏在系统中，即使软件更新升级不会对其造成影响. 即使受害者怀疑自己的计算机已被感染，并希望擦除旧的操作系统并安装新的操作系统以删除恶意代码，恶意固件代码模块仍可以保留在系统中而不会受到影响. 它可以再次连接到主服务器，并安装从系统中删除的其他恶意组件.

即使制造商自己发布了固件更新，恶意固件代码仍然可能存在. 因为某些固件更新仅替换固件的某些部分，所以这意味着存储恶意代码的部分可能不会被更新覆盖. 受害者的唯一解决方案是扔掉被感染的硬盘，然后换上新的硬盘.

此攻击之所以有效，是因为固件的设计完全没有安全性. 硬盘制造商不会像软件制造商签名软件那样在硬盘中安装的固件上添加加密签名. 自然，没有内置的验证机制来验证签名的固件. 这也使其他人可以修改固件. 而且固件也是隐藏恶意软件的最佳位置，因为防病毒扫描根本不会检查该区域. 用户没有很好的方法来读取固件并手动检查其是否已被篡改.

此固件重写模块可以对包括IBM，Seagate，Western Digital和Toshiba等十几个制造商的硬盘固件进行重新编程.

Rayou说: “您知道仅参考硬盘驱动器的固件有多困难吗？您需要了解很多细节，CPU，固件体系结构及其操作机制. ”卡巴斯基研究人员说，“这是一项令人震惊的技术成就，充分证明了'Formula Team'的能力. ”

一旦固件被替换为植入木马的版本，重写模块将创建一个应用程序接口（API），该接口可以与系统中的其他恶意模块进行通信，并可以访问攻击者想要的硬盘隐藏被盗的数据. 部门. 他们将这些数据放在硬盘上的所谓“服务区”中，硬盘在该服务区中存储其内部操作的数据.

隐藏的存储区

在此固件Trojan事件曝光期间，攻击者可以使用隐藏扇区存储数据的功能并未得到太多解释，但这是固件入侵的重要组成部分. 同时，这也引发了一系列有关攻击者如何做到这一点的问题. 由于没有在受感染的系统中写入实际固件木马代码的副本，因此此攻击仍然存在许多未解之谜，但是我们仍然可以做出一些猜测.

装有未使用的固件的ROM芯片中有少量存储空间. 如果ROM芯片的容量为2M字节，则固件可能只占其中的1.5M，从而为攻击者留下0.5M的空间来隐藏他们想要窃取的数据.

如果目标主机已打开磁盘加密，则此空间非常有用. 由于Equation Poison和Dogfish恶意软件都在Windows下运行，因此他们可以在加密文件之前获取文件的副本，并将其存储在不会加密的隐藏空间中. 但是，芯片上没有太多空间，无法存储太多数据和文档，攻击者只能选择有价值的东西来逃避加密.

“考虑到Dogfish恶意软件可以在系统启动阶段启动，它们还可以捕获加密密钥并将其存储在此隐藏存储区域中. ”

当局可以稍后通过边界封锁或NSA所谓的“海关机会”获得这些计算机，然后从隐藏的存储区域中提取捕获的密钥以解锁硬盘驱动器.

Rayou认为，此策略的目标仅限于未连接到Internet且具有加密硬盘驱动器的计算机. 他们发现，被征募的五台机器中有一台没有互联网连接，被用于特殊的安全通信.

”固件Trojan的所有者仅在没有其他方法的特殊情况下使用它. 想想Bin Laden. 他生活在与外界隔离的沙漠中，没有Internet或电子足迹. 如果您想您可以怎么做才能从他的计算机上获取信息？您只能将文档放在隐藏的存储区域中，然后等待一两年后再回来偷它，这种方法的好处是明确而具体的. “

但是，Raju还认为，攻击者的脑海中应该有更大的蓝图. “也许他们会在不久的将来对其进行升级，不再只是存储密钥，而是将所有文件存储在隐藏区域中. 那时，一旦他们有机会实际访问受感染的系统，他们就可以从隐藏中退出. 获取所有纯文本文档. ”

如果他们可以将操作系统的整个目录复制到一个隐藏的扇区中以备将来使用，则不需要该密钥. 但是固件所在的闪存芯片太小，无法容纳大量数据. 因此，攻击者需要更多的隐藏存储空间. 幸运的是，这个空间确实存在. 硬盘服务区中有很大的区域可以被强制存储大量文件缓存扇区，甚至可以存储计算机其他部分上已删除文件的副本. 该服务区也称为保留区或系统区，用于存储操作硬盘所需的固件和其他数据，但是其中很大一部分是可用空间.

以色列“ Recovery”公司的数据恢复专家Ariel Berkman在2013年2月发表了一篇有趣的文章，其中提到: “不仅这些区域不会被常规工具，防病毒软件和计算机取证所清洗. 工具也无法访问. ”

Berkman指出，Western Digital硬盘驱动器具有141MB的保留服务区，但仅使用了12MB，其余空间可用作隐藏存储.

如果要在服务区中写入数据，则必须了解每个制造商未公开的特定命令，因此攻击者必须首先弄清楚这些命令是什么. 一旦发现，“攻击者可以通过将特定于供应商的命令（VSC）直接发送到硬盘驱动器，从而操纵这些服务区域以读取和写入本来无法访问的数据. ”编写程序以自动将文档复制到该区域也是可行的，尽管这项工作有些琐碎. 伯克曼本人编写了一个概念验证程序来向服务区读写94MB文件，但是该程序有点不稳定，可能会导致数据丢失或硬盘崩溃.

但是，以这种方式隐藏大量数据存在一个问题: 只要检查服务区域中已用空间的大小，就可以发现隐藏数据的存在. 如果该扇区应具有129MB的可用空间，但只剩下80MB，则意味着这里不应该存在某些内容. 但是，泄露的NSA文件写于2006年，但直到上个月Der Spiegel才发布，这表明NSA可能已经解决了这个问题.

NSA实习生的解决方案

该文件基本上是美国国家安全局（NSA）为其所谓的“可持续性部门”发展未来活动能力的愿望清单. “持久性部门”中有一个攻击小组，专门使用重写固件，基本输入输出系统（BIOS），总线（BUS）和驱动器的方法来建立和维护对受感染主机的长期控制. 本文档列出了NSA实习生需要为攻击团队开展的大量项目. 其中之一是“隐藏存储”项目，该项目可通过开发硬盘固件植入程序来防止发现硬盘上的隐藏存储. 为达到此效果，植入物必须阻止系统发现磁盘上的真实可用空间量.

文档内容如下: ``该项目的想法是修改特定硬盘的固件，使其只能识别一半的可用空间. 它将识别出的容量数据返回给操作系统，而无需提供该方法可以访问的任何其他空间. ”分区表中只会显示硬盘上的一个分区，因此其他分区（即数据存储所在的分区）保持不可见和不可访问.

修改后的固件中有一个特殊的钩子. 仅当主机重新启动并且硬盘驱动器收到特定命令时，隐藏存储空间才会被解锁. 解锁后，隐藏的分区可以在分区表中看到并且可以访问，直到该分区被另一个特定命令锁定为止.

从这个已有八年历史的文档中，我们不知道NSA检索隐藏数据的详细计划. 同样令人迷惑的是，这些实习生是否已经实际开发出可以满足NSA要求目标的固件植入物. 但是，文档中提到: 实习生必须在任务签署后的六个月内提出一个项目解决方案，并且考虑到NSA在其他方面的创造力，我们毫不怀疑他们已经做到了.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-292326-1.html