根据卡巴斯基公告网络攻击者可以重新编写硬盘固件

一个被俄罗斯安全公司卡巴斯基实验室(KasperskyLab)称为赤道集团(Equity Group)的网络攻击集团拥有一个复杂而复杂的恶意软件组合,至少可以追溯到2001年。这个组织被卡巴斯基认为是“我们见过的最先进的威胁行动者。”方程组的组合开发广泛使用各种加密算法和散列,包括在NT FS对象ID上使用SHA-2561000次。

关于受影响各方的信息和关于使用赤道集团编写的代码的细节在CNET上得到了深入的报道,以及关于这些披露与Stuxnet蠕虫的关系的信息,该蠕虫是2010年发现的,仍然是一个政治阴谋的主题。本文的重点是方程组开发的技术内部工作,以及驱动固件作为攻击向量的使用。

也许报告中详细描述的最令人震惊的能力是,由Equity生产的恶意软件可以重新编程硬盘的固件。根据卡巴斯基的说法,恶意软件的设计允许在驱动器上创建隐藏扇区,这些扇区对驱动格式具有抵抗力。当然,它还提供了一个API,用于访问隐藏扇区,供其他方程组件使用。在具有这种能力的两个已确定的模块中,第一个模块(从2010年开始)可以重新编程六个不同的驱动“类别”,它们构成了Maxtor、Seagate、WesternDigital和三星的单个产品或产品线。第二个版本(从2013年开始)有12个产品类,其中包括以前的品牌,并添加了HGST/IBM、Micron、OCZ、OWC、Corsair和Mushkin。

芬兰安全公司F-Secure指出,这一披露描述了2008年国家安全局内部目录中一个名为IRATEMONK的实用程序的能力,该目录“通过MBR替代提供软件应用程序持久性.”。该实用程序可以感染“各种WesternDigital、Seagate、Maxtor和三星硬盘驱动器”的固件,该固件支持FAT、NTFS、EXT3和UFS文件系统,这些系统不作为RAID数组的一部分运行。

在接受路透社采访时,首席卡巴斯基研究员科斯汀·赖乌声称,供应商必须已经访问了驱动器固件的源代码。路透社援引Raiu的话说,“有人利用公开信息改写(硬盘)操作系统的可能性为零。”

针对这一说法,西方数字公司发言人告诉路透社记者,他们“(没有)向政府机构提供其源代码。”路透社指出,其他驱动器制造商拒绝透露他们是否分享了他们的源代码。希捷发言人说,它有“安全措施,以防止篡改或逆向工程的固件和其他技术。”在路透社(Reuters)的报告中,美国国家安全局(NSA)是这项开发的开发者。

重要的是,卡巴斯基的报告指出,这种剥削是极其罕见的,它是“为最有价值的受害者或一些非常不寻常的情况而保存的”。这似乎不是一个方程式生成的代码伴随着从工厂发送的驱动器的场景。

令人惊讶的是,这个问题的答案不是很多,但也不是微不足道的。从本质上讲,硬盘驱动器与任何其他集成系统的功能相同。通常情况下,硬盘上的电路板包含用于驱动缓存的DRAM、主轴电机控制器、驱动控制器-用于现代驱动器的多核ARM处理器。一些驱动器,如本实验中使用的Sprites Mods驱动器,有一个额外的串行闪存来存储固件,尽管其他驱动器可能将此存储保持在控制器内部。这些驱动器控制器要么是现成的部件,要么是由驱动器供应商制造的。

在Sprites Mods的实验中,西方数字固件不包含任何混淆技巧。该实验从连接到通过JTAG访问的控制器上的ARM核开始,这样可以更容易地调试断点和内存编辑。在该实验中,对驱动器固件进行持久更改是可能的-芯片的内存布局已经被记录下来,并且存在自由空间来注入任意指令,可以通过更改报头中的执行顺序在驱动器固件的其余部分之前执行。

值得注意的是,固件代码中的一些指令块以未知的压缩格式存储,并在开始时解压缩到RAM中-使此编辑不需要在压缩状态下修改该代码的能力。当它在启动时解压缩执行时,任意代码可以将钩子插入到执行的代码中。在Sprites Mods实验中,使用空闲3-工具包的代码编写了一个小程序,允许固件被闪烁到驱动器中。

考虑到这种利用似乎是罕见的,它可能不是一个值得担心的问题在这个时候。尽管MacOSX和Linux用户应该知道通过模糊性没有安全性,但Windows用户通过纯粹的无处不在是一个更明显的目标。卡巴斯基的报告表明,有一些迹象表明,方程可以针对非Windows系统,IRATEMON K被记录为支持EXT3和UFS。

硬盘固件的不透明性质,以及大量特定于供应商的命令,通常都没有文档(对于海量存储设备等无处不在的硬件来说,这是一种有点令人震惊的状况),这是暂停的理由。以色列公司Recover的Ariel Berkman写了一个关于在保留的服务空间中隐藏数据的概念证明,它只需要了解特定于供应商的命令,这比固件修改更容易。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。