1
soudesuka 2015-02-17 21:05:01 +08:00 1
吓得我赶紧把卡巴斯基卸了。
|
2
xmh51 OP 有没有高手,有人说 ”“伊朗的病毒事件是PLC工控软件的一个dll被感染,跟硬盘固件半毛钱关系都没有。而且硬盘固件无法跳过操作系统和网卡通讯。这种新闻不是故意捏造就是翻译白痴 ”: 感谢你的链接。也还请你看看里面的内容。光一个dll就让这个报告大打折扣了,再加上“i:/...”. 这个真没什么价值。“
意思是这个病毒作用不大? |
3
ScotGu 2015-02-17 21:16:18 +08:00
出现开源固件的硬盘么?
|
4
qiuai 2015-02-17 21:16:44 +08:00
吓得我赶紧看了下我的电脑...然后突然想起来,我一搬砖的谁要监听我...
|
5
luo362722353 2015-02-17 21:17:12 +08:00 via iPhone
在网上飘,这个早就有心理准备了,哈哈
|
6
shippo7 2015-02-17 21:18:22 +08:00
万恶的美帝还要开发间谍软件,不如我朝直接要求各互联网企业依法管理互联网。
|
7
jacy 2015-02-17 21:21:04 +08:00
藏匿在硬盘中,如何被运行,如何克服不同的操作系统,即使运行了还能不被广大群众发现,最后被卡巴发现了?美国果然黑科技
|
10
suliuyes 2015-02-17 21:33:59 +08:00 1
安了。我这种P民手上没有国家绝密资料,被美国间谍偷窥不会被查水表……要是被国产间谍给窥了……
|
11
bugmenott 2015-02-17 21:41:44 +08:00 via iPhone
快来监听我吧
|
12
raincious 2015-02-17 21:42:07 +08:00
> However, there are signs that non-Windows malware
does exist. For instance, one of the sinkholed C&C domains is currently receiving connections from a large pool of victims in China that appear to be Mac OS X computers (based on the user-agent). 各位V友们,你们的电脑安全么? |
13
raincious 2015-02-17 21:45:45 +08:00
@jacy
大概看了一半的报告。硬盘上的固件木马只是一小部分,而且非常稀少。 这些固件应该是可以通过各种手段感染到你的计算机的,包括你下载的EXE文件,插入的USB驱动器甚至光盘之类。一旦感染的话,就可以在你的计算机上进行任何他们想要的操作,包括给硬盘装Firmware木马。 这份报告主要提到的是Windows,但是硬件上的木马各种操作系统都是很难防止的。因为它们一直在你的电脑里,只是等待执行时机(比如某天Windows开机了,他就会根据你的引导记录下载对应系统的木马)。 |
14
Do 2015-02-17 21:52:32 +08:00
另类“鬼影”,硬盘MBR变成了硬盘的固件。区别是更难以被清除。关键点是“制作者为什么有如此的技术感染各个品牌的HDD固件。”。病从口入,而不是天生就得。
看原版报告就行了,新闻就忽略吧。 |
16
Halry 2015-02-17 22:07:06 +08:00
写入mbr哈哈,好可怕。
好过在中国被查水表哈哈 |
17
zjgood 2015-02-17 22:29:51 +08:00 via Android
我觉得相比之下,我国政府更为光明磊落。
相比之下! 美帝干啥事都偷偷的,我国政府倒是不怕人知道。 |
18
momo5269 2015-02-17 22:33:16 +08:00
|
19
raincious 2015-02-17 22:34:22 +08:00 1
全部报告已经看完。
绝对是重磅新闻啊。这工具链太强了,可以在大部分环境下实现攻击,哪怕是一台物理隔绝的计算机,也能够通过任何受感染的U盘进行指令控制。而且杀毒软件根本无法检查,我个人猜想甚至它们有能力控制杀毒软件本身。 要注意最后一代已经在硬盘Firmware中重新编程之后,已经完全有能力接管系统的启动了。虽然报告上主要分析的是Windows,但同时也说有证据证明OSX也能够被入侵,甚至iPhone也不安全。 一旦Windows从启动开始就被接管打上了Path,那接下来要做什么只取决于入侵者的意图了。 顿时觉得计算机系统很不安全有没有。 要点: > DoubleFantasy (the internal Kaspersky Lab name) for the validation of their victims. > EquationDrug’s core modules, designed for hooking deep into the OS, do not contain a trusted digital signature and cannot be run directly on modern operating systems. >GRAYFISH is the most modern and sophisticated malware implant from the Equation group. It is designed to provide an effective (almost “invisible”) persistence mechanism, hidden storage and malicious command execution inside the Windows operating system. > GrayFish was developed between 2008 and 2013 and is compatible with all modern versions of Microsoft’s operating systems, > Fanny is a computer worm created by the Equation group in 2008 and distributed throughout the Middle East and Asia. Fanny used two zero-day exploits, which were later uncovered during the discovery of Stuxnet. > The GRAYFISH bootkit starts from the VBR, loads the operating system and hijacks the loading of the first driver in the kernel. Next, it loads all the other malware stages from the registry, making it almost completely invisible in terms of footprint. > Finally, in terms of advanced features, GRAYFISH and EQUATIONDRUG include perhaps the most sophisticated persistence mechanism we’ve ever seen: re-flashing the HDD firmware. Due to the complexity of this process and the knowledge and resources required to implement something like it, the mechanism appears to be out of the reach of most advanced threat groups in the world except the EQUATION group. |
21
archbishop 2015-02-17 22:54:52 +08:00 via iPhone
这么给力?不过想想美国貌似也没必要查我的水表
|
22
raincious 2015-02-17 23:08:39 +08:00
@popoge
哪一种?报告提到了一个工具链。用于识别目标和通过各种手段控制目标。 基本上就是一堆木马程序,通过各种已知和未知的0 Day进行提权。只是关于硬盘固件的问题比较引人注目,因为硬盘固件本身是很难分析和更改的(因为闭源),所以报告猜测这套工具链的作者有一定的背景和资源。 |
23
scarlex 2015-02-17 23:10:46 +08:00
看完我就想起 《疑犯追踪》 了
|
24
mactalk 2015-02-17 23:11:46 +08:00
@raincious http://www.v2ex.com/t/171472#reply7 大神会跟你说是在扯淡
|
25
momo5269 2015-02-17 23:16:30 +08:00
再次听到卡巴斯基的驴叫声能避免这个吗?
|
27
9hills 2015-02-18 00:16:19 +08:00 via iPad
就是一个厉害些的木马而已,又不是出场预装了。。。
|
28
hx1997 2015-02-18 01:33:30 +08:00
@popoge 报告里说了:
- 蠕虫传播 - 物理媒介如光盘 - U盘+提权漏洞 - 网页提权漏洞 以种种方式进入系统后,DoubleFantasy 模块负责确认受害者是否为感兴趣的目标,如是进入下一阶段,EquationDrug 和 GrayFish 模块负责间谍活动,而这两个模块中又有一个插件可以感染硬盘固件(对 HDD 固件进行重编程)并留下接口供外部访问,如此一来就能达到格盘也杀不掉的效果。 TL;DR 提权漏洞 -> 加驱 -> 感染固件 |
29
hx1997 2015-02-18 01:51:36 +08:00
也就是用了几个 0day、可以感染固件,其他也无甚新奇,APT 的常规套路。若不是和 NSA 有关联可能就是另一个 Rootkit/Bootkit 吧。
|
30
hx1997 2015-02-18 01:56:50 +08:00
对了还有跨平台特性,不过 Mac OS X 版本还没找出来之前也无法评论这算不算“高新”技术。
|
31
arefly 2015-02-18 07:48:45 +08:00 via iPhone
@zjgood +19890604 但如果这篇文章的主角要是某党,某些不入流的X本人群又要集体高潮了。。。
|
32
typcn 2015-02-18 07:49:16 +08:00 via iPhone
|
33
sanddudu 2015-02-18 08:03:39 +08:00 via iPhone
我怎么觉得其实还没有之前雷电接口的那个漏洞厉害…
|
34
raincious 2015-02-18 09:17:00 +08:00 via Android
|
36
typcn 2015-02-18 09:23:25 +08:00
@raincious 但是这东西也不是硬盘出厂带的东西啊,这些文章太危言耸听了,就像XX病在XX地被发现,就宣传“人出生就带了XX病”
|
37
xieyudi1990 2015-02-18 09:29:15 +08:00
|
38
xieyudi1990 2015-02-18 09:33:15 +08:00
@typcn 你可以参考那些MBR木马是怎么和操作系统挂钩的, 现在很多.
区别是MBR可以很容易清掉 (还在正常框架内)... 这个是在固件里的... |
39
dangge 2015-02-18 09:37:18 +08:00 via Android
担心什么,我们有随时丢包的防火长城,还有可怜的上行带宽,NSA也要吐血。 2333333
|
40
raincious 2015-02-18 09:38:05 +08:00
@typcn
报告的第11页有提到启动过程。17页有关于硬盘Firmware reprogramming plugin的分析。 其实不难理解,计算机只是依靠一条条发送给CPU的指令运行的,通过各种方式都能改变CPU的“下一条指令”(比如改EIP寄存器)。 > 但是这东西也不是硬盘出厂带的东西啊 是的,但是各种已知和未知的0 day让计算机系统其实很不安全。通过网络等手段也不是不能感染。熊猫烧香那种病毒都能感染数量众多的计算机,更别提这种更加精妙的。(别惹NSA) > 就像XX病在XX地被发现,就宣传“人出生就带了XX病” 这其实我也反感。报告主要是推测这个工具链的背后可能有强大的资源而已。 |
41
dotpig 2015-02-18 09:40:15 +08:00
小白出来问一下:
1、看了英文原版,通篇讲的都是 Equation Group,这个难道就是 NSA?另外,为什么国内的新闻都说 NSA,而不提 Equation Group 这个组织呢? 2、原文中提到的硬盘 Firmware Reprogramming (固件再编程)都是系统通过其它渠道感染 Equation Group 的某一个 malware,然后它其中的一个 plugin 会去修改硬盘的固件。里面并没有提到是硬盘厂商伙同 NSA “植入间谍软件”啊? |
43
breeswish 2015-02-18 10:16:39 +08:00
@dotpig
1. 这整套间谍软件名字叫做“方程组”,原文并没有直接说是 NSA 制造的,说的是有证据表明它和震网有很大关联。 2. 对,原文说的是可以感染固件,不是原厂出来就已经有间谍软件了;国内媒体姿势水平你懂的。 |
45
yksoft1 2015-02-18 10:40:45 +08:00
我倒觉得硬盘固件这东西有强大资源的完全可以拿来做很多好玩的事情。毕竟现代的硬盘控制器的算力,RAM什么都摆在那儿,做个对外界完全透明的隐藏分区、做个特殊bootloader之类只能算是最简单的应用了
|