卡巴斯基公布美国间谍软件可监听全球大多数电脑

吓得我赶紧把卡巴斯基卸了。

有没有高手，有人说 ”“伊朗的病毒事件是PLC工控软件的一个dll被感染，跟硬盘固件半毛钱关系都没有。而且硬盘固件无法跳过操作系统和网卡通讯。这种新闻不是故意捏造就是翻译白痴 ”: 感谢你的链接。也还请你看看里面的内容。光一个dll就让这个报告大打折扣了，再加上“i:/...”. 这个真没什么价值。“
意思是这个病毒作用不大？

出现开源固件的硬盘么？

吓得我赶紧看了下我的电脑...然后突然想起来,我一搬砖的谁要监听我...

在网上飘，这个早就有心理准备了，哈哈

万恶的美帝还要开发间谍软件，不如我朝直接要求各互联网企业依法管理互联网。

藏匿在硬盘中，如何被运行，如何克服不同的操作系统，即使运行了还能不被广大群众发现，最后被卡巴发现了？美国果然黑科技

@ScotGu 卡巴暗示说，攻击者获得了各大硬盘厂的固件源代码

@jacy 据报道，是卡巴在派专家分析乌克兰一感染的银行职员电脑时发现的。

安了。我这种P民手上没有国家绝密资料，被美国间谍偷窥不会被查水表……要是被国产间谍给窥了……

快来监听我吧

> However, there are signs that non-Windows malware
does exist. For instance, one of the sinkholed C&C domains is currently receiving
connections from a large pool of victims in China that appear to be Mac OS X
computers (based on the user-agent).

各位V友们，你们的电脑安全么？

@jacy

大概看了一半的报告。硬盘上的固件木马只是一小部分，而且非常稀少。

这些固件应该是可以通过各种手段感染到你的计算机的，包括你下载的EXE文件，插入的USB驱动器甚至光盘之类。一旦感染的话，就可以在你的计算机上进行任何他们想要的操作，包括给硬盘装Firmware木马。

这份报告主要提到的是Windows，但是硬件上的木马各种操作系统都是很难防止的。因为它们一直在你的电脑里，只是等待执行时机（比如某天Windows开机了，他就会根据你的引导记录下载对应系统的木马）。

另类“鬼影”，硬盘MBR变成了硬盘的固件。区别是更难以被清除。关键点是“制作者为什么有如此的技术感染各个品牌的HDD固件。”。病从口入，而不是天生就得。

看原版报告就行了，新闻就忽略吧。

@jacy 固件的木马程序基本都是下载器 发挥余地多了去了

写入mbr哈哈，好可怕。

好过在中国被查水表哈哈

我觉得相比之下，我国政府更为光明磊落。
相比之下！
美帝干啥事都偷偷的，我国政府倒是不怕人知道。

@shippo7 @zjgood 还有"看不见的宣传"之类的文化传媒管控……和国内审查相比更为隐蔽，影响更深，让人觉得很自由

全部报告已经看完。

绝对是重磅新闻啊。这工具链太强了，可以在大部分环境下实现攻击，哪怕是一台物理隔绝的计算机，也能够通过任何受感染的U盘进行指令控制。而且杀毒软件根本无法检查，我个人猜想甚至它们有能力控制杀毒软件本身。

要注意最后一代已经在硬盘Firmware中重新编程之后，已经完全有能力接管系统的启动了。虽然报告上主要分析的是Windows，但同时也说有证据证明OSX也能够被入侵，甚至iPhone也不安全。

一旦Windows从启动开始就被接管打上了Path，那接下来要做什么只取决于入侵者的意图了。

顿时觉得计算机系统很不安全有没有。

要点：
> DoubleFantasy (the internal Kaspersky Lab name) for the validation of their victims.
> EquationDrug’s core modules, designed for hooking deep into the OS, do not
contain a trusted digital signature and cannot be run directly on modern operating
systems.
>GRAYFISH is the most modern and sophisticated malware implant from
the Equation group. It is designed to provide an effective (almost “invisible”)
persistence mechanism, hidden storage and malicious command execution
inside the Windows operating system.
> GrayFish was developed between 2008 and 2013 and is
compatible with all modern versions of Microsoft’s operating systems,
> Fanny is a computer worm created by the Equation group in 2008 and distributed
throughout the Middle East and Asia. Fanny used
two zero-day exploits, which were later uncovered during the discovery of Stuxnet.
> The GRAYFISH bootkit starts from the VBR, loads the operating
system and hijacks the loading of the first driver in the kernel. Next, it loads all
the other malware stages from the registry, making it almost completely invisible
in terms of footprint.
> Finally, in terms of advanced features, GRAYFISH and EQUATIONDRUG include
perhaps the most sophisticated persistence mechanism we’ve ever seen: re-flashing
the HDD firmware. Due to the complexity of this process and the knowledge and
resources required to implement something like it, the mechanism appears to be out
of the reach of most advanced threat groups in the world except the EQUATION group.

@raincious 英文弱，能大概说说怎么实现的吗？

这么给力？不过想想美国貌似也没必要查我的水表

@popoge

哪一种？报告提到了一个工具链。用于识别目标和通过各种手段控制目标。

基本上就是一堆木马程序，通过各种已知和未知的0 Day进行提权。只是关于硬盘固件的问题比较引人注目，因为硬盘固件本身是很难分析和更改的（因为闭源），所以报告猜测这套工具链的作者有一定的背景和资源。

看完我就想起 《疑犯追踪》 了

@raincious http://www.v2ex.com/t/171472#reply7 大神会跟你说是在扯淡

再次听到卡巴斯基的驴叫声能避免这个吗？

@typcn 求辟谣

就是一个厉害些的木马而已，又不是出场预装了。。。

@popoge 报告里说了：
- 蠕虫传播
- 物理媒介如光盘
- U盘+提权漏洞
- 网页提权漏洞

以种种方式进入系统后，DoubleFantasy 模块负责确认受害者是否为感兴趣的目标，如是进入下一阶段，EquationDrug 和 GrayFish 模块负责间谍活动，而这两个模块中又有一个插件可以感染硬盘固件（对 HDD 固件进行重编程）并留下接口供外部访问，如此一来就能达到格盘也杀不掉的效果。

TL;DR 提权漏洞 -> 加驱 -> 感染固件

也就是用了几个 0day、可以感染固件，其他也无甚新奇，APT 的常规套路。若不是和 NSA 有关联可能就是另一个 Rootkit/Bootkit 吧。

对了还有跨平台特性，不过 Mac OS X 版本还没找出来之前也无法评论这算不算“高新”技术。

@zjgood +19890604 但如果这篇文章的主角要是某党，某些不入流的X本人群又要集体高潮了。。。

@anewg 本身就是个可感染底层的病毒，硬件本身不具有联网和运行等权限。也不是出场预装的病毒。

如果不手贱运行那个病毒就没事。

我怎么觉得其实还没有之前雷电接口的那个漏洞厉害…

@typcn

没那么简单。因为还会通过0 day感染，报告里还提到可能会对Tor的浏览器进行攻击。

应该说相当于一个硬盘版的BIOS木马，这样理解可能方便点。一旦被感染，可能很难被抖掉。

@typcn
> 硬件本身不具有联网和运行等权限

这理解不太正确。代号GRAYFISH的工具看上去已经可以从Windows核心权限还高的地方控制Windows了，让Windows联网发个数据简直小菜一碟。

@raincious 在 Windows 启动之前加载 Overlay Files 使其运行？

@raincious 但是这东西也不是硬盘出厂带的东西啊，这些文章太危言耸听了，就像XX病在XX地被发现，就宣传“人出生就带了XX病”

上次看到有个家伙找到了自己Marvell硬盘控制器的jtag口, 然后把代码dump出来了反汇编分析 (记的是Cortex-R4), 找到了DMA事件中断的地址, 加了段验证性代码 (LBA 扇区0 的头4个字节读01 02 03 04), 然后写到装固件的SPI FLASH中...

@zjgood @momo5269 @arefly TG目前没有这个能力. 能实现这种东西的, 至少是有能力控制各大硬件制造商, 在其设立分支, 统一接口.

@typcn 你可以参考那些MBR木马是怎么和操作系统挂钩的, 现在很多.
区别是MBR可以很容易清掉 (还在正常框架内)... 这个是在固件里的...

担心什么，我们有随时丢包的防火长城，还有可怜的上行带宽，NSA也要吐血。 2333333

@typcn

报告的第11页有提到启动过程。17页有关于硬盘Firmware reprogramming plugin的分析。

其实不难理解，计算机只是依靠一条条发送给CPU的指令运行的，通过各种方式都能改变CPU的“下一条指令”（比如改EIP寄存器）。

> 但是这东西也不是硬盘出厂带的东西啊

是的，但是各种已知和未知的0 day让计算机系统其实很不安全。通过网络等手段也不是不能感染。熊猫烧香那种病毒都能感染数量众多的计算机，更别提这种更加精妙的。（别惹NSA）

> 就像XX病在XX地被发现，就宣传“人出生就带了XX病”

这其实我也反感。报告主要是推测这个工具链的背后可能有强大的资源而已。

小白出来问一下：
1、看了英文原版，通篇讲的都是 Equation Group，这个难道就是 NSA？另外，为什么国内的新闻都说 NSA，而不提 Equation Group 这个组织呢？
2、原文中提到的硬盘 Firmware Reprogramming （固件再编程）都是系统通过其它渠道感染 Equation Group 的某一个 malware，然后它其中的一个 plugin 会去修改硬盘的固件。里面并没有提到是硬盘厂商伙同 NSA “植入间谍软件”啊？

@dotpig 并没有出厂预装，为什么中文新闻如此似是而非，你懂的。

@dotpig

1. 这整套间谍软件名字叫做“方程组”，原文并没有直接说是 NSA 制造的，说的是有证据表明它和震网有很大关联。

2. 对，原文说的是可以感染固件，不是原厂出来就已经有间谍软件了；国内媒体姿势水平你懂的。

@xmh51 V2EX 禁止全文转载其他网站上的文章。

已经替换为原文链接。

我倒觉得硬盘固件这东西有强大资源的完全可以拿来做很多好玩的事情。毕竟现代的硬盘控制器的算力，RAM什么都摆在那儿，做个对外界完全透明的隐藏分区、做个特殊bootloader之类只能算是最简单的应用了

@dotpig 原文没有明说，但是有暗示，在 PDF 的 20 页。

@raincious Rootkit最新版吧，硬驱层面再高一层次，写入分区表，类似CIH吧，不觉得很新鲜