卡巴斯基公布美国间谍软件可监听全球大多数电脑

2015-02-17 20:59:43 +08:00
 xmh51
http://tech.163.com/15/0217/06/AIKSK2Q5000915BD.html

附:卡巴斯基英文PDF报告 http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/Equation_group_questions_and_answers.pdf
4876 次点击
所在节点    分享发现
47 条回复
archbishop
2015-02-17 22:54:52 +08:00
这么给力?不过想想美国貌似也没必要查我的水表
raincious
2015-02-17 23:08:39 +08:00
@popoge

哪一种?报告提到了一个工具链。用于识别目标和通过各种手段控制目标。

基本上就是一堆木马程序,通过各种已知和未知的0 Day进行提权。只是关于硬盘固件的问题比较引人注目,因为硬盘固件本身是很难分析和更改的(因为闭源),所以报告猜测这套工具链的作者有一定的背景和资源。
scarlex
2015-02-17 23:10:46 +08:00
看完我就想起 《疑犯追踪》 了
mactalk
2015-02-17 23:11:46 +08:00
@raincious http://www.v2ex.com/t/171472#reply7 大神会跟你说是在扯淡
momo5269
2015-02-17 23:16:30 +08:00
再次听到卡巴斯基的驴叫声能避免这个吗?
anewg
2015-02-17 23:19:51 +08:00
@typcn 求辟谣
9hills
2015-02-18 00:16:19 +08:00
就是一个厉害些的木马而已,又不是出场预装了。。。
hx1997
2015-02-18 01:33:30 +08:00
@popoge 报告里说了:
- 蠕虫传播
- 物理媒介如光盘
- U盘+提权漏洞
- 网页提权漏洞

以种种方式进入系统后,DoubleFantasy 模块负责确认受害者是否为感兴趣的目标,如是进入下一阶段,EquationDrug 和 GrayFish 模块负责间谍活动,而这两个模块中又有一个插件可以感染硬盘固件(对 HDD 固件进行重编程)并留下接口供外部访问,如此一来就能达到格盘也杀不掉的效果。

TL;DR 提权漏洞 -> 加驱 -> 感染固件
hx1997
2015-02-18 01:51:36 +08:00
也就是用了几个 0day、可以感染固件,其他也无甚新奇,APT 的常规套路。若不是和 NSA 有关联可能就是另一个 Rootkit/Bootkit 吧。
hx1997
2015-02-18 01:56:50 +08:00
对了还有跨平台特性,不过 Mac OS X 版本还没找出来之前也无法评论这算不算“高新”技术。
arefly
2015-02-18 07:48:45 +08:00
@zjgood +19890604 但如果这篇文章的主角要是某党,某些不入流的X本人群又要集体高潮了。。。
typcn
2015-02-18 07:49:16 +08:00
@anewg 本身就是个可感染底层的病毒,硬件本身不具有联网和运行等权限。也不是出场预装的病毒。

如果不手贱运行那个病毒就没事。
sanddudu
2015-02-18 08:03:39 +08:00
我怎么觉得其实还没有之前雷电接口的那个漏洞厉害…
raincious
2015-02-18 09:17:00 +08:00
@typcn

没那么简单。因为还会通过0 day感染,报告里还提到可能会对Tor的浏览器进行攻击。

应该说相当于一个硬盘版的BIOS木马,这样理解可能方便点。一旦被感染,可能很难被抖掉。

@typcn
> 硬件本身不具有联网和运行等权限

这理解不太正确。代号GRAYFISH的工具看上去已经可以从Windows核心权限还高的地方控制Windows了,让Windows联网发个数据简直小菜一碟。
typcn
2015-02-18 09:20:58 +08:00
@raincious 在 Windows 启动之前加载 Overlay Files 使其运行?
typcn
2015-02-18 09:23:25 +08:00
@raincious 但是这东西也不是硬盘出厂带的东西啊,这些文章太危言耸听了,就像XX病在XX地被发现,就宣传“人出生就带了XX病”
xieyudi1990
2015-02-18 09:29:15 +08:00
上次看到有个家伙找到了自己Marvell硬盘控制器的jtag口, 然后把代码dump出来了反汇编分析 (记的是Cortex-R4), 找到了DMA事件中断的地址, 加了段验证性代码 (LBA 扇区0 的头4个字节读01 02 03 04), 然后写到装固件的SPI FLASH中...

@zjgood @momo5269 @arefly TG目前没有这个能力. 能实现这种东西的, 至少是有能力控制各大硬件制造商, 在其设立分支, 统一接口.
xieyudi1990
2015-02-18 09:33:15 +08:00
@typcn 你可以参考那些MBR木马是怎么和操作系统挂钩的, 现在很多.
区别是MBR可以很容易清掉 (还在正常框架内)... 这个是在固件里的...
dangge
2015-02-18 09:37:18 +08:00
担心什么,我们有随时丢包的防火长城,还有可怜的上行带宽,NSA也要吐血。 2333333
raincious
2015-02-18 09:38:05 +08:00
@typcn

报告的第11页有提到启动过程。17页有关于硬盘Firmware reprogramming plugin的分析。

其实不难理解,计算机只是依靠一条条发送给CPU的指令运行的,通过各种方式都能改变CPU的“下一条指令”(比如改EIP寄存器)。

> 但是这东西也不是硬盘出厂带的东西啊

是的,但是各种已知和未知的0 day让计算机系统其实很不安全。通过网络等手段也不是不能感染。熊猫烧香那种病毒都能感染数量众多的计算机,更别提这种更加精妙的。(别惹NSA)

> 就像XX病在XX地被发现,就宣传“人出生就带了XX病”

这其实我也反感。报告主要是推测这个工具链的背后可能有强大的资源而已。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/171553

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX