-1

Самым последним дополнением АНБ к современному шпионажу является прошивка жесткого диска, о которой сообщил Kaspersky, а затем сообщил Reuters, Ars Technica и другие. Но я не понимаю, как это работает:

  • Это делает больше чем одну вещь?
  • Или он только заражает загрузочный сектор при активации?
  • Или это заражает .exe файлы?
  • Или он собирает информацию, которая впоследствии передается одним из вышеупомянутых методов?
  • Или что-то еще целиком?
  • Как это активировано?

Изменить: Wired только что опубликовал статью с некоторыми фактами и некоторыми догадками. Похоже, что либо пакет EquationDrug, либо GrayFish загружает вредоносную прошивку жесткого диска с какого-либо сервера, а затем записывает ее на жесткий диск, оставляя дополнительное место для хранения ключей шифрования и тому подобного.

Микропрограмма может оставить свободное место на диске для данных, собранных EquationDrug или GrayFish.

Сохраненный ключ шифрования (или пароль или что-то еще) на жестком диске может быть извлечен вручную / физически, если компьютер проходит через таможню.

Звучит немного надуманно? Я предполагаю, что если ресурсы неограниченны, а хакеры исключительны и готовы. Я все еще хотел бы знать, если бы кто-то понял больше точно, что делает прошивка.

1 ответ1

1

Из статьи, которую вы предоставили (читая, как я пишу это):

Чип ПЗУ, содержащий прошивку, содержит небольшой объем памяти, который не используется. Если размер микросхемы ПЗУ составляет 2 мегабайта, микропрограмма может занимать всего 1,5 мегабайта, оставляя половину мегабайта неиспользованного пространства, которое можно использовать для сокрытия данных, которые злоумышленники хотят украсть.

Один из способов сделать это, который, вероятно, не является слишком сложным (но все же сложным), состоит в том, чтобы прошить прошивку, которая распознает дополнительные команды, которые не являются стандартными командами ATA. Эти команды могут хранить данные в отдельной области от самого диска, но ОС (поскольку она никогда не выдает нестандартные команды и вы можете по крайней мере отправлять нестандартные команды через пользовательский драйвер, если не через стандартные драйверы) не будет прикоснитесь к нему или узнайте об этом, и программе будет очень трудно обнаружить его.

Я уверен, что взломанная прошивка возвращает те же строки версии, что и обычная прошивка, поэтому проверка с помощью этого метода невозможна. Я не думаю, что вы можете скачать текущую прошивку, чтобы проверить это - вы можете прошить новую прошивку.

Таким образом, вредоносная программа может затем хранить некоторые данные на диске, отдельно от данных, которые "официально" должны быть отправлены на диск /NAND. Это можно использовать, чтобы просто "пометить" диск для последующего обнаружения или скопировать в него некоторые данные (например, ключи Truecrypt в ОЗУ).

Для микропрограммы гораздо более сложный способ определить, когда считываются определенные файлы, и вместо этого вернуть измененные данные. Это чрезвычайно сложно (вам нужно знать о файловой системе на диске, полностью поддерживать ее в ограниченном пространстве хранения встроенного программного обеспечения диска и знать о множестве изменений, вносимых ОС, которые могут разрушить иллюзию),

РЕДАКТИРОВАТЬ: После дальнейшего чтения, похоже, что-то вроде скрытия таблицы разделов, которые "разблокированы" с помощью пользовательской команды? Поскольку таблица разделов MBR находится в известном месте (сектор 0), это не так уж сложно.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .