Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Perhaps the most powerful tool in the Equation group's arsenal is a mysterious module known only by a cryptic name: «nls_933w.dll». It allows them to reprogram the hard drive firmware of over a dozen different hard drive brands, including Seagate, Western Digital, Toshiba, Maxtor and IBM. This is an astonishing technical accomplishment and is testament to the group's abilities.
The plugin supports two main functions: reprogramming the HDD firmware
with a custom payload from the EQUATION group, and providing an API into
a set of hidden sectors (or data storage) of the hard drive. This achieves several
important things:
• Extreme persistence that survives disk formatting and OS reinstall.
• An invisible, persistent storage hidden inside the hard drive.
The plugin version 3 has the ability to reprogram six drive “categories”:…
The plugin version 4 is more complex and can reprogram 12 drive “categories”…
Overall, the plugin uses a lot of undocumented, vendor-specific ATA
commands, for the drives mentioned above as well as all the others…
The EQUATION group’s HDD firmware reprogramming module is extremely rare.
During our research, we’ve only identified a few victims who were targeted by this
module. This indicates that it is probably only kept for the most valuable victims
or for some very unusual circumstances
The Equation group relies on multiple techniques to infect their victims. These include:
• Self-replicating (worm) code – Fanny
• Physical media, CD-ROMs
• USB sticks + exploits
• Web-based exploits
независимой проверки
The main purpose of Fanny appears to have been the mapping of air-gapped networks. For this, it used a unique USB-based command and control mechanism. When a USB stick is infected, Fanny creates a hidden storage area on the stick. If it infects a computer without an internet connection, it will collect basic system information and save it onto the hidden area of the stick. Later, when a stick containing hidden information is plugged into an internet-connected computer infected by Fanny, the data will be scooped up from the hidden area and sent to the C&C. If the attackers want to run commands on the air-gapped networks, they can save these commands in the hidden area of the USB stick. When the stick is plugged into the air-gapped computer, Fanny will recognize the commands execute them. This effectively allowed the Equation group to run commands inside air-gapped networks through the use of infected USB sticks, and also map the infrastructure of such networks.
“WDC WD”, <Western Digital Technologies Inc> additional vendor specific checks used “ST”, “Maxtor STM”, “SEAGATE ST”, <Seagate Technology> “SAMSUNG”, <SAMSUNG ELECTRONICS CO., LTD.> “WDC WD”, <Western Digital Technologies, Inc.> additional vendor specific checks used <HGST a Western Digital Company>, “IC”, “IBM”, “Hitachi”, “HTS”, “HTE”, “HDS”, “HDT”, “ExcelStor” “Max”, “Maxtor STM” <MICRON TECHNOLOGY, INC.>, “C300”, “M4” <HGST a Western Digital Company>, <TOSHIBA CORPORATION> “OCZ”, “OWC”, “Corsair”, “Mushkin” additional vendor specific checks used <Samsung Electronics Co., Ltd., Storage System Division>, <Seagate Technology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks <TOSHIBA CORPORATION COMPUTER DIVISION>, “TOSHIBA M” +checks <Seagate Technology>, “ST”
а возьмем к примеру сам CPU, у него вообще есть доступ ко всему, можно предположить, что в микропрограмме CPU тоже встроен червь?
а для подмены файлов нужна полноценная реализация ФС на контроллере диска, что вряд ли возможно
FAT обсуждать нет смысла это прошлый век. А NTFS например вообще закрытая, без открытых доков.
Речь шла про подмену ядра ОС, а не про заражение любого исполняемого файла наубум. Почитайте дискуссию.
У вас много HDD под FAT? Я уже давно не встречаю.
Диск это блочное устройство, ему просто говорят с какой дорожки какие блоки прочитать, он понятия не имеет о файлах и файловой системе.
они не меняют файлы на диске, как вы предлагаете.
и уже не надо ловить файлы на диске по сигнатуре или реализовывать работу с ФС.
Я уже два раза про это писал выше, работая по сигнатуре мне не нравится тем, что не будет полной уверенности, что это правда часть ядра, которая сейчас запрашивается, чтобы быть исполненной процессором. eEye, на который вы ссылались, патчит драйвера после загрузки в памяти, когда уже точно понятно, что это исполняемый код и часть ядра.
Заменить загрузочный сектор, чтобы запустить вирус не в пример легче.
Кроме того при работе DMA данные вообще с диска идут мимо контроллера, то есть у вируса в контроллере даже доступ к данным есть не всегда.
Говорила же мама: не доверяй прошивкам жёстких дисков