戴尔Power-Edge硬件分析我们首先介绍第一项背景知识。在上一章中,我们了解到DEITYBOUNCE针对戴尔PowerEdge 1850/2850/1950/2950 RAID系列服务器。因此,我们需要进一步分析这些服务器,以便更好地了解DEITYBOUNCE的执行环境。大家可以从以下链接下载相关服务器的规范:
服务器规范是相当普通的。但是,如果仔细看一下这两种服务器的存储选项,你会发现它们都具有使用RAID控制器的选项。RAID控制器的类型包括PERC5/i、PERC4e/DC或PERC5/e。DEITYBOUNCE技术细节提到RAID的存在是其中一个硬件“要求”,所以我们将重点分析RAID控制器硬件。
1. PERC代表PowerEdge Expandable RAID Controller (PowerEdge可扩展RAID控制器)。这意味着PERC系列RAID控制器或者是戴尔“白色标签”的,或者是由戴尔内部开发的。
2.有几种类型的PERC RAID控制器。带有XX/i标识的是集成版本, XX/SC意味着RAID控制器是单信道,XX/DC意味着RAID控制器是双信道,XXe/XX表示RAID控制器使用PCIe(PCI Express,外设部件互连总线扩展接口)而非PCI(外设部件互连标准)总线。如果最后一个标识缺少,则意味着RAID控制器使用PCI而非PCIe。
3.所有PERC变种都有1MB的板载闪存ROM。需要注意的是,这不是PowerEdge服务器主板闪存ROM,而是PERC RAID控制器(独家)闪存ROM。它用于初始化和配置RAID控制器。
4.所有PERC变种都有NVRAM(非易失性随机访问存储器)来存储其配置数据。NVRAM位于PERC适配器主板,除非PERC被集成到主板上。
从固件代码的角度来看,PERCRAID控制器闪存ROM(1MB)是很大的。因此,任何人都可以插入一个先进的恶意软件固件级模块。
我没有找到戴尔PowerEdge1850/2850/1950/2950BIOS芯片尺寸的信息。然而,它们的压缩BIOS文件大于570KB。因此,认为其主板BIOS芯片尺寸至少为1MB是合理的,因为据我所知,没有任何闪存ROM芯片(用于存储BIOS代码)的大小界于570KB和1MB之间。最接近570KB的闪存 ROM大小为1MB。这一事实也表明除了RAID控制器扩展ROM,BIOS恶意软件也有很大的机会植入主板BIOS。
IPL(初始程序加载器)设备入门
我们需要了解的第二项背景知识涉及到IPL设备。根据BIOS引导规范,RAID控制器或其他存储控制器吸引固件恶意软件的原因就在于它们是IPL设备。BIOS引导规范和PCI规范决定了:如果IPL设备正在使用中,则IPL设备固件必须在启动时执行。IPL设备固件大多数作为PCI扩展ROM执行。因此,假设IPL设备正在使用中,则IPL设备总是执行。这一事实导致固件级恶意软件可以驻留在IPL设备固件中,尤其是当该恶意软件需要在每次启动时执行或在启动的某些触发条件下执行。
SMM(系统管理模式)入门
通过软件SMI(系统管理中断)进入x86/x64中的SMM是相当简单的。您所要做的是向特定的I/O端口地址写入一个特定值。芯片组会将写入操作理解为进入SMM中的请求,因此该芯片组向CPU发送一个SMI信号,以便进入SMM。有些x86/x64 CPU可以直接拦截这样的I/O写入操作,并直接把它解释为进入SMM,而无需通过向芯片组发送任何请求。进入SMM的完整算法如下所示:
1.通过SMM“激活”端口初始化DX寄存器(数据寄存器)。通常,SMM“激活”端口是端口0xB2。然而,也可以是其他端口,这取决于具体的CPU和芯片组的组合。关于详细信息,您可以参考其数据表。
2.用SMI命令值初始化AX寄存器(累加寄存器)。
3.通过向DX寄存器的输出端口写入AX值来进入SMM。
至于将参数传递给SMI处理程序例程的方法,这篇Phrack文章并未涵盖。因此,我们需要分析一下。
有些SMM代码(SMI处理程序)需要与其他BIOS模块或操作系统中运行的软件进行通信。通信机制是通过SMM代码和SMM之外运行的代码之间的参数传递实现的。总的来说,BIOS模块和SMI处理程序之间的参数传递使用以下机制之一:
1.通过GNVS(全局非易失性存储器)。GNVS是ACPI(高级配置和电源管理接口)规范4.0版的一部分,被命名为ACPI NVS(ACPI非易失性存储器)。然而,在一些专利说明书中,NVS代表非易失性休眠内存,因为NVS在RAM中占据的内存区域存储了一些数据,即使系统处于睡眠模式下也可保存。两个术语指得是RAM中的同一区域。因此,命名的差异可以忽略。GNVS或ACPI NVS是ACPI子系统管理的RAM的一部分。它存储各种数据。GNVS不由操作系统管理,但是可以通过ASL(ACPI源语言)接口访问。在Windows中,该区域的各部分可以通过WMI(Windows管理规范)接口访问。
2.通过x86/x64体系结构的GPR(通用寄存器),也就是,RAX/ EAX,RBX/ EBX,RDX/ EDX等。在该技术中,一个物理地址指针经由GPR传递到SMI处理程序代码。由于系统状态(包括寄存器值)被保存到“SMM保存状态”,SMM区域(SMI处理程序)的代码能够读取指针值。美中不足的是:SMI处理程序和传递参数的代码必须满足“调用协议”,即使用哪个寄存器。
了解BIOS模块和SMI处理程序之间的参数传递是非常重要的,因为DEITYBOUNCE在运行时广泛地使用这种机制。我们将在后面的章节中更详细地介绍。
DEITYBOUNCE体系结构的初期形式
与其它软件一样,我们可以通过执行环境来推断DEITYBOUNCE恶意软件的体系结构。在简介部分,NSA ANT服务器文档中提到了三个技术提示。我们将逐一进行深入研究,以了解DEITYBOUNCE的可能架构。
DEITYBOUNCE投放的有效载荷意味着DEITYBOUNCE基本上是一个“第二阶段”恶意软件投放器--第一阶段是ARKSTREAM恶意软件投放器。DEITYBOUNCE大概只能提供以下两个核心功能:
1.第一个功能是作为持续性和隐蔽的恶意软件模块投放器。
2.第二个功能是向操作系统特定的恶意软件模块提供“隐蔽的”控制功能。该恶意软件模块可以在操作系统初始化时运行,或者在操作系统运行时运行,或者在两种情况下运行。操作系统特定的恶意软件通过SMM调用与DEITYBOUNCE通信。
上述DEITYBOUNCE核心功能表明DEITYBOUNCE运行可能需要三种恶意软件组件,如下所示:
1.持续性的“被感染的”PCI扩展ROM。该模块包含一个配置DEITYBOUNCE执行频率的例程。该例程可能将配置存储在RAID控制器NVRAM(非易失性随机访问存储器)中。该模块还包含了被污染的中断13h处理程序,这些处理程序可以通过SMI调用其他程序,来修复当前加载的操作系统的内核。
2. 植入到PowerEdge主板BIOS的SMI处理程序代码,这些代码服务于从“被感染的”RAID控制器PCI扩展ROM的软件SMI调用。
3.运行于Windows 2000、Windows Server2003或Windows XP的特定操作系统的恶意软件有效载荷。
到此,我们已经了解了DEITYBOUNCE恶意软件组件。这并不意味着我们能够了解该恶意软件的确切结构,因为它有多个运行组件的途径。不过,我在本文中介绍了目前最有可能的架构。这是一个合理的猜测,但是由于我没有样本DEITYBOUNCE二进制文件来支撑该结论,可能会有一些不准确的地方。考虑到x86/x64固件架构的本质,我觉得这一猜测应该是足够接近事实的。如果您能够提供DEITYBOUNCE二进制样本,那么我非常乐意进行分析。
DEITYBOUNCE体系结构
在确定DEITYBOUNCE的架构之前,我们需要做出几个假设。这样能够更容易地了解DEITYBOUNCE的技术细节。以下是我的假设:
1.戴尔PowerEdge目标所用的BIOS是一个传统的BIOS,而非EFI/UEFI(可扩展固件接/统一的可扩展固件接口)。这个假设符合NSA ANT服务器文档的描述,其中提到目标操作系统是Windows2000/XP/2003。所有这些操作系统都没有提供成熟的EFI/UEFI支持。所有的用户手册,其中包括BIOS设置用户手册,也没有显示出与UEFI/EFI支持有关的任何菜单,例如在传统BIOS模式下启动。因此,假设它是传统的BIOS是合理的。此外,在DEITYBOUNCE发动攻击时,市场上的EFI/UEFI支持也还很不成熟。
2.引导过程中,用于修复操作系统内核的自定义SMI处理程序例程大于主板BIOS中的可用空间。因此,该例程必须被放置到两个独立的闪存ROM存储器,即PERC RAID控制器ROM闪存芯片和戴尔PowerEdge主板ROM闪存芯片。事实可能并非如此,但我们只是做一个假设,因为即使基本的NTFS(新技术文件系统)驱动器在压缩时也至少需要几万字节的空间,更不用说旨在修复三种不同操作系统的内核的复杂恶意软件了。
以上假设对我们的DEITYBOUNCE架构分析影响颇大。第一个假设是DEITYBOUNCE的执行分为两个阶段。第二个是,引导时(中断19h)修复操作系统内核的恶意软件代码在SMM中运行。
现在,我们来分析DEITYBOUNCE的执行阶段,如下所示:
1. 阶段1:POST(加电自检)时的PCI扩展ROM。在此阶段,DEITYBOUNCE在主板的SMRAM(系统管理RAM)区域安装其他恶意SMI处理程序。我们的假设是,主板BIOS还未锁定SMRAM区域,因此SMRAM范围仍是可写入的。SMRAM是系统内存(RAM)中的一个范围,专门用于SMM代码和数据。 SMRAM的内容只能在锁定后通过SMI访问。在大多数英特尔北桥芯片组或最近的CPU中,SMRAM是由控制TSEG(高段内存)区域的寄存器控制的。通常,在英特尔芯片组的文档中,寄存器被称为TSEG_BASE。
2. 阶段2:引导时中断13h执行。在PERC RAID控制器中,PERC RAID控制器PCI扩展ROM中的中断13h处理程序被用恶意代码“修复”了,以服务于中断19h调用(引导)。中断19h通过调用中断13h的函数02h,将引导加载程序复制到RAM,从驱动器中读取扇区,并跳转到扇区。DEITYBOUNCE并不感染引导加载程序。然而,DEITYBOUNCE感染了中断13h处理程序。该“修复的”中断13h处理程序将会修改RAM中加载的操作系统内核。
图2展示了DEITYBOUNCE的执行阶段1, 图3则展示了DEITYBOUNCE的执行阶段2。
图 2:DEITYBOUNCE执行阶段1
图2展示了以下执行步骤:
1. PERC RAID PCI扩展ROM从INIT入口点执行。
2.被感染的ROM代码从RAID控制器NVRAM(非易失性随机访问存储器)读取DEITYBOUNCE配置数据。
3.被感染的ROM代码将DEITYBOUNCE的额外SMI处理程序复制到主板主内存(系统RAM)的SMRAM(系统管理RAM)区域。
4.被感染的ROM代码根据需要修复SMRAM内容的校验和。
一旦上述步骤完成后,SMRAM就包含所有的DEITYBOUNCE的SMI处理程序了。图2显示了SMRAM包含的一些“嵌入”DEITYBOUNCESMI处理程序早就存在于SMRAM中。嵌入的DEITYBOUNCE组件被注入到主板BIOS。这就是为什么它早已经存在于SMRAM。
图2展示了存储在PERC附加板NVRAM 的DEITYBOUNCE配置数据。这是一种巧妙和隐蔽的存储配置数据的方法。有多少反恶意软件工具扫描附加板NVRAM?我从来没有听说过。
图 3:DEITYBOUNCE执行阶段2
现在,我们来分析DEITYBOUNCE执行的第二阶段。这一阶段包括若干步骤,如下所示:
1.主板BIOS通过中断19h(引导)执行PERC RAID控制器PCI扩展ROM例程。此时的PCI扩展ROM的入口点是它的BCV(引导连接向量),而不是INIT函数。中断19h调用中断13h函数02h,以便将启动设备(在这种情况下是指RAID控制器控制的硬盘驱动器)的第一个扇区读取到RAM,然后跳转到这一扇区,并启动引导加载程序。
2.被感染的PCI扩展ROM例程包含自定义中断13h处理程序。当引导加载程序和部分操作系统初始化代码调用中断13h时,这个自定义的中断处理程序就会执行。自定义例程包含原始中断13h处理程序逻辑。但是它添加了感染正在加载的操作系统的内核的例程。中断13h提供服务来读取/写入/查询存储设备。因此,恶意编码器可以修改中断13h处理程序例程的内容,以篡改被加载到RAM中的内容。图3表明自定义中断13h包含一个例程,该例程可以通过软件SMI调用DEITYBOUNCE SMI处理程序。DEITYBOUNCE SMI处理程序又包含一个例程,用于安装恶意软件或在操作系统仍然处于初始化阶段时激活目标操作系统内核的某些漏洞。自定义中断13h处理程序的执行取决于DEITYBOUNCE配置数据。图3所示的自定义中断13h处理程序的相关DEITYBOUNCE配置数据存储于PERC RAID控制器NVRAM。
DEITYBOUNCE阶段2的步骤1和2执行后,目标操作系统就会包含一个漏洞或者恶意软件。请注意,该漏洞或恶意软件只存在于RAM,因为操作系统被DEITYBOUNCE修改的情况只发生于RAM中,而不是在永久存储设备(硬盘驱动器或固态硬盘)。
至此,我们已经比较详细地了解了DEITYBOUNCE可能的运作方法。但是,这只是我对于DEITYBOUNCE初步评估的结果。因此,必然有不准确之处。
结论:DEITYBOUNCE技术目的的假设
与“普通”恶意软件相比,DEITYBOUNCE具备两个不可否认的战略价值:
1. DEITYBOUNCE提供了一个隐蔽的方式来改变所加载的操作系统,而且不会在存储设备(即硬盘驱动器或固态硬盘)上留下痕迹,以避免通过“普通”计算机取证程序被发现。为什么呢?因为当操作系统被加载到RAM时会被操纵,存储设备中的操作系统安装则不会被感染。SMM代码执行提供了一种隐蔽的代码执行方法,即另一方扫描器对操作系统完整性的检查。在这方面,DEITYBOUNCE是一个非常复杂的恶意软件投放器。
2. DEITYBOUNCE能够持续存在于目标系统,即使操作系统重新安装它也会持续存在。
鉴于DEITYBOUNCE提供的功能,可能有一个隐蔽的Windowsrootkit通过软件SMI (系统管理中断)与DEITYBOUNCE通信,以便在运行时从Windows调用DEITYBOUNCE SMI处理程序。目前,我们尚不清楚该rootkit的目的,也不清楚DEITYBOUNCE是否执行所需的SMI处理程序。
作者简介
Darmawan Salihun自2002年以来一直专注于BIOS相关的安全研究,他已在《破译者杂志》上出版了BIOS逆向工程、BIOS代码注入技术、BIOS黑客技术、即插即用BIOS和PCI(外设部件互连标准)协议开发的多篇论文。2006年,他撰写了《BIOS反汇编忍术》一书,介绍了他对BIOS安全研究的结果。他目前仍在从事BIOS和UEFI(统一的可扩展固件接口)安全研究。他还是资讯安全研究所的研究员。
27条评论
1. 2014年1月30日,Rommelfs:计算散列或还未发生。
2. 2014年3月3日,Anon:Rootkit隐藏自己,你不能在不采用连接的芯片读卡器实际提取固件的情况下“计算散列”(假设它们还没有对防御这种方法,但它们很可能已经防御了)。
3. 2014年8月17日,Menachem wuzhear:BIOS?拆下IC(可能是串行闪存),把它连接到一个阅读器或Arduino,并提取出代码。发布代码,并指出它与OEM的不同之处。
或者这一切都只是科幻小说。
ANT目录中其他提到BIOS的项目是IRONCHEF、SWAP、STUCCOMONTANA、SCHOOLMONTANA、SIERRAMONTANA、SOUFFLETROUGH,可能还有GOURMETTROUGH和FEEDTROUGH。
希望您能研究一下其中一些项目,并撰写出此等深度的文章。
5. 2014年1月30日,DarmawanSalihun:Tom你好。本文仅仅是系列文章的第一部分。我会尽快分析其他项目。据我所知,GodSurge是一个完全不同类型的攻击。至少还有一个与它相当类似。但是,我不会剧透啦,因为它是系列文章中的下一个。
6. 2014年1月31日,Tom:我期待着您的下一篇文章,您所提供的背景知识能够帮助信息匮乏的人加快研究速度。所以,再次感谢您的慷慨分享,这是互联网的最大优点了。
如果这些东西出现于真实的目标计算机中,您肯定是“去看看”并进行分析的那类人。随着TCP端口32764事件的发生,在线工具很快出现了,让人们检查其端口是否是开放的。现在,我们有类似ZMAP的开源工具,可以在一小时内扫描整个互联网的某些属性。大胆地想象一下,我们能否找到在全球范围内消除这些植入物的方法?
以下链接是使用JTAG(联合测试工作组)在硬盘驱动器上安装恶意代码的教程。
7. 2014年1月31日,MatthewBeddoes:谢谢您分享本文,现在我明白它是如何运作的了,可以尝试找出解决方法。
8. 2014年2月1日,DarmawanSalihun:Tom,谢谢你分享链接。其实,大约在2013年中期,我准备研究HDD(硬盘驱动器)固件,但是由于其他紧要工作而终止了。还有其他的方式来获得HDD固件,前提是它不能被损坏。不管怎么说,这篇BIOS文章是我周末研究的结果。
9. 2014年2月3日,DarmawanSalihun:文章没有涉及的一个话题是“远程自擦除”,该功能可以远程删除恶意软件,以防它变得拙劣起来。在下一篇文章中,我将会分析这一问题。
10. 2014年2月3日,DarmawanSalihun:“远程自擦除”是军用电子中的一个标准机制,旨在防止敌方了解自己的技术。
11. 2014年3月3日,Anon: 所有惠普产品也有一个非常容易利用的后门,其iLo固件在IPMI(智能平台管理接口)端口泄漏了iLo管理员凭据,使得任何人都能够远程修改服务器固件。
12. 2014年3月24日,Vitor:DarmawanSalihun您好,我正在开发一套Linux软件包,使用SMI(系统管理中断)来查询设备的状态。内核模块的主要功能如下所示。我想请您帮我看看代码究竟是如何运行的。
长话短说,命令行“out%%al,$0xb2\n\t”是为了调用SMI,但我不太明白之后的命令行“out%%al,$0×84\n\t”。您可否帮帮我呢?开发网站是“https://launchpad.net/i8kutils”。
static int i8k_smm(struct smm_regs *regs)
{
ktime_t calltime, delta, rettime;
unsigned long long duration;
int ret;
calltime = ktime_get();
int rc;
int eax = regs->eax;
#if defined(CONFIG_X86_64)
asm volatile(“pushq %%rax\n\t”
“movl0(%%rax),%%edx\n\t”
“pushq %%rdx\n\t”
“movl4(%%rax),%%ebx\n\t”
“movl8(%%rax),%%ecx\n\t”
“movl12(%%rax),%%edx\n\t”
“movl16(%%rax),%%esi\n\t”
“movl20(%%rax),%%edi\n\t”
“popq%%rax\n\t”
“out%%al,$0xb2\n\t”
“out%%al,$0×84\n\t”
“xchgq%%rax,(%%rsp)\n\t”
“movl%%ebx,4(%%rax)\n\t”
“movl%%ecx,8(%%rax)\n\t”
“movl%%edx,12(%%rax)\n\t”
“movl%%esi,16(%%rax)\n\t”
“movl%%edi,20(%%rax)\n\t”
“popq%%rdx\n\t”
“movl%%edx,0(%%rax)\n\t”
“pushfq\n\t”
“popq%%rax\n\t”
“andl$1,%%eax\n”
:”=a”(rc)
: “a”(regs)
: “%ebx”, “%ecx”, “%edx”, “%esi”, “%edi”, “memory”);
#else
asm volatile(“pushl %%eax\n\t”
“movl0(%%eax),%%edx\n\t”
“push%%edx\n\t”
“movl4(%%eax),%%ebx\n\t”
“movl8(%%eax),%%ecx\n\t”
“movl12(%%eax),%%edx\n\t”
“movl16(%%eax),%%esi\n\t”
“movl20(%%eax),%%edi\n\t”
“popl%%eax\n\t”
“out %%al,$0xb2\n\t”
“out%%al,$0×84\n\t”
“xchgl%%eax,(%%esp)\n\t”
“movl%%ebx,4(%%eax)\n\t”
“movl%%ecx,8(%%eax)\n\t”
“movl%%edx,12(%%eax)\n\t”
“movl%%esi,16(%%eax)\n\t”
“movl%%edi,20(%%eax)\n\t”
“popl%%edx\n\t”
“movl%%edx,0(%%eax)\n\t”
“lahf\n\t”
“shrl $8,%%eax\n\t”
“andl$1,%%eax\n”
:”=a”(rc)
: “a”(regs)
: “%ebx”, “%ecx”, “%edx”, “%esi”, “%edi”, “memory”);
#endif
rettime = ktime_get();
delta = ktime_sub(rettime, calltime);
duration = (unsigned long long) ktime_to_ns(delta) >> 10;
printk(KERN_DEBUG “i8k_smm function took %lld usecs\n”, duration);
dump_stack();
if (rc != 0 || (regs->eax & 0xffff) == 0xffff || regs->eax== eax)
return -EINVAL;
return 0;
}
13. 2014年3月27日,DarmawanSalihun:@anon:BIOS/UEFI(统一的可扩展固件接口)安全研究人员研究IPMI(智能平台管理接口)已经有一段时间了。
@vitor:我不是很确定端口0×84的用途。这也可能是系统特定的。我也还没有读过AMD的BKDG(《BIOS与内核开发指导》)一文。也许,文章中会有所答案。
14. 2014年4月11日,Peter:这个恶意软件能否感染那些正在使用SINIT/SENTER进行初始化的操作系统?
15. 2014年4月20日,DarmawanSalihun:@peter:我不确定该恶意软件有效载荷能否感染这种操作系统。但是,如果碰巧NSA通过SHA-1校验和的某种“后门”破解了哈希保护,那么我们就没什么好运了。
16. 2014年6月28日,Jason: 我已经遭受持续性攻击15个月了,您的文章非常有帮助。如果您仍然需要BIOS样本(还有PCIe扩展ROM样本),请务必告知。
1.如果您能告诉我怎么从硬盘中读取固件,那就帮我大忙了。
2.如何实现针对IPMI(智能平台管理接口)的最好保护方法?从Windows中完全将它删除并删除CMD文件么?还是?
祝好。
17. 2014年
7月
8日,
BadBIOSvictim:
Jason提出能够提供
BIOS和
PCIe扩展
ROM样本。如果能有一个简单的指导,我也想提供样本。否则,我就把我已弃用的东芝笔记本电脑提供给任何有兴趣取证和识别植入物的人士。植入物可能类似于
BULLDOZER。我的电子邮件地址是
bluelotus@openmailbox.org。谢谢。
18. 2014年8月15日,No:ANT目录不是斯诺登泄露的,可能是另一个泄密者。
19. 2014年8月16日,Dave Gilbert:这篇文章似乎认为所有被注入的代码通过中断13或SMI(系统管理中断)运行于x86系统,但是由于PERC(PowerEdge可扩展RAID控制器)有一个可编程的RAID控制器(我认为是ARM或其他重要的控制器),那么代码就可能运行在PERC吗?然后,它会通过启动在主机内存中注入块,而不显示任何磁盘变化。而事实上,它可能以定义良好的引导顺序(而不是在磁盘检查时)返回“特别”版本的块。
尤其是在旧的PCI(外设部件互连标准)系统中,我认为RAID控制器可以直接内存读取有意思的RAM片段,而不需要涉及x86系统。
20. 2014年
8月
17日,
buckwii:
我很肯定至少我有一台机器被感染了。它采用戴尔
A02 BIOS。可否告诉我应该提供给您什么日志,以便您提出意见?我只运行
Linux发行版。我安装了
Mint 15,还使用了
Debian磁盘和用
Parted Magic磁盘。谢谢。我的电子邮箱地址:
ham.hamlin@aol.com。
21. 2014年8月17日,Paolo:PCI选项ROM不应该被允许向SMRAM写入任意内容(其实,我认为在超级复杂的UEFI SMM架构中,这是被禁止的)。所以DEITYOUNCE至少在一定程度上利用了戴尔SMM(系统管理模式)代码漏洞吗?
22. 2014年8月20日,Matt:@Paolo,直到英特尔产品出现UEFI(统一的可扩展固件接口)之后不久,戴尔才转向UEFI。对于传统系统来说,对写入SMRAM(系统管理RAM)的内容没有什么规范。BIOS可能在创建时生成了一个图像,然后加载图像并关闭通道。其他的可能具备向SMRAM添加处理程序的模块,这有点像UEFI PI规范IIRC的规定。戴尔的BIOS可能拥有允许它这样做的模块化方法。该漏洞利用代码需要知道加载处理程序的函数使用的“调用协议”,而且能够加载这些协议。请记住,这都是x86系统的16位汇编,所以真的没有任何标准。NSA不得不投大量时间,对BIOS和RAID控制器固件进行逆向工程。这就是为什么对这个恶意软件来说,硬件是这么具体。但是,很多携带大量流量的相同服务器的数据中心也值得一试。
23. 2014年8月17日,Smiley:感谢您分享这篇文章。文章中提及了我们使用的戴尔机器。这就是为何我们之后再也不会为公司和员工购买戴尔的任何东西。
24. 2014年8月17日, MichaelWales: SneakerNet并不是一个项目术语(因此不采用大写),它只是一个俚语,代表数据通过物理手段移动。更有趣的是,该术语常用来指不同类型的网络之间的数据移动。
例如,“这个文档是在SIPR(机密IP协议路由网)上做的,但是没有什么内容被列为SECRET(机密),我需要用电子邮件发送。我应该将它SneakerNet到NIPR(非机密IP协议路由网)。“
25. 2014年8月20日,Matt:这些戴尔服务器的BIOS是几乎都是传统的。它们花了一段时间切换到UEFI(统一的可扩展固件接口)。
1MB闪存部分的假设可能是正确的。当今,BIOS通常使用较大的闪存,但是它们使用英特尔平台上的芯片组功能(称为描述符模式)来共享多个组件的部分(例如局域网控制器)。
UEFI安全启动可能会停止PCI(外设部件互连标准)设备仍然有选项ROM,但它们是遵循UEFI驱动程序模式的可执行图像。随着安全启动的启用,它们必须被签名。尽管如此,了解签名过程中漏洞也是很有趣的。
这同样适用于操作系统使用的引导加载程序,操作系统将其用于IPL(信息程序装载)。它还没有被广泛使用,而且公众一直不信任它(据说,受到收买的代工工厂理论上可以利用该系统锁定特定的操作系统,但这个问题现在应该已经解决了)。
直到现在,至少对基于英特尔的系统来说,切换到UEFI应该已经完成了。对于AMD平台,我倒不是很确定。现在为止发现过任何针对UEFI的攻击吗?
26. 2014年9月19日,IRATEMONKEY:我有一台台式计算机,将其称为PC-A,我曾经三次将硬盘驱动器格式化(使用killdisk至少执行一次“一通零”),以便安装Windows7 64位系统。
格式化计算机并重新安装Windows系统后,我做的第一件事是将安装TrueCrypt 7.1a,然后在执行任何其他操作之前进行充分的磁盘加密(包括安装任何设备驱动程序或将其连接到网络之前等等)。
使用过TrueCrypt全磁盘加密的人都知道,它会要求你在使用FDE(全磁盘加密)之前刻录应急光盘。我不想每次都浪费光盘,所以我总是下载和使用WinCDEmu,以便绕过这个刻录要求。
然而,最近,当我重新格式化,擦除内容并在PC-A上重新安装Windows后,我注意到,当点击安装并试图安装WinCDEmu时,出现了一个奇怪的错误,指出“Microsoft注册服务器已停止工作”,详细信息显示出一个与DEP(数据执行保护)有关的“BEX”错误:WinCDEmuContextMenu.dll_unloaded。我在三个不同场合尝试过,每次都是完全从头开始,结果都一样。
我完全没有做过任何硬件改动,没有执行BIOS或固件升级。每次我都是使用完全相同的Windows 7的DVD-ROM,通过引导光盘安装操作系统,光盘本身都是没有划痕的。我也一直用完全相同的WinCDEmu版本并进行校验,以确保没有软件损坏或文件完整性的问题。我也使用完全相同的TrueCrypt版本。事实上,因为我多次这样做了,我知道TrueCrypt会要求我刻录应急光盘。安装Windows 7后我做的第一件事就是安装WinCDEmu 3.6,这甚至是在安装TrueCrypt之前的。
我甚至尝试在另一台计算机(称为PC-B,它是气隙的,从未连接到网络)使用同样的Windows7 64位DVD启动盘,并用完全相同的WinCDEmu版本和完全相同的外部USB存储介质,这些都没有任何问题,没有显示错误信息。
所以,我的步骤是完全一样的,什么都没有改变。在疑似感染之前,我至少三次在PC-A上使用了完全相同的步骤和软件,从未出现过任何问题或错误。
现在,我还是使用完全相同的步骤,完全相同的硬件,完全相同的软件,但总是显示错误消息。作为一种测试/控制手段,我甚至尝试在两台计算机上使用完全相同的Windows DVD安装光盘、完全相同的WinCDEmu 3.6版本(校验和),其中一台计算机是气隙的,另一台则不是,它们都没有出现任何问题或错误消息。
在受感染的机器上,当我试图继续执行FDE(全磁盘加密)并加密主机保护区时,却无法工作。它似乎是工作的,但当我重启计算机做“测试”时,它却无法识别我输入的密码,但我100%肯定密码是正确的。此外,该硬盘是标准的希捷硬盘,是商用硬件,但是当我将硬盘换到不同的机器上时,它却不能被正确识别,我也无法访问并复制硬盘数据或提取任何数据。看来,只有安装在原来设备上时,它才会工作。
这种情况我从来没有遇到过。因为在重新安装Windows之前,我至少执行了一次“一通零”,以擦除整个硬盘的内容,没有任何硬件变化,而且在对新安装的操作系统做任何更改(连接到互联网、更新驱动程序,或安装任何其他应用程序等)之前我都会安装WinCDEmu。这种奇怪现象的唯一解释是我被高级持续性威胁(例如NSA)攻击了。
截图:
image.bayimg.com/0a91bdcdb399dbf4322f89582af86f3cf70998db.jpg
image.bayimg.com/b42874a45ecde2e24940d33511c7ba81a560e407.jpg
如果情况没有这样巧合,我就不会发现这一点了。
1)当重新格式化计算机时,我有一点强迫症。我经常频繁地(其实没什么必要)格式化计算机。然而,重复运动会产生肌肉记忆。如果你做某件事情N次了,但是随后的第N+1却发生了变化,那么你就会很容易发现。
2)用相同的DVD安装Windows7后,我做的第一件事情都是安装WinCDEmu,然后再安装TrueCrypt 7.1a。当然在做安装时,我没有执行任何USB连接或其他连接,计算机不具备WiFi功能,也没有以太网电缆插入。如果我设置了msconfig/services.msc/gpedit.msc,或安装了其他软件,或更新或安装了固件、BIOS、操作系统和软件驱动程序,那么我可能会知道为何出现错误消息,但是这些我都没有做过。
3)非常奇怪的事情是:我无法复制硬盘驱动器(即使使用硬件方法),为了进行测试,我把硬盘安装到另一台计算机,看它是否会让我在硬盘上安装Windows 7系统。使用可引导的Windows 7光盘,它会引导到第一个初始Windows“能量标志”画面(就是您选择安装或升级Windows的画面出现之前),这个画面会持续60秒或以上。这时候,什么都不用做,等着这部分结束就行。至少约60秒后,它将切换到安装/升级画面,我选择了重新安装,却弹出消息说磁盘不可引导,Windows系统无法安装于该盘(即使它已经被Windows和BIOS识别)。
4)因此,在其中一个测试中,当计算机卡在Windows启动画面(在安装/升级选项的画面之前)时,我有些不耐烦,直接切断了计算机的电源。之后,我重新通电,并尝试重新启动/打开计算机,但是它却不执行任何操作,就像是BIOS被损坏或BIOS闪烁期间被切断电源了。
这怎么可能呢?DVD-ROM驱动器的固件本身也会被感染吗?如果在受感染的硬盘上有一个固件恶意软件,我将其安装到另一台干净的机器,并尝试从DVD安装Windows7(该DVD显然不能被污染),那么恶意软件是如何从硬盘或者硬盘固件跳转到BIOS或其他计算机的其他组件的?
27. 2014年9月19日,IRATEMONKEY:截图image.bayimg.com/0a91bdcdb399dbf4322f89582af86f3cf70998db.jpg
image.bayimg.com/b42874a45ecde2e24940d33511c7ba81a560e407.jpg
发表于 2015-7-20 16:05
