Пользователь
Забыли пароль? Регистрация
Сейчас на сайте

Пользователей на сайте: 190

0 пользователей, 190 гостей

Трояны, внутри HDD

#1
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
Никому верить нельзя :-), АНБ даже харды протроянило, видимо для защиты демократии.
http://www.interfax.ru/world/424566
Выходит, что парни из АНБ - защищают национальную безопасность, воруя чужие секреты и деньги, получают за это награды и звания.
А вот эстонских парней, которые написали тряна dns charger, амеры экстрадировали в сша и собираются посадить в тюрьму. Выходит амерам троянить компы можно, а всем другим это строго запрещено, демократия короче блин такая.

Ну а если подумать как такое может быть?

1. Спецслужбы, вербуют низкоуровневых програмеров, всех основных производителей HDD, получая от них исходники и систему команд работы дисков. Это сделать гораздо проще, чем реверс-инженерить.

2. Собственный IT-отдел разрабатывают трояна, который попадая на комп, разными способами (web,usb-flash,cd-rom, mail). Обращается на низком уровне к HDD. Определяет тип HDD, скачивает новую прошивку из интернета, заменяет оригинальную. Новая прошивка освобождает и резервирует нужное количество секторов на диске и делает их невидимыми для обычного доступа. В эти сектора записывается собственно троян, который и будет жить там вечно. Даже формат не поможет.

3. Далее фантазия уже безгранична, например каждое тысячное обращение операционной системы по прерыванию int 13h, микропрограмма харда запускает проверку Оперативной память(RAM), на наличие в ней резидентного модуля трояна. Если он не находит себя, значит было выплнено форматирование и переустановка ОС. Соответственно копирует себя в новую ОС и запускает нужные процессы.

В эту же тему попадают и все SSD накопители.

з.ы.
Написать новую прошивку к ХДД, не просто, но вполне реально.
Определять тип ОС и внедряться в неё - это не сложно.
Учитывая, потенциал и возможности спецслужб, вполне вероятно может быть реальностью. Не удивлюсь, что некоторых производителей, заставили уже в процессе производства закачивать правильные прошивки, демократически пропатченные.
Был недавно скандал с производством процессоров со встроенным шифрование, где спецслужбы положили закладки прямо внутри чипа, что позволяло быстро сломать ключь шифрования.
Недавно производители телевизоров с функцией SMART, заявили что пользователи могут быть подслушаны, если активна функция голосового набора. Хотя я думаю, что их подслушают, если эта функция отключена.
Вот такая она нынча жисть :-D


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

#2
stepanco
  • Статус: Легенда
  • Сообщения: 3595
  • Карма: 438
  • Пол:
мне кажется пункт 2 проще - на заводе сразу заливается какая надо прошивка :-)
П.С. мне тут один чел умную мысль выдал насчет айфонов - почему у них несъемный акум: чтобы нельзя было отключить прослушку и слежку, как раньше делали: отсоеденил акум и ведешь разговор о делах :-)


0 пользователя(ей) сказали спасибо:

#3
vadim
  • Статус: Administrator
  • Сообщения: 931
  • Карма: 108
  • Возраст: 47
  • Пол:
Для многих дисков есть программы для перепрошивки. Вполне легальные. От производителей.
Так что, на самом деле, в некоторых случаях это даже очень просто.
А ведь помимо дисков есть ещё много всякой периферии с возможностью программной перепрошивки.

Другое дело, что невозможно создать некий универсальный троян использующий подобный приём.
Существует слишком большое количество комбинаций железа и операционного программного обеспечения.
Так и в данном случае атаки были направленные на конкретные цели.
Например, в одном случае, на научной конференции раздавали CD которые были заражены трояном.
То есть троян попадал на компьютер обычным путём с внешнего носителя.
И уже на заражённой системе создавал(прошивал) на жестком диске программу своего восстановления на случай полной переустановки операционной системы на компьютере жертвы.

P.S.: Параноики могут использовать RAID6 собранный из дисков разных производителей с шифрованными разделами. Гарантия безопасности от такого трояна на 100% :)
stepanco
мне кажется пункт 2 проще - на заводе сразу заливается какая надо прошивка #
П.С. мне тут один чел умную мысль выдал насчет айфонов - почему у них несъемный акум: чтобы нельзя было отключить прослушку и слежку, как раньше делали: отсоеденил акум и ведешь разговор о делах #


Кстати, в телефоны со съёмным аккумулятором, иногда, ставят второй небольшой несъёмный аккумулятор.
Ну как бы что бы настройки времени и тому подобное не сбивалось, если основной аккумулятор нужно вытащить… Ну вы понимаете… :)

0 пользователя(ей) сказали спасибо:

#4
Trendnet
  • Статус: Легенда
  • Сообщения: 1873
  • Карма: 99
  • Пол:
У меня на фотоаппарате Canon (мыльница плёночная) стоит доп батарейка.Так фотик был куплен мне еще было лет 15.Выходит примерно 15 лет ,и батарея до сих пор работает и показывает кадры.Может там солнечная батарея стоит )))Фотиком не пользовался с тех пор.Просто лежит .

Сейчас телефоны открывают очень многое о владельце.Телефон зло ))))


0 пользователя(ей) сказали спасибо:

#5
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
Ну понеслась фантазия :-) 
В Wi-fi роутерах обычно стоит урезанный linux, можно туда внедрить трояна, для отлова не шифрованной инфы в трафике.
Да и самое простое - это наехать катком спецслужб на Microsoft, Aple, Google, чтобы уже прямо в ОС были нужные модули по умолчанию.
Вспоминаю мутную историю с NetBSD, которая считалась одной из самых надёжных ОС. Спустя 15 лет со дня её изобретения, один из разработчиков намекнул, что в коде есть закладка для сецслужб. Не исключено, что и в ядре Linux есть. Вроде народ даже деньги в инете собирал, чтобы провести независимую ревизию кода, но кто сказал, что они не из спецслужб.
Короче, как в том анекдоте:
Никому нельзя верить, даже себе, ведь только пукнуть хотел - думал Дима отстирывая трусы.


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

#6
slayer
  • Статус: Administrator
  • Сообщения: 9705
  • Карма: 771
  • Возраст: 39
  • Пол:
doran
Если ты внимательно читал техническую сторону заражения и использования, то это всё работает так:
1. Троян заражает комп через стандартные пути: внешние носители и интернет.
2. Далее он разворачивается и качает нужные модули.
3. Когда управляющий трояном понимает что цель очень и очень важна, то тут собирается вся нужная инфа о железе. Если модуль трояна для такого железа и для такой прошивки уже есть, то одна из частей трояна внедряется в прошивку используя одну из недокументированных АТА комманд, про которую знают те кто прошивки выпускают.
А вот если нет, то програмеры пишут свою прошивку и проверяют на похожем железе.
4. Эта часть трояна просыпается для восстановления основной части трояна после форматирования и установки свежей системы. В общем эта часть трояна пока формально безобидна и используется как бекап. Она тупо спрашивает у главной части: Ты тут? Если в ответ тишина, то троян инфицирует систему снова.

Уничтожить бекап трояна, можно только перепрошивкой HDD.

Пока это не слишком развито, троян не управляет hdd  и не перехватывает данные через него, но это думаю поправимо в ближайшем будущем.


Явное лучше неявного = Explicit Is Better Than Implicit

0 пользователя(ей) сказали спасибо:

#7
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
to slayer
не совсем понял причём тут моя внимательность прочтения ???
1. в пункте 2, в скобках написано как попадает троян в комп.
2. в пункте 2 также пишу, что производится докачка нужного софта.
3. Управляющий трояном, это кто? человек или бот ? (скорее всего, на первичном этапе - это бот)

Чтобы определить ценность жертвы, необходимо время на анализ содержимого диска. Если это сделать быстро, то умный человек поймёт, что что то не так. Если это делать медленно, то есть вероятность, что могут переустановить ОС, по любым другим причинам и тогда жертва соскочит с крючка.
При первичном заражении, троян сразу определяет тип харда, и если для него есть прошивка, то нормальный умный троян, должен мгновенно выполнить инстинкт самосохранения и записаться в хард, а не ждать принятия решения сверху от управляющего.
В случае если HDD не входит в список лояльных, тогда пытаться написать софт.
В случае с АНБ, с их методами и возможностью давления на людей, я не удивлюсь, что нужный функционал уже на заводах зашивается в ХДД, не так уж и много производителей дисков, по пальцам сосчитать можно.


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

#8
slayer
  • Статус: Administrator
  • Сообщения: 9705
  • Карма: 771
  • Возраст: 39
  • Пол:
doran
Там не только лояльный хард нужен, нужен ещё правильный режим на контроллере, нужна правильная версия прошивки. Сам троян аналог stuxnet по методике распространения и заражения, так как у трояна есть определённая цель и это цель не миллионы пользователей. Если заражать всё подряд, то велика вероятность, что троян станет известен антивирусамна раннем этапе, собственно поэтому у него нет инстинкта самосохранения и после первичного анализа он может заражать систему другим трояном и самоуничтожаться. И да человек (а скорее десятки заинтересованных), а не бот принимает решение укрепляться ли трояну или нет, так как много моментов, которых может привести к сбою на компьютере важной жертвы в автоматике и тогда прощай нужные данные. Это больше похоже на организованную слежку спецслужб, чем на тотальную вирусную эпидемию.


Явное лучше неявного = Explicit Is Better Than Implicit

0 пользователя(ей) сказали спасибо:

#9
vadim
  • Статус: Administrator
  • Сообщения: 931
  • Карма: 108
  • Возраст: 47
  • Пол:
Тут ещё есть опасность, что некоторые программные компоненты этого трояна могут попасть
в руки разной степени криворукости хакеров, которые могут породить новые разновидности заразы
способной разрушительно воздействовать на железо.
Одно время подобное имело место, когда ломали/стирали BIOS материнок или, например, выжигали ЭЛТ мониторы.

0 пользователя(ей) сказали спасибо:

#10
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
to slayer, почему ты думаешь, что нужен правильный режим на контроллере?
если существует софт который шьёт только из режима IDE, то это совсем не говорит, что отсутствует возможность прошить из режимов SATA,AHCI,RAID.
В юности я писал программки под процессор Z80 и иногда вставлял в код не документированные команды процессора, которые выискивал методом научного тыка. Делал я это, чтобы нельзя было дизассемблером проехать по коду и узнать как устроена прога, потому как средства отладки спотыкались на таких командах и вылетали по ошибке. Что очень сильно затрудняло понимание работы проги. Уже в те далёкие времена, существовали тёмные комнаты у процессоров.
Поэтому детектирование трояна может быть крайне затруднена, даже при широком его распространении.

Компьютеры стали очень сложным электронно-програмным продуктом.
Микрокоды программ есть в материнской плате, жёстком диске, cd-rom, сетевой карте, видеокарте и даже в самом CPU.
Не удивлюсь, что в процессорах Intel и AMD, уже давно впечатаны какие то закладки. Ведь там сотни миллионов транзистров и мегабайтами память. Самое то для норы трояна. И всего 2 производителя на рынке и те амерские. С мобильными процами таже ситуация, разве что производителей чуть больше трёх.
Тут дело не в том, что троян есть или нет. Тут скорее в том, что одним за трояно-писательство дают награды и звания, а других сажают в тюрьму.


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

#11
slayer
  • Статус: Administrator
  • Сообщения: 9705
  • Карма: 771
  • Возраст: 39
  • Пол:
doran
Я про конкретный троян Equation, а ты фантазируешь.

Ну а ловушки для дизассемблеров лишь затрудняют, но ни как не запрещают доступ к исходному коду.
Вот тут троян распотрошили:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

The EQUATION group’s HDD firmware reprogramming module is extremely rare.During our research, we’ve only identified a few victims who were targeted by thismodule. This indicates that it is probably only kept for the most valuable victimsor for some very unusual circumstances.


Явное лучше неявного = Explicit Is Better Than Implicit

0 пользователя(ей) сказали спасибо:

#12
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
2slayer у нас диалог слепого с глухим :-)
В пункте три я упоминаю слово "фантазия"
По конкретным приёмам программирования и возможностям железа, дискуссия на нашем форуме не имеет смысла. Наша публика не оценит.
Я стараюсь написать, чтобы было доступно для понимания СУТИ происходящего простому человеку.
Повторюсь снова, основной смысл поста, о том, что кому то можно, кому то нет . Ну и то что все высокотехнологичные девайсы это посути трояны ;)


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

#13
vadim
  • Статус: Administrator
  • Сообщения: 931
  • Карма: 108
  • Возраст: 47
  • Пол:
Изначально компьютерные системы были простыми и открытыми.
Что закончилось рядом разрушительных инцидентов.
Например, первый интернет-червь:
https://ru.wikipedia.org/wiki/%D0%A7%D0%B5%D1%80%D0%B2%D1%8C_%D0%9C%D0%BE%D1%80%D1%80%D0%B8%D1%81%D0%B0
После чего стали больше думать о безопасности и возможность серьёзных чп стала уменьшаться.
Но сейчас компьютерные системы стали усложнятся и становится сложно проконтролировать
отсутствие ошибок в системе безопасности.

Если раньше опасность была в простоте, то теперь в сложности. :)

Скорее всего подобное положение дел приведёт к попыткам навести порядок и стандартизацию.

0 пользователя(ей) сказали спасибо:

#14
slayer
  • Статус: Administrator
  • Сообщения: 9705
  • Карма: 771
  • Возраст: 39
  • Пол:
doran
Чтобы было понятно каждому нужно сленг выкидывать. Обычный пользователь и первый абзац этого топика не осилит.
Вообще новость очень раздута, реально меньше 10 известных случаев заражения.
Пиар отдел лаборатории Касперского похоже ещё и премию после этого получил, очень вовремя раздутая новость опубликована.


Явное лучше неявного = Explicit Is Better Than Implicit

0 пользователя(ей) сказали спасибо:

#15
doran
  • Статус: Administrator
  • Сообщения: 5497
  • Карма: 1049
  • Пол:
Ну то, что это может быть хорошо спланированная пиар компания, тоже не исключено. Пожалуй замутить такой хитрый план Касперскому гараздо проще, чем организовать создание такого трояна.
Ну как говориться НИКОМУ ВЕРИТЬ НЕЛЬЗЯ.


Если бы не гравитация, многие бы уже давно допрыгались.

0 пользователя(ей) сказали спасибо:

Пользователи читающие эту тему: 2

1 пользователь, 1 гость