KasperskyがHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表 72
ストーリー by hylom
どういう原理なんだ 部門より
どういう原理なんだ 部門より
Printable is bad. 曰く、
また、このマルウェアが米国家安全保障局(NSA)によって使われていたという話も出ている(Register)。
また、このマルウェアが米国家安全保障局(NSA)によって使われていたという話も出ている(Register)。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
感染ルートは原文に載ってる (スコア:5, 参考になる)
カスペルスキーの文書に載ってますが、感染ルートは
PCにスパイウェア感染
→自身を隠ぺいし駆除させないように
HDDのファームウェアをマルウェア汚染させる。
のルートのようです。
またOSの0day脆弱性を発覚のだいぶ前から
使っていた形跡があるのが恐ろしい。
翻訳
http://blog.livedoor.jp/intel_news_reports/archives/42825974.html [livedoor.jp]
セキュmemoさんにもまとめてあります。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/02.html#20150218_E... [ryukoku.ac.jp]
Re:感染ルートは原文に載ってる (スコア:2)
>またOSの0day脆弱性を発覚のだいぶ前から
>使っていた形跡があるのが恐ろしい。
NSAレベルの国家機関の組織の関与が示唆されてるというのは、これがあるからでしょうね。
OSの脆弱性を未公開の時から使えるというのは、それなりのマンパワーが必要ですからね。
最低でも商業的な動機で腕のある技術者を百人単位で雇ってるマフィア・黒組織でしょう。
そもそも、そのゼロディ脆弱性は、意図的に組み込まれたものかも知れませんしね。WIndowsに米国政府向けのバックドアがある(あったの間違いかも)と同じようなもので。
Re: (スコア:0)
Windowsのソースコードがあれば、ある程度の組織なら発見出来るだろうし
たまたま脆弱性を発見した人が、メーカーに報告するとは限らないよ
Re:感染ルートは原文に載ってる (スコア:1)
使うのは高度でも何でも無いですが、見つけ出すには相当なマンパワーが必要になるかと。
それなりの資金投下がないと容易には見つからないでしょう。
どの時点で感染? (スコア:4, 興味深い)
ネットワーク経由とかなら、感染時にソフトで防げそうな気がしないでもないが。
ロイターは The Equation group = NSA と断言 (スコア:3, 興味深い)
http://japan.zdnet.com/article/35060498/ [zdnet.com]
の文末の編集部注
Re:ロイターは The Equation group = NSA と断言 (スコア:1)
俺のゴニョゴニョ・・・コレクションに興味があるのかNSA!
HDDのファームになにができるのか考察 (スコア:3, 興味深い)
データの改ざん、破壊、以外に、どうやったら有用データを流出させることができるのだろうか。
データファイルを偽装してすり替える?
実行ファイルに寄生改竄して何らかの手段でethernet等のデバイス(ハード)にアクセスし送信する?
OSに依存するコードか、デバイスドライバ(=OSの一部)に適応しないと意図した動作は出来ないだろうし、
そのような高度なコードがファームウェアを格納しているROM中に、本来の機能を損なわないで
共存して存在できるのはどうしても製造側(HDDベンダ)の協力が無いとできなそうだし
(でないとファームのリバースengから始めることになる>>>糸目をつけずやっているのかもしれないが)
政治的、技術的に極めて高度な内容を含んでいて、にわかに信じられない。
まるでMissionImpossibleのガジェットの様だ。
Re:HDDのファームになにができるのか考察 (スコア:5, 参考になる)
実は、HDDのファームウェアが書き換えられるというのは新しい話でもなんでもなくて、2013年にはHDDのコントローラ基板上へuClinuxが移植されています。
これをやった人の話では、高度な処理用らしきCPUとモータ管理などの基本機能のCPUなど複数のMPUが搭載されていて、ものによってほとんど遊んでいるそう。
例えば上位モデルには暗号化機能があるが、下位モデルではプログラムだけが省かれている、といった場合には、実はCPUの処理時間は余っていたり、落としても
気づかれないような処理しかしていないのかもしれません。また、HDDには大量のストレージ(何せそれ自体がストレージですし)もあれば、CPUに不釣り合いな
大容量の高速(キャッシュ用)メモリもあります。昔の「パラレル信号に反応してヘッドを右や左へ動かす」というHDDならともかく、現代のHDDはモーターのついた
Raspberry Piのようなもの、なんですね。
ディスクだけを買ったつもりがRasPiがプロキシとして強制的についてくると考えれば、そこでできることは多岐に渡るでしょう。実際に、移植の前段階として
書き込んだファイルを差し替えるとか、改竄したデータを返すといったこともできているようです。アイディアとしてはSATAからDMAでEthernetを叩くというのも
見かけはしましたが、そこまでしなくとも、例えば変更したパスワードが元に戻されるとか、メールで受け取ったコマンドに基づいて書き換えられるとかでも
十分脅威だし、可能ではないかと思います。Eye-FiやFlashAirと同じでしょう。
# 個人的にはこれで ニョガーン してほしい
Re: (スコア:0)
ご連絡先
Re: (スコア:0)
> SATAからDMAでEthernetを叩く
ATAのプロトコルはデバイスからホストのメモリやI/Oを叩けるように拡張されたんですか?
Re:HDDのファームになにができるのか考察 (スコア:2)
間に色々挟まってるしできなそう。悪用するにしてもやる必要ないし。
Re: (スコア:0)
間に挟まっているのが問題ではなくプロトコル上不可能なんですけどね
Re: (スコア:0)
昔話になるが、ドライブ側のCPUと聞いて思い出すのはPC-8001/PC-8801シリーズ。
直接いじったことはないが、サブCPUにプログラム転送して走らせる小技があったような。
# こいつらの5'FDDはドライブ側にもZ80積んでたインテリジェント仕様。
# I/Fはただの8255、後に本体にFDD内蔵されてもわざわざCPU間で通信してた。
# 一方富士通FMシリーズは最初からキーボードと画面VRAMがサブCPU制御。
# YAMAUCHIコマンドでサブ側にプログラム置いて走らせるのは定石だった。
Re: (スコア:0)
誰もドライブ側のCPUの話なんてしてませんがな。
Re: (スコア:0)
ということは
乗っ取られたHDDが突然
「オ〜マ〜エ〜ハ〜ア〜ホ〜カ〜」
とやりだす恐れがあるのか?
トーキングHDD
それはそれで怖いな。
Re:HDDのファームになにができるのか考察 (スコア:2)
ま、BadUSB [nikkeibp.co.jp]の例もありますから何ができても不思議はないわけで。
SATAインターフェースの向こうにキーボードデバイスが繋がってキーボードって認識されたり・・・するんか?
**たこさん**・・・
Re:HDDのファームになにができるのか考察 (スコア:1)
高度な機能ガーはHDDが記録メディアであることを失念してるんじゃ無いか
Re:HDDのファームになにができるのか考察 (スコア:1)
Re: (スコア:0)
ファームの非管理エリアにデータ置くのならなおさらのこと、仕様に精通していないといけない。
=> 内通者アリだな
Re:HDDのファームになにができるのか考察 (スコア:3)
ロイターの記事だと、メーカーにスパイを送り込む場合のほか、米国で政府系機関に納入する際にソースコードの提出を含む製品の監査を受けることがあり、場合によってNSAが受け持つとか。中国が同じようなことを言って反発を受けていたような…
Re: (スコア:0)
ふむふむ、それなら何でもアリですね。
これやられると、OS構成ファイルをいくら調べても検出できない。
定型的で、判りやすいすり替え対象としてはソフトのUpdateチェックなんて使えそうだから
もしかすると、ベンダ(MSetc)もグルかもしれない。
たとえば、データの横取りに使うとすると、
1.ドメイン名(ip-adrs)で自機の所在を認識、(東側諸国とか)
2.SPAMに見せかけたトリガでアクティブ化
3.重要キーワードを含む対象ファイルをコピー、圧縮、暗号化
4.アップデートチェック時等に混入させて配送...
アンチウイルスの定義ファイル更新時にPCからも大量にナニカ送っていませんか?
もしかすると細胞内のリボソームを操るようなアナロジーで、よりウイルスっぽいかもしれないなぁ
OSは正直に宛先へデータを配送するだけ…
Re:HDDのファームになにができるのか考察 (スコア:2)
Kasperskyのpdfに書いてあります。読みましょう。定義ファイルなんかに頼ってはいません。まあ政府機関っていうかアメリカっぽい感じ。
Re: (スコア:0)
SATAだと改ざんしたコードが実行されるのを待つことしかできなさそうだけど、
PCIe接続のSSDなら結構アクティブに悪さをできそうな気がする。
ストレージの中の人としては、内部情報なしに仕様の分からないHWを叩くなんて難しいと思うけど、
それでもロシアなら…、ロシアならきっと何とかしてくれる。
Re: (スコア:0)
やってみると分かりますが物理アドレスだけでOSをゴニョゴニョするのはそんなに簡単じゃないです。
MSRやCR3が読めればなぁと思う事がしばしばあります。
二次感染とかするのかなぁ (スコア:1)
感染能力のないウイルスはウイルスとは言わないか。
どうやって感染するのか興味ある
Re:二次感染とかするのかなぁ (スコア:3, 参考になる)
マルウェアであってウイルスではないかと。
単体で感染・汚染能力はないようです。
他のウイルスやスパイウェアと組み合わされているようです。
カスペルスキーの原文でも
EQUATIONDRUG
DOUBLEFANTASY
TRIPLEFANTASY
GRAYFISH
FANNY
に攻撃内容を分解していますし。
原文
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf [securelist.com]
ところで (スコア:0)
検出すらできないようなウイルスがどこから感染するんだよ。
工場出荷前しか可能性無いよね?
Re:ところで (スコア:3, 参考になる)
リンクのpdfを流し読みしたところでは
今時のセキュアな造りのOSであっても、穴のあるドライバなんかが入り口にできるそうですよ
例えばCloneCDに付いて来るElbyCDIO.sysなんかには
カーネルモードで悪さのできる穴の空いた奴が存在するんだとか
無論、全てのElbyCDIO.sysでそういう訳ではないでしょうし
他にも公に認知されていない穴あきドライバは存在するのでしょう
今後の発展性を妄想してオロオロしても始まりませんが
重要なのは、技術的には十分可能であり、実績も積んでいること、具体的に流通もした痕跡があること、
って辺りでしょうか
Re:ところで (スコア:1)
↓
Seagate 製品のファームウェア更新 [seagate.com]
Re: (スコア:0)
Windows稼働中には無理っぽいけど。
純正アップデートもリブートしてDOS経由でやるよ。
そりゃそうだ、リソース専有せずにファームの書き換えなんてできっこないす。
エンジン止めずにオイル交換やるようなものだ。
すくなくとも、ユーザーに悟られずにWindows等稼働中に裏でやるのは不可能と思う。
Re:ところで (スコア:2)
ものによっては、HDD上の隠し領域からファームや設定を読んでいるディスクがあるとかないとか。バッドセクタ情報とか。
Re: (スコア:0)
>Windows稼働中には無理っぽいけど。
ツールによっては出来るはず。
IntelのSSDなんぞもWindows上からファームウェアのアップデートが出来たし、HP ProLiantのHDDのファームウェアアップデートもWindows上からやった記憶が。
Re: (スコア:0)
稼動時はキャッシュRAMにファームが全部乗ってたりするから事前に考慮してあれば普通に出来ますね。
特にHDDだとファームはROMにはブートストラップのみで残りはプラッタ上に存在してる場合が。
Re: (スコア:0)
リソース占有しなくても更新に失敗したら攻撃対象のHDDを起動不能にさせるだけじゃないのかね
Re: (スコア:0)
そりゃそうだ、リソース専有せずにファームの書き換えなんてできっこないす。
エンジン止めずにオイル交換やるようなものだ。
すくなくとも、ユーザーに悟られずにWindows等稼働中に裏でやるのは不可能と思う。
OSがフリーズしたふりをして行うことは可能だと思うよ。
すべてを正常系でファームを書き換える必要はないんだから。
多少粗っぽいことをしても、目的はかなえられるでしょう。
フリーズしてる最中に再起動すると、ファームの書き換えに失敗して
二度と立ち上がらない可能性があるけど、
それすら、ただ単に故障しただけだと思い、
何ら疑いも持たないでしょう。
Re: (スコア:0)
ぁ、chkdsk.exeに仕込んでもいいかも。
Re: (スコア:0)
ユーザーがファームアップデートできるHDDって
ファームに対して、
書き込み権限はあるけど
読み取り権限はないんですかね?
書けるんなら検出もできるんじゃないの?
Re:ところで (スコア:2, 参考になる)
大抵のMCUには読出しプロテクトがあります。
まあ簡単なIDチェックですから読出しは不可能じゃない。
対して書込みプロテクトは余り聞いたことがない。
乗っ取りを排除するには二度と読み書きできなくなるようなヒューズを使うか、署名済みファームしか書き込めないような仕組みが必要かと思う。
Re: (スコア:0)
IDEのころにあったようなジャンパピンでいいのでは?
ジャンパを抜いた状態でライトプロテクト。
販売時はこの状態。
ファームを書き換えたい人はどこかからジャンパピンを入手する。
Re:ところで (スコア:2)
書き込むべきROMは基板上に露出してるので無駄だし、どこかから入手できるジャンパでは改竄した後で取り外しておけば分からないので、プロテクトになりません。据え置きゲーム機や携帯のような署名チェックを入れ、改竄ファームで起動しないようにすべきでしょう。
元コメの人が言ってるように、大抵のマイコンには読み出し禁止機能があって、設定すると読み出しできなくなり、いったん消去しなければ書き込みもできなくなります。でもこれは模造品対策機能で、今回のように書き込むべきファームウェアが用意できる場合には無力なんですよね。
Re:ところで (スコア:2)
12種類のSSD/HDD向けの毒入りファームウェアを作って、それを世界で二例しか見つからない程度にコントロールしている人たちだそうです。そういう人たちの実在を信じるなら、物理的に触れないことだけに頼るのでは意味がないでしょう…
# 90年代から活動していて、RC5の独自実装を書き、USBメモリでバケツリレーするネットワークを作らせ、"DRINKPARSLEY" "STRAITACID"みたいな
# 二単語のコードネームを使い、政府機関や航空宇宙、石油関係の情報だけを狙う謎のグループ…いったい何ational Security Agencyなんだ…
Re:ところで (スコア:2)
そりゃ、向こうから歩いて繋ぎに来るだけですから。守る側がそんな人たちの関心を惹く存在だとしてですが。
気紛れに出かけて時価で新品HDDを買っても、自分が買う棚の一番上の在庫だけ細工されているとかがあり得るので、ジャンパでは意味がないです。
まあそういう心配をしてみたいものですが、機会はないでしょう :p
Re:ところで (スコア:1)
Re:ところで (スコア:2)
HDDに感染しているツールが見つかったのは二例だけのようです。改竄に気付けないのはそこから起動するOSの方で、ユーザがおかしいと気付けばばらしてROMを読んだりプラッタを外して読み出したりして発見することは、理論上できます。
Re: (スコア:0)
NSAが出荷輸送中のルータのファームを書き換える例がスノーデン文書にあったような
HDDのファームウェアなんか触ったことないけど (スコア:0)
ファームウェア再初期化とかできないの?
Re: (スコア:0)
メーカー修理に出せばいいかと
データも消してくれると思いますが
どこのメーカーが安全なんだ (スコア:0)
Western DigitalやSeagate、東芝、IBM、Micron、Samsung
HDDメーカ内部にも協力者がいるとすれば、WD、Seagete、東芝に集約されたHDD業界の場合、どれを買ってもアウトってことだよね。
東芝はもしかしたらWDから受け継いだ3.5インチHDDだけで、2.5インチHDDは安全かもしれないけど。
Re:PCからHDDのファームウェアを変更できるってこと? (スコア:1)
"DOWNLOAD MICROCODE"(0x92)ってファームウェア書き換え用のATAコマンドが有るのです。
光学ドライブでは書き込み媒体に最適化したパラメータを追加するファームウェアアップデートは一般的です。
過去にSeagateのファームウェア不具合でロックするバグ [srad.jp]やSSDの5184時間を超えると確実にハングするバグ [srad.jp]を修正するファームウェアが提供されてエンドユーザーが実行したケースもあります。