专栏丨大东话安全之不干正事的方程式
2018/7/14 7:59:00 中科院之声

     编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

    

     一、开场小剧场

     小白：这个方程式我怎么解不出来？

     大东：此方程式非彼方程式~

     二、病毒通缉令

    

     小白：嚯，这八爪鱼不吃虾米吃硬盘，会使遥控器，还长了个人脑，嗯，皮糙肉厚的，肯定不好吃!

     大东：吃货白，就想着吃!

     小白：还以为今天大东东要开讲“八爪鱼十吃”咧，嘿嘿嘿嘿~

     大东：喂喂，醒醒醒醒。这么厉害的八爪鱼恐怕你是难以下咽，这是咱们今天要讲的“方程式”。

     小白：方程式？高中数学的那个？

     大东：“方程式”在2015年2月被首次发现，其拥有一套用于置入恶意代码的超级制式信息武器库。它是首个已知的能够感染硬盘固件的恶意代码。该研发组织成员偏爱代码混淆策略，使用了 RC4 算法、RC5、RC6 和 AES 算法。

     小白：……大东东你在说人话么？

     大东：盒盒，马上就讲~

     三、无解的方程式

     大东：说起方程式，你以为是化学方程式还是数学方程式呢？

    

    

    

     小白：嘿嘿，我读书少，大东东你别欺负我~

     大东：那我就给你涨点儿姿势。今天要讲的方程式，要从2009年的一次国际科学会议上讲起。在当年的一个阳光灿烂的日子里，格泽戈尔兹开始飞往新兴的休斯敦市，参加著名的国际科学会议。

     小白：格啥兹？谁啊这？

     大东：他是领域里的领先科学家。在会议日程中，格泽戈尔兹先生与其他研究人员交换了名片，并谈论了高科技人士讨论的重要问题。会议结束后，格泽戈尔兹就飞回家，携带了许多重要的资料。按照习惯，组织者将这样的资料保存在 CD 中，分发给所有参会者。而当格泽戈尔兹把 CD 放在电脑里，打开幻灯片，他根本没想到他刚刚成为了“方程式”组织的受害者。

    

     会议资料

     小白：什么？怎么就成方程式的受害者了？

     大东：就是这么悄无声息。 2015年2月16日，卡巴斯基才在安全报告中披露了一个可能是目前世界上存在的最复杂的网络攻击组织——“方程式”组织(Equation Group)。据卡巴斯基实验室称，该组织可能已经活跃了20年之久。多年以来，他们因总能比其他组织早发现漏洞，从而具有绝对的优势。该组织拥有一套用于植入恶意代码的超级制式信息武器库，其中包括两个可以对数十种常见品牌的硬盘固件重编程的恶意模块，这可能是该组织掌握的最具特色的攻击武器，同时也是首个已知的能够感染硬盘固件的恶意代码。

     小白：好像很厉害的样子!

     大东：卡巴斯基的安全报告中，先后发布了其中2个模块的详细分析结果， Fanny 和 Double Fantasy。根据相关线索分析，被攻击目标包括俄罗斯、印度、中国等国家，而相关媒体根据卡巴斯基的报告，推断出该攻击组织可能与美国情报机构相关。

     小白：方程式原来是个黑客组织啊，听起来流弊哄哄的啊!

     不干正事的方程式

     大东：“方程式”组织最为流弊的地方是拥有能够感染硬盘固件的恶意代码，破灭了“物理隔离”的安全神话。

     小白：硬盘固件居然也能被感染？好神奇啊!

     大东：不仅能感染，并且恶意代码感染的范围遍布全球。硬盘作为计算机存储信息的重要元器件，其安全性很长一段时间内不被重视，不论是传统的机械硬盘还是固态硬盘，其总体的结构都是相似的。

     小白：硬盘是啥结构啊？

     大东：硬盘主要由处理器、缓存、Boot ROM 和主存储介质等几部分构成，对于机械硬盘，还有电机驱动电路和磁头控制电路等。由于硬盘的电路板上已经具有了 CPU、内存和 ROM，硬盘可以看做是一个小型的计算机系统，在固件的控制下可以有自己的行为。恶意代码就是感染这些固件，从而实现对硬盘进行控制。

    

     “方程式”组织攻击范围图

     小白：听起来很是玄乎啊~可是我的电脑硬盘就在那里，怎么就被恶意代码感染了呢？

     大东：目前大部分硬盘都支持固件升级功能，用户可以通过厂商规定的指令来对硬盘驱动器上的固件进行升级。这样子就使得硬盘厂商无需召回固件有 bug 的产品，而可以在用户系统上通过软件工具升级固件，修补缺陷。这种通过主机软件在系统(InSystem)升级固件的机制使用很方便，但也意味着存在着固件被恶意篡改的可能性。而且这种篡改可以是通过软件操作，在用户毫不知情的情况下进行。

     小白：这么可怕？

     大东：是啊，硬盘本身就是一套完整的嵌入式系统，其内部的固件独立于计算机软硬件而运行。固件完全决定了硬盘的读写操作行为，甚至可以在主机不知情的时候自主处理数据。如果攻击者在硬盘的固件中设计了精巧的代码，则可以对用户的读写操作进行拦截和干扰，或者通过这种手段获得系统的最高控制权，而所有这一切都是在硬盘上完成的，计算机前面的用户、计算机上的软硬件根本无法感知这一过程，甚至知道也无法干预这样的动作发生。

     保护硬盘就是保护个人安全

     小白：东哥，你别吓我，这种悄无声息的侵害有哪些有效的预防办法吗？

     大东：“方程式”组织拥有庞大的“网络武器库”。当然，你也不必太过于担心，毕竟从这个组织的攻击历史来看，还没有针对个人的情况，“方程式”组织的目标一般都是政府、军队、电力能源机构等国家重要机构。

    

     Equation group 的部分网络武器

     小白：人家根本就看不上我的破电脑呗!

     大东：“方程式”组织可能看不上你的破电脑，但是不能保证有其他黑客组织对个人计算机产生兴趣，万一这些黑客散户对你的计算机硬盘资料产生兴趣，嘿嘿，我就不多说啊!

     小白：别介，大东东，快快给我指点迷津啊~

     大东：要想保证个人计算机安全，就要常有安全意识，不要点击陌生网页和邮件中的陌生链接，移动存储设备定期杀毒，同时对杀毒软件定期更新，不要因为一时的懒而后悔莫及。

     小白：嗯，说得对，我之前确实觉得杀毒软件更新太麻烦，回去以后我一定更新杀毒软件~~

     大东：亡羊补牢，为时不晚。

     四、小白内心说

     小白：方程式组织简直是网络作战特种部队啊!

     大东：所以不怕流氓会武术，就怕黑客有组织，一个有组织的黑客团体比网络独行侠拥有更大的破坏力，常言道，三个臭皮匠，顶个诸葛亮。近年来，网络犯罪也呈现出有组织、有预谋的特点，经常造成极大的社会危害。

     小白：那这个方程式组织又有什么厉害之处呢？

     大东：方程式黑客组织有着极高的技术手段，拥有不少的网络军火武器，五花八门，千奇百怪，称之为百宝箱都不为过。2016年的时候，一个名为“Shadow Brokers”的黑客组织号称入侵了方程式组织，窃取了大量机密文件，并将部分文件公开到互联网上，从而使得部分黑客工具流落黑市。

     小白：黑吃黑啊!

     大东：谁说不是呢，黑吃黑的结果就是，各家安全软件公司纷纷进入一级战备状态，打补丁，修漏洞，忙得不亦乐乎。

     小白：那我也赶紧去升级杀毒软件去。

     大东：那是极好的，虽说黑客组织瞧不上你的电脑数据，指不定哪一个流浪的小黑客对你感兴趣呢。

     五、大话漫威

     大东：“方程式”拥有一套用于置入恶意代码的超级制式信息武器库，你觉不觉得这种装备齐全的设定很像漫威世界里的一个角色……

     小白：莫非是……钢铁侠!!

     大东：咱们终于想到一块儿去了。钢铁侠出生在纽约一个富豪家庭，天生聪慧的他21岁时便开始掌控数百亿的财产，逐渐确立了其公司作为美军第一军火供应商的雄厚地位，拥有了一套世界上最强大的军火库。在经历了恐怖分子的绑架后，钢铁侠放弃以制造军火拯救世界的想法，利用能源作为自己的新武器。

     小白：这不还是造武器啊。

     大东：无论是军火，还是新能源，他们的破坏力都是巨大的，让人恐惧，就像方程式组织那“杀人于无形中”的信息武器库。

     小白：那可谓是惊悚了!想想也是挺瘆人的。

     大东：淡定淡定，既然小白这么感兴趣，咱们以后还接着讲？

     小白：那必须的~

    

     钢铁侠

     来源：中国科学院计算技术研究所

    

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药