大東話安全之不幹正事的方程式

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、開場小劇場

小白：這個方程式我怎麼解不出來？

大東：此方程式非彼方程式~

二、病毒通緝令

小白：嚯，這八爪魚不吃蝦米吃硬碟，會使遙控器，還長了個人腦，嗯，皮糙肉厚的，肯定不好吃！

大東：吃貨白，就想著吃！

小白：還以為今天大東東要開講「八爪魚十吃」咧，嘿嘿嘿嘿~

大東：喂喂，醒醒醒醒。這麼厲害的八爪魚恐怕你是難以下咽，這是咱們今天要講的「方程式」。

小白：方程式？高中數學的那個？

大東：「方程式」在2015年2月被首次發現，其擁有一套用於置入惡意代碼的超級制式信息武器庫。它是首個已知的能夠感染硬碟固件的惡意代碼。該研發組織成員偏愛代碼混淆策略，使用了 RC4 演算法、RC5、RC6 和 AES 演算法。

小白：……大東東你在說人話么？

大東：盒盒，馬上就講~

三、無解的方程式

大東：說起方程式，你以為是化學方程式還是數學方程式呢？

小白：嘿嘿，我讀書少，大東東你別欺負我~

大東：那我就給你漲點兒姿勢。今天要講的方程式，要從2009年的一次國際科學會議上講起。在當年的一個陽光燦爛的日子裡，格澤戈爾茲開始飛往新興的休斯敦市，參加著名的國際科學會議。

小白：格啥茲？誰啊這？

大東：他是領域裡的領先科學家。在會議日程中，格澤戈爾茲先生與其他研究人員交換了名片，並談論了高科技人士討論的重要問題。會議結束後，格澤戈爾茲就飛回家，攜帶了許多重要的資料。按照習慣，組織者將這樣的資料保存在 CD 中，分發給所有參會者。而當格澤戈爾茲把 CD 放在電腦里，打開幻燈片，他根本沒想到他剛剛成為了「方程式」組織的受害者。

會議資料

小白：什麼？怎麼就成方程式的受害者了？

大東：就是這麼悄無聲息。 2015年2月16日，卡巴斯基才在安全報告中披露了一個可能是目前世界上存在的最複雜的網路攻擊組織——「方程式」組織（Equation Group）。據卡巴斯基實驗室稱，該組織可能已經活躍了20年之久。多年以來，他們因總能比其他組織早發現漏洞，從而具有絕對的優勢。該組織擁有一套用於植入惡意代碼的超級制式信息武器庫，其中包括兩個可以對數十種常見品牌的硬碟固件重編程的惡意模塊，這可能是該組織掌握的最具特色的攻擊武器，同時也是首個已知的能夠感染硬碟固件的惡意代碼。

小白：好像很厲害的樣子！

大東：卡巴斯基的安全報告中，先後發布了其中2個模塊的詳細分析結果， Fanny 和 Double Fantasy。根據相關線索分析，被攻擊目標包括俄羅斯、印度、中國等國家，而相關媒體根據卡巴斯基的報告，推斷出該攻擊組織可能與美國情報機構相關。

小白：方程式原來是個黑客組織啊，聽起來流弊哄哄的啊！

不幹正事的方程式

大東：「方程式」組織最為流弊的地方是擁有能夠感染硬碟固件的惡意代碼，破滅了「物理隔離」的安全神話。

小白：硬碟固件居然也能被感染？好神奇啊！

大東：不僅能感染，並且惡意代碼感染的範圍遍布全球。硬碟作為計算機存儲信息的重要元器件，其安全性很長一段時間內不被重視，不論是傳統的機械硬碟還是固態硬碟，其總體的結構都是相似的。

小白：硬碟是啥結構啊？

大東：硬碟主要由處理器、緩存、Boot ROM 和主存儲介質等幾部分構成，對於機械硬碟，還有電機驅動電路和磁頭控制電路等。由於硬碟的電路板上已經具有了 CPU、內存和 ROM，硬碟可以看做是一個小型的計算機系統，在固件的控制下可以有自己的行為。惡意代碼就是感染這些固件，從而實現對硬碟進行控制。

「方程式」組織攻擊範圍圖

小白：聽起來很是玄乎啊~可是我的電腦硬碟就在那裡，怎麼就被惡意代碼感染了呢？

大東：目前大部分硬碟都支持固件升級功能，用戶可以通過廠商規定的指令來對硬碟驅動器上的固件進行升級。這樣子就使得硬碟廠商無需召回固件有 bug 的產品，而可以在用戶系統上通過軟體工具升級固件，修補缺陷。這種通過主機軟體在系統（InSystem）升級固件的機制使用很方便，但也意味著存在著固件被惡意篡改的可能性。而且這種篡改可以是通過軟體操作，在用戶毫不知情的情況下進行。

小白：這麼可怕？

大東：是啊，硬碟本身就是一套完整的嵌入式系統，其內部的固件獨立於計算機軟硬體而運行。固件完全決定了硬碟的讀寫操作行為，甚至可以在主機不知情的時候自主處理數據。如果攻擊者在硬碟的固件中設計了精巧的代碼，則可以對用戶的讀寫操作進行攔截和干擾，或者通過這種手段獲得系統的最高控制權，而所有這一切都是在硬碟上完成的，計算機前面的用戶、計算機上的軟硬體根本無法感知這一過程，甚至知道也無法干預這樣的動作發生。

保護硬碟就是保護個人安全

小白：東哥，你別嚇我，這種悄無聲息的侵害有哪些有效的預防辦法嗎？

大東：「方程式」組織擁有龐大的「網路武器庫」。當然，你也不必太過於擔心，畢竟從這個組織的攻擊歷史來看，還沒有針對個人的情況，「方程式」組織的目標一般都是政府、軍隊、電力能源機構等國家重要機構。

Equation group 的部分網路武器

小白：人家根本就看不上我的破電腦唄！

大東：「方程式」組織可能看不上你的破電腦，但是不能保證有其他黑客組織對個人計算機產生興趣，萬一這些黑客散戶對你的計算機硬碟資料產生興趣，嘿嘿，我就不多說啊！

小白：別介，大東東，快快給我指點迷津啊~

大東：要想保證個人計算機安全，就要常有安全意識，不要點擊陌生網頁和郵件中的陌生鏈接，移動存儲設備定期殺毒，同時對殺毒軟體定期更新，不要因為一時的懶而後悔莫及。

小白：嗯，說得對，我之前確實覺得殺毒軟體更新太麻煩，回去以後我一定更新殺毒軟體~~

大東：亡羊補牢，為時不晚。

四、小白內心說

小白：方程式組織簡直是網路作戰特種部隊啊！

大東：所以不怕流氓會武術，就怕黑客有組織，一個有組織的黑客團體比網路獨行俠擁有更大的破壞力，常言道，三個臭皮匠，頂個諸葛亮。近年來，網路犯罪也呈現出有組織、有預謀的特點，經常造成極大的社會危害。

小白：那這個方程式組織又有什麼厲害之處呢？

大東：方程式黑客組織有著極高的技術手段，擁有不少的網路軍火武器，五花八門，千奇百怪，稱之為百寶箱都不為過。2016年的時候，一個名為「Shadow Brokers」的黑客組織號稱入侵了方程式組織，竊取了大量機密文件，並將部分文件公開到互聯網上，從而使得部分黑客工具流落黑市。

小白：黑吃黑啊！

大東：誰說不是呢，黑吃黑的結果就是，各家安全軟體公司紛紛進入一級戰備狀態，打補丁，修漏洞，忙得不亦樂乎。

小白：那我也趕緊去升級殺毒軟體去。

大東：那是極好的，雖說黑客組織瞧不上你的電腦數據，指不定哪一個流浪的小黑客對你感興趣呢。

五、大話漫威

大東：「方程式」擁有一套用於置入惡意代碼的超級制式信息武器庫，你覺不覺得這種裝備齊全的設定很像漫威世界裡的一個角色……

小白：莫非是……鋼鐵俠！！

大東：咱們終於想到一塊兒去了。鋼鐵俠出生在紐約一個富豪家庭，天生聰慧的他21歲時便開始掌控數百億的財產，逐漸確立了其公司作為美軍第一軍火供應商的雄厚地位，擁有了一套世界上最強大的軍火庫。在經歷了恐怖分子的綁架後，鋼鐵俠放棄以製造軍火拯救世界的想法，利用能源作為自己的新武器。

小白：這不還是造武器啊。

大東：無論是軍火，還是新能源，他們的破壞力都是巨大的，讓人恐懼，就像方程式組織那「殺人於無形中」的信息武器庫。

小白：那可謂是驚悚了！想想也是挺瘮人的。

大東：淡定淡定，既然小白這麼感興趣，咱們以後還接著講？

小白：那必須的~

鋼鐵俠

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！