- 经验
- 578
- 分贝
- 0
- 家园分
- 2587
- 在线时间:
- 344 小时
- 最后登录:
- 2024-12-23
- 帖子:
- 354
- 精华:
- 0
- 注册时间:
- 2008-3-21
- UID:
- 221776
注册:2008-3-2118
|
间谍器材之“上帝汹涌”,戴尔PowerEdge服务器成为最大受害者
仔细品味美国国家安全局(NSA)给其先进网络技术部(ANT)的间谍器材取的代号,还真都挺有意思的。比如之前提到的“HOWLERMONKEY”,中文直译为“吼猴”,猴子叫传不了多远,所以“吼猴”是一款无线近距离通信模块。本篇文章,要讲的是代号“GODSURGE”的软件木马,中文直译为“上帝汹涌”,它能够直接操控服务器的处理器,实现“上帝般无所不能”的功能,确实名如其物。
根据资料页,GODSURGE是一款木马软件,通过对服务器处理器的JTAG调试接口的利用,GODSURGE能够运行在FLUXBABBITT硬件木马上,在戴尔PowerEdge服务器上提供软件应用程序持久性后门。
此技术支持使用至强5100和5300处理器的Del PowerEdge 1950和2950服务器。
想要突破拦截,必须将JTAG扫描链重新连接到目标系统上,方法是从机箱中卸下主板,然后将空置的部件(指的是FLUXBABBITT)装回电路板。完成此步骤后,FLUXBABBITT硬件木马就连接到主板上了。FLUXBABBITT木马应该已经用GODSURGE应用程序代码及其载荷(木马安装程序)编程。木马植入后,GODSURGE的执行频率(释放有效负载)是可配置的,每次目标机器开机时就会执行。
搜索FLUXBABBITT相关信息,可以发现它是一个相当聪明的间谍器材。它利用的是英特尔处理器的“XDP”(extended Debug Port)端口--一个类似JTAG端口的调试接口。实际上,XDP端口不是一个标准的JTAG端口,它甚至没有特定的标准。通过XDP端口可以访问英特尔处理器的寄存器、查看和编辑内存的内容,发起总线读写操作。
根据GODSURGE的工作原理--通过FLUXBABBITT硬件,恶意利用英特尔处理器的XDP调试接口,因此理论上支持XDP的英特尔Core, Core 2 Duo, Nehalem, Sandy Bridge等架构处理器都可能成为GODSURGE的受害者。 DELL PowerEdge 1950和2950服务器只是受害者代表,惨遭曝光。
|
|