修改硬盘固件的木马 ——探索方程式（EQUATION）组织的攻击组件 安天实验室 首次发布时间：2015 年 03 月 05 日 10 时 00 分 本版本更新时间：2015 年 03 月 05 日 09 时 45 分 修改硬盘固件的木马 目 录 1 背景........................................................................................................................................................ 3 2 EQUATION 组织使用的组件 .................................................................................................................. 3 3 组件 DOUBLEFANTASY 分析 ................................................................................................................ 5 4 3.1 检测安全软件............................................................................................................................................................. 5 3.2 回传信息 ..................................................................................................................................................................... 5 3.3 通讯协议 ..................................................................................................................................................................... 6 3.4 新的版本、C&C、密钥 ........................................................................................................................................... 6 组件 EQUATIONDRUG 分析 ................................................................................................................. 8 4.1 检测安全软件............................................................................................................................................................. 9 4.2 驱动模块 MSNDSRV.SYS 分析 ............................................................................................................................ 10 5 组件 GRAYFISH 分析 ........................................................................................................................... 12 6 硬盘固件重新编程模块 NLS_933W.DLL 分析 ....................................................................................... 13 7 攻击硬盘固件的机理分析 ...................................................................................................................... 16 8 7.1 硬盘的结构和工作原理 .......................................................................................................................................... 16 7.2 硬盘的信息安全脆弱性 .......................................................................................................................................... 18 小结...................................................................................................................................................... 20 附录一：参考资料 ........................................................................................................................................ 22 附录二：事件日志 ........................................................................................................................................ 22 附录三：关于安天 ........................................................................................................................................ 22 ©安天实验室 版权所有，欢迎无损转载 第2页 修改硬盘固件的木马 1 背景 2015 年 2 月 18 日，安天实验室根据紧急研判，对被友商称为“方程式（Equation）”的攻击组织所使 用的攻击组件，开始了初步的分析验证。后于 2 月 25 日正式组建了跨部门联合分析小组，于 3 月 4 日形 成本报告第一版本。 事件相关背景为：卡巴斯基安全实验室在 2 月 16 日起发布系列报告（以下简称“友商报告”） ，披露 了一个可能是目前世界上存在的最复杂的网络攻击组织——“方程式”组织（Equation Group）[1]。据卡巴 斯基实验室称，该组织使用的 C&C 早在 1996 年就被注册，这暗示了该组织可能已经活跃了 20 年之久。 多年以来，他们因总能比其他组织早发现漏洞，从而具有绝对的优势。该组织拥有一套用于植入恶意代码 的超级制式信息武器库（在友商报告中披露了其中 6 个） ，其中包括两个可以对数十种常见品牌的硬盘固 件重编程的恶意模块，这可能是该组织掌握的最具特色的攻击武器，同时也是首个已知的能够感染硬盘固 件的恶意代码。在 2 月 17 日和 2 月 19 日的友商报告中，先后发布了其中 2 个模块的详细分析结果，它们 分别是 Fanny[2]和 DoubleFantasy[3]。卡巴斯基根据相关线索分析，认为被攻击目标包括俄罗斯、印度、中 国等国家，而相关媒体根据卡巴斯基的报告，推断出该攻击组织可能与美国情报机构相关。 鉴于样本的复杂性，以及攻击硬盘固件的特殊特点，分析进展极为缓慢，目前将有限的分析工作对外 分享，旨在推动更多的业内参与协作。同时对友商报告中已经充分论述的内容，本报告未作更多引用和重 复。因此建议读者先阅读友商报告，再阅读本报告以给予批评指正。 2 Equation 组织使用的组件 Equation 组织的被发现的武器库中至少有 6 件“装备” ，它们是：EquationLaser、EquationDrug、 DoubleFantasy、TripleFantasy、Fanny 和 GrayFish。安天的工程师称其为“组件”。除了这 6 个组件外，友商 报告还提供了该组织有可能用到的其它恶意代码程序的哈希，这些哈希对应的程序包括：与 EquationDrug 相似的 EQUESTRE、键盘记录器程序 GROK keylogger、DoubleFantasy 安装程序和 LNK 漏洞利用程序 _SD_IP_CF.dll，以及需要重点关注的能够对硬盘重新编程的模块 nls_933w.dll。 组件名称 说明 时间 EquationLaser Equation 组织早期使用的植入程序，大约在 2001 至 2004 年间 2001-2003 被使用。兼容 Windows 95/98 系统。 EquationDrug 该组织使用的一个非常复杂的攻击组件，用于支持能够被攻击 2003-2013 ©安天实验室 版权所有，欢迎无损转载 第3页 修改硬盘固件的木马 者动态上传和卸载的模块插件系统。怀疑是 EquationLaser 的升 级版。 DoubleFantasy 一个验证式的木马，旨在确定目标为预期目标。如果目标被确 2004-2012 认，那么已植入恶意代码会升级到一个更为复杂的平台，如 EQUATIONDRUG 或 GRAYFISH。 TripleFantasy 全功能的后门