通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  二级通信军士

注册:2008-3-2118
发表于 2023-11-14 11:35:41 |显示全部楼层
间谍器材之“上帝汹涌”,戴尔PowerEdge服务器成为最大受害者

仔细品味美国国家安全局(NSA)给其先进网络技术部(ANT)的间谍器材取的代号,还真都挺有意思的。比如之前提到的“HOWLERMONKEY”,中文直译为“吼猴”,猴子叫传不了多远,所以“吼猴”是一款无线近距离通信模块。本篇文章,要讲的是代号“GODSURGE”的软件木马,中文直译为“上帝汹涌”,它能够直接操控服务器的处理器,实现“上帝般无所不能”的功能,确实名如其物。

根据资料页,GODSURGE是一款木马软件,通过对服务器处理器的JTAG调试接口的利用,GODSURGE能够运行在FLUXBABBITT硬件木马上,在戴尔PowerEdge服务器上提供软件应用程序持久性后门。

此技术支持使用至强5100和5300处理器的Del PowerEdge 1950和2950服务器。

想要突破拦截,必须将JTAG扫描链重新连接到目标系统上,方法是从机箱中卸下主板,然后将空置的部件(指的是FLUXBABBITT)装回电路板。完成此步骤后,FLUXBABBITT硬件木马就连接到主板上了。FLUXBABBITT木马应该已经用GODSURGE应用程序代码及其载荷(木马安装程序)编程。木马植入后,GODSURGE的执行频率(释放有效负载)是可配置的,每次目标机器开机时就会执行。

搜索FLUXBABBITT相关信息,可以发现它是一个相当聪明的间谍器材。它利用的是英特尔处理器的“XDP”(extended Debug Port)端口--一个类似JTAG端口的调试接口。实际上,XDP端口不是一个标准的JTAG端口,它甚至没有特定的标准。通过XDP端口可以访问英特尔处理器的寄存器、查看和编辑内存的内容,发起总线读写操作。

根据GODSURGE的工作原理--通过FLUXBABBITT硬件,恶意利用英特尔处理器的XDP调试接口,因此理论上支持XDP的英特尔Core, Core 2 Duo, Nehalem, Sandy Bridge等架构处理器都可能成为GODSURGE的受害者。 DELL PowerEdge 1950和2950服务器只是受害者代表,惨遭曝光。

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

Archiver|手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-2-29 00:10 , Processed in 0.077734 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部