等式组HDD固件恶意软件如何帮助绕过FDE？

Question

目前在互联网上有很多关于恶意硬盘驱动器固件的“等式组”系列的讨论。

我想知道的一件事是，恶意HDD固件能够访问任何正在运行的全磁盘加密方案的详细信息。例如，我们有一个美国国家安全局的固件黑客是如何工作的，为什么它如此令人不安，连线，它部分地声明(这里引用固件EEPROM中未使用的部分)：

“考虑到他们的GrayFish植入在系统启动时是活跃的，他们有能力捕获加密密码并将其保存到这个隐藏区域，”Costin Raiu，卡巴斯基全球研究和分析小组主任说。

也许我错过了一些显而易见的东西，但我不明白这是怎么回事。我在这里可以看到两种情况：

• 微软视窗，已启用位锁。固件加载程序显然是一个Windows可执行文件，Windows是一个常见的操作系统，因此您可以使用“开箱即用”代码。
• 还有一些带有FDE的操作系统，比如或FreeBSD与GEOM。至少，它们不会立即受到Windows二进制文件的影响。

当使用全磁盘加密时，存储设备(无论是HDD、SSD、软盘还是其他任何设备)负责保存加密的比特。某些报头已知存在于不同的FDE方案中，它们通常包含关键材料，并且可以根据神奇的数字或磁盘上的位置来推测，但是肉类部分在到达存储设备时是加密的。

存储设备的固件如何有意义地颠覆正确实现的全磁盘加密，其中存储设备只在读和写命令中看到加密的数据？

我能看到的唯一真正的可能性是，如果存储设备固件可能通过利用DMA来影响系统的其他部分，但是CPU的内存管理器不会介入吗？或者DMA总是在监督模式下完成(英特尔术语中的0环)？这似乎打开了一个完全不同的蠕虫罐。

让我们假设这里有一个相当典型的FDE设置: BIOS或UEFI，它传递给一个小型的未加密引导程序，它提示用户输入密码，并在驻留时继续初始化密码系统状态，然后拦截磁盘I/O，并在操作系统的正常I/O层和存储设备本身之间进行加密/解密。所有的“方式”，把技术实现细节放在一边，除非它们与回答主要问题直接相关。

Answer 1

这相当于邪恶的女佣攻击，这种攻击会使(未加密的)引导加载程序在下次启动计算机时捕获FDE密码。

这假设引导加载程序保持在相同的驱动器上。如果情况并非如此(例如，如果您将引导加载程序保持在可移动驱动器上)，并且显式地将计算机配置为不从主硬盘启动(至于不执行安装在其上的潜在恶意代码)，则此攻击将无法工作。

默认情况下，使用LUKS和Bitlocker，驱动器的一小部分未加密，FDE感知的引导加载程序驻留在其中，并在每次引导时执行；因此驱动器不仅仅是保护加密的比特。TPM可以通过在发出密钥之前验证引导加载程序的完整性(散列)来帮助减轻这种情况，而且Bitlocker默认利用了这一点。对于LUKS，不支持TPM，但存在一些解决方案，比如TrustedGRUB (用于实际扩展信任链)和tpm-luks，用于从TPM保存和检索LUKS密钥。

Answer 2

我可以想象固件被重新配置为在MOBO上显示一个“备用”块，以便启动(首先在为隐藏扇区编写rootkit之后)，然后在rootkit进入内存之后，链接加载应该是“真正的”引导扇区(即包含加密的磁盘引导加载程序的扇区)。

在这里阅读一下石制的引导工具包：http://www.stoned-vienna.com/ --如果攻击者破坏了操作系统，并且可以安装固件黑客来完成这一任务，那么攻击就是一件简单的事情。实际上，所有固件添加的都是持久化。

我不知道UEFI等更现代的引导环境会如何运作，但我再次怀疑NSA攻击的时间早于大规模(也就是Windows 8时代)的采用。

如果安全人员能够获得这些驱动器中的一个，并查看例如，让磁盘加密引导加载器从USB或CDROM加载是否可以避免这种情况，那就太好了。

我可以想到的另一件事是，让固件放置一个引导包，它只会扫描键盘缓冲区，查找一定长度的刺，然后返回回车，然后将它们存储在磁盘维护轨道中。或者它只是简单地坐在那里扫描内存，直到它找到一些AES密钥并将它们写入存储。

关键是它是拥有一个系统的一种持久方式，一旦发生这种情况(环零访问婴儿)，所有的赌注都被取消，一系列相当广泛的攻击是可能的。