APT之特种木马检测(3) - APT防御产品

APT之特种木马检测(3)

BIOS木马

 DEITYBOUNCE,提供一个软件应用利用主板的BIOS和利用系统管理模块(System Management Mode)的漏洞驻留在Dell的PowerEdge服务器上。
SWAP,可利用刷新BIOS的方法注入可执行代码到主板BIOS中去,在操作系统启动过程中激活并插入控制代码跟随运行。

受影响的包括Dell:
PowerEdge1850/2850/1950/2950

BIOS版本为:
A02、A05、A06的1.1.0、1.2.0或1.3.7

操作系统支持:
Windows、Linux、FreeBSD、Solaris

文件系统支持:
Fat32、NTFS、EXT2、EXT3、UFS 1.0

通过远程接入或者interdiction的方式,ARKSTREAM在目标机器上对BIOS重新刷新,以实现deitybounce和加载payload,这里所说的interdiction实现方式,可能是通过非技术手段的让目标插入U盘,从而受感染。一旦deitybounce部署完,它就可配置而且在目标机器启动的时候运行

硬盘木马

 IRATMONK,隐藏于硬盘Firmware固件中,通过MBR获取执行权限。能够对台式电脑、笔记本电脑进行持久性控制。

支持品牌:Seagate希捷、Maxtor迈拓、Samsung三星、Western Digital西部数码

硬盘Firmware固件除存放在硬盘EROM或EPROM(可编程只读存储器)中之外,还有部分数据保存在负磁道上,可用专业工具升级更新。

负磁道CI 硬件信息          
- FI生产厂家信息
- WE写错误记录表
- RE读错误记录表
- SI容量设定
- ZP区域分配信息

PL永久缺陷表
- TS缺陷磁道表
- HS实际物理磁头数及排列顺序
- SM最高级加密状态及密码
- SU用户级加密状态及密码

支持没有使用RAID的硬盘
硬盘Firmware固件除存放在硬盘EROM或EPROM(可编程只读存储器)中之外,还有部分数据保存在负磁道上,可用专业工具升级更新。




转载请注明出处 APT防御产品 » APT之特种木马检测(3)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址