间谍器材之“上帝汹涌”，戴尔PowerEdge服务器成为最大受害者

https://www.toutiao.com/article/7274945523110281785/?log_from=0dfc3d2eda13_1694801363509

引言

仔细品味美国国家安全局（NSA）给其先进网络技术部（ANT）的间谍器材取的代号，还真都挺有意思的。比如之前提到的“HOWLERMONKEY”，中文直译为“吼猴”，猴子叫传不了多远，所以“吼猴”是一款无线近距离通信模块。本篇文章，要讲的是代号“GODSURGE”的软件木马，中文直译为“上帝汹涌”，它能够直接操控服务器的处理器，实现“上帝般无所不能”的功能，确实名如其物。

代号“吼猴”的ANT模块

“GODSURGE”（上帝汹涌）

根据资料页，GODSURGE是一款木马软件，通过对服务器处理器的JTAG调试接口的利用，GODSURGE能够运行在FLUXBABBITT硬件木马上，在戴尔PowerEdge服务器上提供软件应用程序持久性后门。

代号“GODSURGE”的ANT资料页

此技术支持使用至强5100和5300处理器的Del PowerEdge 1950和2950服务器。

戴尔1950服务器

戴尔2950服务器

想要突破拦截，必须将JTAG扫描链重新连接到目标系统上，方法是从机箱中卸下主板，然后将空置的部件（指的是FLUXBABBITT）装回电路板。完成此步骤后，FLUXBABBITT硬件木马就连接到主板上了。FLUXBABBITT木马应该已经用GODSURGE应用程序代码及其载荷（木马安装程序）编程。木马植入后，GODSURGE的执行频率（释放有效负载）是可配置的，每次目标机器开机时就会执行。

FLUXBABBITT

那么，与GODSURGE配套使用的FLUXBABBITT硬件木马到底是什么呢？GODSURGE资料页中给出了其在戴尔PowerEdge 1950和2950上的形态。

PowerEdge 1950植入的FLUXBABBITT硬件

PowerEdge 2950植入的FLUXBABBITT硬件

搜索FLUXBABBITT相关信息，可以发现它是一个相当聪明的间谍器材。它利用的是英特尔处理器的“XDP”（extended Debug Port）端口--一个类似JTAG端口的调试接口。实际上，XDP端口不是一个标准的JTAG端口，它甚至没有特定的标准。通过XDP端口可以访问英特尔处理器的寄存器、查看和编辑内存的内容，发起总线读写操作。

空置的XDP端口（网图）

想象一下，在系统的启动阶段，如果GODSURGE通过FLUXBABBITT向特定位置的内存中注入恶意代码，就会直接影响系统的安全。

小结

根据GODSURGE的工作原理--通过FLUXBABBITT硬件，恶意利用英特尔处理器的XDP调试接口，因此理论上支持XDP的英特尔Core, Core 2 Duo, Nehalem, Sandy Bridge等架构处理器都可能成为GODSURGE的受害者。 DELL PowerEdge 1950和2950服务器只是受害者代表，惨遭曝光。如果真的如此疯狂，恐怕GOD也无法保佑美国了！#秋日生活打卡季#