Video: Computrace Backdoor Revisited (Oktober 2024)
Po besedah raziskovalca laboratorija kaspersky lahko napadalci za ugrabitev računalnikov uporabijo priljubljeno programsko opremo proti kraji, nameščeno na prenosnih računalnikih od skoraj vsakega večjega proizvajalca računalnikov.
Absolute Software trdi, da izdelek Computrace pomaga organizacijam slediti in zavarovati njihove končne točke. Kar zadeva laboratorij Kaspersky, lahko napadalci to orodje uporabljajo za daljinsko spremljanje in nadzor teh strojev ter celo obrišejo vse podatke iz računalnika.
"Jasno je, da če je na voljo veliko računalnikov z agenti Computrace, mora proizvajalec obvestiti uporabnike in razložiti, kako je mogoče programsko opremo deaktivirati in onemogočiti, " je dejal Vitaly Kamluk, glavni raziskovalec varnosti v laboratoriju Kasperksy.
Kamluk je udeležencem na vrhu Kaspersky Lab Security Security analit povedal, da je presenečen, ker je našel Computrace na svojem prenosnem računalniku, čeprav od Absolute Software nikoli ni kupil ali namestil ničesar. Ni edini, saj obstajajo tudi druga poročila uporabnikov na spletu, "ki trdijo, da so jih našli na svojih strojih in da nikoli niso kupili Absolute", je dejal
Computrace v notranjosti
Zdi se, da je Computrace že vnaprej nameščen na ducat večjih proizvajalcev prenosnih računalnikov, med katerimi so Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu in Gamatech. Ker naj bi ga uporabljali kot protivlomno orodje, je na seznamu največjih prodajalcev protivirusnih programov, tako da večina uporabnikov nikoli ne ve, da je programska oprema na njihovih računalnikih. "Vsa podjetja vidijo kot zakonit izdelek, " je dejal Anibal Sacco, soustanovitelj in raziskovalec v Cubica Labs, ki je Computrace prvič analiziral že leta 2009, medtem ko je bil pri Core Security Technologies.
Agent prebiva v programski opremi, zato ni pomembno, kateri operacijski sistem imate zagnan, ali kakšne varnostne zaščite imate. Vgrajena je prav v strojno opremo in jo je težko odstraniti. Večino vnaprej nameščene programske opreme lahko uporabnik trajno odstrani ali onemogoči, a Computrace je zasnovan tako, da preživi profesionalno čiščenje sistema in celo zamenjavo trdega diska.
Po statističnih podatkih Varnostne mreže Kasperskyja ima približno 150.000 uporabnikov, ki imajo na svojih računalnikih agent Computrace, kar pomeni, da lahko število uporabnikov po vsem svetu z dejavnostjo Computrace preseže 2 milijona. Večina teh računalnikov se nahaja v ZDA in Rusiji, je dejal Kaspersky Lab.
Problematično vedenje
Medtem ko je Computrace komercialna programska oprema, namenjena dobremu delu, uporablja številne iste trike kot zlonamerna programska oprema, vključno z uporabo tehnik za odpravljanje napak in proti obratno inženirsko tehniko, vstavljanje pomnilnika v druge procese in šifriranje konfiguracijskih datotek. Sacco je orodje opisal kot "latentni komplet orodij" in ugotovil, da agent Windows nima nobene pristnosti. Computrace komunicira s strežniki v podjetju Absolute Software po nezašifriranem kanalu in shranjuje podatke nekodirane. Omrežni protokol se lahko uporablja za izvajanje oddaljene kode in je izpostavljen zlorabam, je opozoril Sacco.
Kaspersky Lab je dejal, da se zdi, da je šifriranje omrežnemu protokolu dodano na poznejši stopnji komunikacije, vendar pa lahko napadalci še vedno izkoristijo nezašifrirane komponente, da na daljavo ugrabijo sistem. Kamluk je dejal, da bi lahko Computrace uporabili za nameščanje vohunske programske opreme na končnih točkah, preusmerili ves promet z računalnika, ki poganja Small Agent, do napadalčevega gostitelja prek zastrupitve z ARP in sprožili napad storitve DNS, da zavede agenta pri povezovanju s ponarejenim strežnikom C&C, ime nekaj.
"Tu je velika težava, " je udeležencem povedal Sacco.
Tukaj ni težav?
CTO absolutne programske opreme, Phil Gardner, je raziskavo Kasperskyja kritiziral kot "napačno" in dejal, da ima "dvomljive tehnične zasluge". Absolute Software pravi, da Computrace uporablja šifriranje in overjanje na strežniku, kar bi preprečilo vrste napadov, na katere je Kamluk opozoril. Agent ne bo komuniciral s strežnikom, če ni pooblaščen, in "bo komuniciral le z medsebojno avtentifikacijo strežnika in odjemalca, " je dejal Gardner.
Preden napadalec lahko zlonamerno uporablja Computrace, mora biti ogrožena končna točka. "Ovire za tak napad so velike in jih ni mogoče doseči z mehanizmom, ki je naveden v poročilu Kasperskega, " je v FAQ-ju zapisal Absolute Software.
Kljub temu, če vam ni všeč ideja, da se v računalniku nekaj poganja, o čemer ne veste, lahko sledite navodilom laboratorija Kaspersky in poiščete in onemogočite Computrace.
Ugrabimo in obrišemo
Kamluk je na vrhu pokazal dokazilo, kako je napadalec lahko izvedel napad človeka v sredini na stroj, v katerega je bil nameščen Computrace. Napadalec se lahko pretvarja, da je strežnik Absolute Software in spreminja pomnilnik v žrtvinem računalniku.
"Vsakdo, ki lahko nadzoruje vašo internetno povezavo, bi lahko storil enako - na primer vlada ali ponudnik internetnih storitev, " je dejal Kamluk.
Kaspersky Lab pravi, da nima dokazov, da je bil Absolute Computrace do danes uporabljen v napadih. Absluute Software mora za zaščito Computracea uporabiti avtentikacijo in šifriranje, da ga ni mogoče zlorabiti, je dejal Kamluk.
Med predstavitvijo Kamluka je bilo več udeležencev mogoče preveriti svoj BIOS, da bi videli, ali je Computrace prisoten na njihovih računalnikih. Na koncu predstavitve je bilo napetost v sobi skorajda občutljiva, saj so mnogi prisotni spoznali, kako razširjena je Computrace, in da se sploh niso zavedali njene prisotnosti na svojih strojih. Moteče je bilo tudi, koliko jih je bilo privzeto omogočenih.
