Video: Computrace Backdoor Revisited (Oktober 2024)
Ifølge en kaspersky Lab-forsker kan en populær tyverisoftware, der er installeret på bærbare computere fra stort set enhver større computerproducent, bruges af angribere til at kapre computere.
Absolute Software hævder, at Computrace-produktet hjælper organisationer med at spore og sikre deres slutpunkter. For så vidt angår Kaspersky Lab, kan værktøjet bruges af angribere til fjernovervågning og kontrol af disse maskiner og endda udslette alle oplysninger fra computeren.
"Det er klart, at hvis der er en masse computere, der kører Computrace-agenter, er det producentens ansvar at underrette brugerne og forklare, hvordan softwaren kan deaktiveres og deaktiveres, " sagde Vitaly Kamluk, en vigtig sikkerhedsforsker ved Kasperksy Lab.
Kamluk fortalte deltagerne på sidste uges Kaspersky Lab Security Analyst-topmøde, at han var overrasket over at finde Computrace på sin bærbare computer, selvom han aldrig havde købt eller installeret noget fra Absolute Software. Han er ikke den eneste, da der er andre rapporter fra brugere online "der hævder, at de fandt dem på deres maskiner, og at de aldrig havde købt Absolute, " sagde han
Computrace inde
Computrace ser ud til at være forinstalleret på et dusin større bærbare producenter, herunder Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu og Gamatech. Da det er beregnet til at blive brugt som et tyverisikringsværktøj, hvidlistes det af store antivirus-leverandører, så de fleste brugere har aldrig nogen idé om, at softwaren findes på deres maskiner. "Alle virksomheder ser det som et legitimt produkt, " sagde Anibal Sacco, medstifter og forsker ved Cubica Labs, der først analyserede Computrace tilbage i 2009, mens han var i Core Security Technologies.
Agenten er bosiddende i firmwaren, så det betyder ikke noget, hvilket operativsystem du kører, eller hvilken slags sikkerhedsbeskyttelse du har. Den er indlejret lige i hardwaren og er vanskelig at fjerne. De fleste forudinstallerede software kan fjernes eller deaktiveres permanent af brugeren, men Computrace er designet til at overleve professionel systemoprydning og endda udskiftning af harddisk.
I henhold til statistikker leveret af Kasperskys sikkerhedsnetværk er der cirka 150.000 brugere, der har Computrace-agenten kørende på deres maskiner, hvilket betyder, at antallet af brugere verden over med Computrace aktivt kan overstige 2 millioner. Størstedelen af disse computere er placeret i USA og Rusland, sagde Kaspersky Lab.
Problematisk opførsel
Mens Computrace er kommerciel software designet til at gøre godt, anvender det mange af de samme tricks som malware, herunder anvendelse af anti-debugging og anti-reverse engineering teknikker, indsprøjtning af hukommelse i andre processer og kryptering af konfigurationsfiler. Sacco beskrev værktøjet som et "latent værktøjssæt" og bemærkede, at Windows-agenten ikke har nogen godkendelse af nogen art. Computrace kommunikerer med serverne på Absolute Software via en ikke-krypteret kanal og gemmer information u krypteret. Netværksprotokollen kan bruges til fjernudførelse af kode og er sårbar over for misbrug, advarede Sacco.
Kaspersky Lab sagde, at kryptering ser ud til at blive føjet til netværksprotokollen på et senere kommunikationsstadium, men at angribere stadig kan drage fordel af de ikke-krypterede komponenter til ekstern kapring af systemet. Kamluk sagde, at Computrace kunne bruges til at installere spyware på endepunkterne, omdirigere al trafik fra en computer, der kører Small Agent til angriberens vært via ARP-forgiftning, og starte et DNS-serviceangreb for at narre agenten til at oprette forbindelse til en falsk C & C-server, til nævne nogle få.
"Der er et stort problem med dette, " fortalte Sacco de deltagende.
Intet problem her?
Absolute Softwares CTO, Phil Gardner, kritiserede Kaspersky-forskningen som "mangelfuld" og sagde, at den havde "tvivlsom teknisk fortjeneste." Absolute Software sagde, at Computrace bruger kryptering og godkendelse til serveren, hvilket ville forhindre de typer angreb, som Kamluk advarede om. Agenten kommunikerer ikke med en server, medmindre den er autoriseret, og "vil kun kommunikere med gensidig autentificering af serveren og klienten, " sagde Gardner.
Før en angriber kan bruge Computrace ondsindet, skal slutpunktet kompromitteres. "Hindringerne for at montere et sådant angreb er betydelige og kan ikke opnås via den mekanisme, der er skitseret i Kaspersky-rapporten, " sagde Absolute Software i en FAQ.
Ikke desto mindre, hvis du ikke kan lide ideen om noget, der kører på din computer, som du ikke kender til, kan du følge instruktionerne fra Kaspersky Lab for at finde og deaktivere Computrace.
Kapring og tør
Kamluk demonstrerede et bevis-of-concept på topmødet, der viste, hvordan en angriberen kunne starte et mand-i-midten-angreb mod en maskine, hvor Computrace blev installeret. Angriberen kunne foregive at være en server fra Absolute Software og ændre hukommelse i offerets maskine.
"Enhver, der har magten til at kontrollere din internetforbindelse, kunne gøre det samme - f.eks. En regering eller en internetudbyder, " sagde Kamluk.
Kaspersky Lab siger, at det ikke har noget bevis for, at Absolute Computrace indtil videre er blevet brugt i angreb. Den absolutte software skal bruge godkendelse og kryptering for at sikre Computrace, så det ikke kan misbruges, sagde Kamluk.
Under Kamluks præsentation kunne man se flere deltagere kontrollere deres BIOS for at se, om Computrace var til stede på deres computere. Ved afslutningen af præsentationen var spændingen i rummet næsten håndgribelig, da mange af de deltagende opdagede, hvor vidt Computrace var, og at de ikke engang var klar over dens tilstedeværelse på deres maskiner. Det var også foruroligende, hvor mange af dem som standard blev aktiveret.
