Видео: Computrace (Октября 2024)
По словам исследователя из Лаборатории Касперского, злоумышленники могут использовать популярное противоугонное программное обеспечение, установленное на ноутбуках практически всех крупных производителей компьютеров для взлома компьютеров.
Absolute Software утверждает, что ее продукт Computrace помогает организациям отслеживать и защищать свои конечные точки. Что касается «Лаборатории Касперского», злоумышленники могут использовать этот инструмент для удаленного мониторинга и управления этими машинами, а также для удаления всей информации с компьютера.
«Понятно, что если на компьютере запущено много компьютеров с агентами Computrace, производитель обязан уведомить пользователей и объяснить, как можно деактивировать и отключить программное обеспечение», - сказал Виталий Камлюк, главный исследователь безопасности в Лаборатории Касперского.
Камлук рассказал участникам на саммите аналитиков Лаборатории Касперского на прошлой неделе, что он был удивлен, обнаружив Computrace на своем домашнем ноутбуке, несмотря на то, что он никогда не покупал и не устанавливал что-либо из Absolute Software. Он не единственный, поскольку есть другие сообщения от пользователей онлайн, утверждающих, что они нашли их на своих машинах, и они никогда не покупали Absolute, сказал он
Computrace Inside
Похоже, что Computrace предустановлен на десятке крупных производителей ноутбуков, включая Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu и Gamatech. Поскольку оно предназначено для использования в качестве средства защиты от краж, оно заносится в белый список основными поставщиками антивирусных программ, поэтому большинство пользователей никогда не подозревают, что программное обеспечение установлено на их компьютерах. «Все компании рассматривают его как законный продукт», - говорит Анибал Сакко, соучредитель и исследователь Cubica Labs, которая впервые проанализировала Computrace еще в 2009 году, работая в Core Security Technologies.
Агент находится в микропрограммном обеспечении, поэтому не имеет значения, какую операционную систему вы используете, и какие у вас есть средства защиты. Он встроен прямо в аппаратное обеспечение и его трудно удалить. Большинство предустановленного программного обеспечения может быть навсегда удалено или отключено пользователем, но Computrace предназначен для профессиональной очистки системы и даже замены жесткого диска.
Согласно статистике, предоставленной Kaspersky Security Network, примерно 150 000 пользователей имеют на своих машинах агент Computrace, что означает, что число пользователей во всем мире с активным Computrace может превышать 2 миллиона. Лаборатория Касперского сообщила, что большинство этих компьютеров находятся в США и России.
Проблемное поведение
Хотя Computrace является коммерческим программным обеспечением, предназначенным для добрых дел, он использует многие из тех же приемов, что и вредоносные программы, в том числе использование методов устранения отладки и обратного инжиниринга, внедрения памяти в другие процессы и шифрования файлов конфигурации. Sacco описал инструмент как «скрытый инструментарий» и отметил, что агент Windows не имеет никакой аутентификации. Computrace связывается с серверами в Absolute Software по незашифрованному каналу и хранит информацию в незашифрованном виде. Sacco предупредил, что сетевой протокол может использоваться для удаленного выполнения кода и уязвим для злоупотреблений.
«Лаборатория Касперского» говорит, что шифрование, по-видимому, добавляется к сетевому протоколу на более позднем этапе обмена данными, но злоумышленники могут использовать незашифрованные компоненты для удаленного взлома системы. Камлук сказал, что Computrace можно использовать для установки шпионских программ на конечных точках, перенаправления всего трафика с компьютера, на котором запущен Small Agent, на хост атакующего посредством ARP-отравления, и запуска атаки службы DNS, чтобы заставить агента подключиться к поддельному серверу C & C, чтобы назвать несколько.
«С этим есть большая проблема», - сказал Сакко участникам.
Здесь нет проблем?
Технический директор Absolute Software Фил Гарднер раскритиковал исследование Kaspersky как «ошибочное» и сказал, что оно «имеет сомнительную техническую ценность». Absolute Software сообщает, что Computrace использует шифрование и аутентификацию на сервере, что предотвратит атаки, о которых предупреждал Камлук. Агент не будет связываться с сервером, если он не авторизован, и «будет связываться только с взаимной аутентификацией сервера и клиента», сказал Гарднер.
Прежде чем злоумышленник может использовать Computrace злонамеренно, конечная точка должна быть взломана. «Препятствия для проведения такой атаки значительны и не достижимы с помощью механизма, описанного в отчете Kaspersky», - говорится в FAQ.
Тем не менее, если вам не нравится идея о том, что на вашем компьютере что-то работает, о чем вы не знаете, вы можете следовать инструкциям «Лаборатории Касперского», чтобы найти и отключить Computrace.
Угнать и стереть
На саммите Камлук продемонстрировал концептуальное доказательство того, как злоумышленник может начать атаку «человек посередине» против машины, на которой установлен Computrace. Злоумышленник может выдать себя за сервер от Absolute Software и изменить память на компьютере жертвы.
«Любой, кто может контролировать ваше интернет-соединение, может сделать то же самое - например, правительство или интернет-провайдер», - сказал Камлюк.
«Лаборатория Касперского» утверждает, что у нее нет доказательств того, что Absolute Computrace использовалась в атаках до настоящего времени. По словам Камлука, Absolute Software должна использовать аутентификацию и шифрование для защиты Computrace, чтобы им нельзя было злоупотреблять.
Во время презентации Камлюка можно было увидеть нескольких участников, которые проверяли свои BIOS, чтобы увидеть, присутствует ли Computrace на их компьютерах. К концу презентации напряжение в комнате стало почти ощутимым, так как многие из присутствующих поняли, насколько широко распространена Computrace, и что они даже не знали о ее присутствии на своих машинах. Также беспокоило, сколько из них было включено по умолчанию.
