Video: Tracking and Recovering Missing Devices with Absolute | Webinar Preview (Oktober 2024)
I følge en kaspersky Lab-forsker kan en populær tyveri-programvare installert på bærbare datamaskiner fra stort sett alle store datamaskinprodusenter brukes av angripere til å kapre datamaskiner.
Absolute Software hevder at Computrace-produktet hjelper organisasjoner med å spore og sikre sine endepunkter. Når det gjelder Kaspersky Lab, kan verktøyet brukes av angripere til å overvåke og kontrollere disse maskinene eksternt, og til og med tørke all informasjon fra datamaskinen.
"Det er tydelig at hvis det er mange datamaskiner med Computrace-agenter som kjører, er det produsentens ansvar å varsle brukere og forklare hvordan programvaren kan deaktiveres og deaktiveres, " sa Vitaly Kamluk, en hoved sikkerhetsforsker ved Kasperksy Lab.
Kamluk fortalte deltakerne på forrige ukes Kaspersky Lab Security Analyst Summit at han ble overrasket over å finne Computrace på sin bærbare datamaskin til tross for at han aldri hadde kjøpt eller installert noe fra Absolute Software. Han er ikke den eneste, ettersom det er andre rapporter fra brukere på nettet "som hevdet at de fant dem på maskinene sine, og at de aldri hadde kjøpt Absolute, " sa han
Computrace på innsiden
Computrace ser ut til å komme forhåndsinstallert på et dusin store bærbare produsenter, inkludert Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu og Gamatech. Siden det er ment å brukes som et tyverisikringsverktøy, blir det hvitelistet av store antivirus-leverandører, slik at de fleste brukere aldri har noen anelse om at programvaren er på maskinene sine. "Alle selskaper ser det som et legitimt produkt, " sa Anibal Sacco, medgründer og forsker ved Cubica Labs som først analyserte Computrace tilbake i 2009 mens han var i Core Security Technologies.
Agenten er bosatt i firmware, så det spiller ingen rolle hvilket operativsystem du kjører, eller hva slags sikkerhetsbeskyttelse du har. Den er innebygd i maskinvaren og er vanskelig å fjerne. De fleste forhåndsinstallerte programvare kan fjernes eller deaktiveres permanent av brukeren, men Computrace er designet for å overleve profesjonell systemopprydding og til og med erstatning av harddisker.
I følge statistikk levert av Kasperskys sikkerhetsnettverk er det omtrent 150 000 brukere som har Computrace-agenten som kjører på sine maskiner, noe som betyr at antall brukere over hele verden med Computrace aktivt kan overstige 2 millioner. De fleste av disse datamaskinene er lokalisert i USA og Russland, sa Kaspersky Lab.
Problematisk atferd
Mens Computrace er kommersiell programvare designet for å gjøre det bra, bruker det mange av de samme triksene som malware, inkludert bruk av anti-debugging og anti-reverse engineering teknikker, injisere minne i andre prosesser og kryptere konfigurasjonsfiler. Sacco beskrev verktøyet som en "latent verktøysett" og bemerket at Windows-agenten ikke har noen autentisering av noe slag. Computrace kommuniserer med serverne på Absolute Software over en ukryptert kanal og lagrer informasjon som ikke er kryptert. Nettverksprotokollen kan brukes til ekstern kjøring av kode og er sårbar for misbruk, advarte Sacco.
Kaspersky Lab sa at kryptering ser ut til å være lagt til nettverksprotokollen på et senere stadium av kommunikasjon, men at angriperne fremdeles kan dra nytte av de ukrypterte komponentene for ekstern kapring av systemet. Kamluk sa at Computrace kan brukes til å installere spyware på endepunktene, omdirigere all trafikk fra en datamaskin som kjører Small Agent til angriperens vert via ARP-forgiftning, og starte et DNS-tjenesteangrep for å lure agenten til å koble til en falsk C & C-server, til nevn noen få.
"Det er et stort problem med dette, " sa Sacco til de fremmøtte.
Ikke noe problem her?
Absolute Software CTO, Phil Gardner, kritiserte Kaspersky-forskningen som "feil" og sa at den hadde "tvilsom teknisk fortjeneste." Absolute Software sa at Computrace bruker kryptering og autentisering til serveren, noe som vil forhindre de angrepstyper Kamluk advarte om. Agenten vil ikke kommunisere med en server med mindre den er autorisert, og "vil bare kommunisere med gjensidig autentisering av serveren og klienten, " sa Gardner.
Før en angriper kan bruke Computrace ondsinnet, må sluttpunktet bli kompromittert. "Hindringene for å montere et slikt angrep er betydelige og er ikke oppnåelige via mekanismen som er beskrevet i Kaspersky-rapporten, " sa Absolute Software i en FAQ.
Likevel, hvis du ikke liker ideen om noe som kjører på datamaskinen du ikke vet om, kan du følge instruksjonene fra Kaspersky Lab for å finne og deaktivere Computrace.
Kapring og tørk
Kamluk demonstrerte et bevis-of-concept på toppmøtet som viste hvordan en angriper kunne sette i gang et midt-angrep mot en maskin der Computrace ble installert. Angriperen kunne late som om han var en server fra Absolute Software og endre minne i offerets maskin.
"Alle som har makten til å kontrollere Internett-tilkoblingen din, kan gjøre det samme - for eksempel en regjering eller en ISP, " sa Kamluk.
Kaspersky Lab sier at det ikke har noe bevis for at Absolute Computrace til nå har blitt brukt i angrep. Absolute Software må bruke autentisering og kryptering for å sikre Computrace slik at den ikke kan misbrukes, sa Kamluk.
Under Kamluks presentasjon, kunne flere deltagere bli sett på å sjekke BIOS for å se om Computrace var til stede på datamaskinene deres. Mot slutten av presentasjonen var spenningen i rommet nesten håndgripelig, ettersom mange av de fremmøtte skjønte hvor utbredt Computrace var, og at de ikke engang var klar over dens tilstedeværelse på maskinene sine. Det var også urovekkende hvor mange av dem som ble aktivert som standard.
