Видео: unboxing turtles slime surprise toys learn colors (Ноември 2024)
Според изследовател на лабораторията Kaspersky, популярен софтуер за кражба, инсталиран на лаптопи от почти всеки основен производител на компютри, може да бъде използван от нападателите за отвличане на компютри.
Absolute Software твърди, че продуктът на Computrace помага на организациите да проследяват и осигуряват своите крайни точки. Що се отнася до лабораторията на Kaspersky, инструментът може да бъде използван от нападателите за дистанционно наблюдение и контрол на тези машини и дори да изтрие цялата информация от компютъра.
"Ясно е, че ако има много компютри с работещи агенти на Computrace, отговорност на производителя е да уведомява потребителите и да обяснява как софтуерът може да бъде деактивиран и деактивиран", казва Виталий Камлук, главен изследовател по сигурността в лабораторията на Kasperksy.
Камлук каза на присъстващите на срещата на върха на лабораторията по сигурността на лабораторията Kaspersky, че е изненадан, че намери Computrace на домашния си лаптоп, въпреки че никога не е купувал или инсталирал нещо от Absolute Software. Той не е единственият, тъй като има други доклади от потребители онлайн, "които твърдят, че са ги намерили на своите машини и те никога не са закупували Absolute", каза той
Computrace вътре
Изглежда, че Computrace идва предварително инсталиран на десетина основни производители на лаптопи, включително Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu и Gamatech. Тъй като той е предназначен да се използва като средство против кражба, той е включен в бели списъци от основните антивирусни доставчици, така че повечето потребители никога не имат представа, че софтуерът е на техните машини. „Всички компании го разглеждат като легитимен продукт“, казва Анибал Сако, съосновател и изследовател в Cubica Labs, който за първи път анализира Computrace през 2009 г., докато беше в Core Security Technologies.
Агентът се намира във фърмуера, така че няма значение каква операционна система използвате или какви защитни мерки имате. Той е вграден точно в хардуера и е трудно да се премахне. Повечето предварително инсталиран софтуер може да бъде премахнат или деактивиран за постоянно от потребителя, но Computrace е предназначен да оцелее при професионално почистване на системата и дори подмяна на твърд диск.
Според статистиката, предоставена от защитната мрежа на Kaspersky, има приблизително 150 000 потребители, които имат Computrace агент работи на своите машини, което означава, че броят на потребителите по целия свят с Computrace активен може да надвиши 2 милиона. По-голямата част от тези компютри се намират в Съединените щати и Русия, заяви Лаборатория Касперски.
Проблемно поведение
Докато Computrace е търговски софтуер, предназначен да върши добро, той използва много от същите трикове като злонамерен софтуер, включително използване на техники за анти-отстраняване на грешки и анти-обратен инженеринг, инжектиране на памет в други процеси и криптиране на конфигурационни файлове. Sacco описа инструмента като "латентен инструментариум" и отбеляза, че агентът на Windows няма никаква идентификация. Computrace комуникира със сървърите на Absolute Software по незашифрован канал и съхранява информация нешифрована. Мрежовият протокол може да се използва за отдалечено изпълнение на код и е уязвим за злоупотреба, предупреди Sacco.
Лаборатория Касперски каза, че изглежда е добавено криптиране към мрежовия протокол на по-късен етап на комуникация, но че атакуващите все още могат да се възползват от незашифрованите компоненти за отдалечено отвличане на системата. Камлук каза, че Computrace може да се използва за инсталиране на шпионски софтуер на крайните точки, пренасочване на целия трафик от компютър, управляващ Малък агент, към хоста на нападателя чрез ARP-отравяне и стартиране на DNS атака на услугата, за да излъже агента да се свърже с фалшив C&C сървър, за да назовете няколко.
"Има голям проблем с това", каза Сако на присъстващите.
Тук няма проблем?
CTO на Absolute Software, Фил Гарднър, разкритикува изследванията на Касперски като „недостатъци“ и заяви, че има „съмнителни технически достойнства“. Според Absolute Software Computrace използва криптиране и удостоверяване на сървъра, което би предотвратило видовете атаки, за които Kamluk предупреди. Агентът няма да комуникира със сървър, освен ако не е упълномощен и "ще комуникира само с взаимна идентификация на сървъра и клиента", каза Гарднър.
Преди да атакуващият да може да използва Computrace злонамерено, крайната точка трябва да бъде компрометирана. „Пречките за монтиране на подобна атака са значителни и не са постижими чрез механизма, посочен в доклада на Касперски“, се казва в FAQ.
Въпреки това, ако не ви харесва идеята за нещо, което работи на вашия компютър, за който не знаете, можете да следвате инструкциите от Kaspersky Lab, за да намерите и деактивирате Computrace.
Отвличане и избършете
Камлук демонстрира доказателство за концепцията на срещата на върха, показвайки как един нападател може да започне атака човек в средата срещу машина, в която е инсталирана Computrace. Нападателят може да се преструва, че е сървър от Absolute Software и да променя паметта в машината на жертвата.
"Всеки, който има право да контролира вашата интернет връзка, може да направи същото - например правителство или интернет доставчик", каза Камлук.
Лаборатория Касперски казва, че няма доказателства, че Absolute Computrace е използван в атаки досега. Абсолютният софтуер трябва да използва автентификация и криптиране, за да защити Computrace, така че да не може да бъде злоупотребяван, каза Камлук.
По време на представянето на Камлук можеха да се видят няколко участници, които проверяват своя BIOS, за да видят дали Computrace присъства на техните компютри. В края на презентацията напрежението в стаята беше почти осезаемо, тъй като много от присъстващите осъзнаха колко широко разпространен е Computrace и дори не бяха наясно с присъствието му на техните машини. Тревожно беше и колко от тях бяха активирани по подразбиране.