Video: Computrace Backdoor Revisited (September 2024)
Enligt en kaspersky Lab-forskare kan en populär stöldprogramvara installerad på bärbara datorer från ganska mycket varje större datortillverkare användas av angripare för att kapa datorer.
Absolute Software hävdar att Computrace-produkten hjälper organisationer att spåra och säkra sina slutpunkter. När det gäller Kaspersky Lab kan verktyget användas av angripare för att övervaka och kontrollera dessa maskiner på distans och till och med torka av all information från datorn.
"Det är uppenbart att om det finns många datorer med Computrace-agenter som körs, är det tillverkarens ansvar att meddela användare och förklara hur programvaran kan inaktiveras och inaktiveras, " säger Vitaly Kamluk, en viktig säkerhetsforskare vid Kasperksy Lab.
Kamluk berättade för deltagarna vid förra veckans toppmöte i Kaspersky Lab Security Analyst att han blev förvånad över att hitta Computrace på sin bärbara dator trots att han aldrig har köpt eller installerat något från Absolute Software. Han är inte den enda, eftersom det finns andra rapporter från användare online som påstår att de hittade dem på sina maskiner och att de aldrig hade köpt Absolute, sade han
Beräkna inuti
Computrace verkar vara förinstallerat på ett dussin stora bärbara tillverkare, inklusive Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu och Gamatech. Eftersom det är avsett att användas som ett stöldskyddsverktyg är det vitlistat av stora antivirusförsäljare så de flesta användare har aldrig någon aning om att programvaran finns på sina maskiner. "Alla företag ser det som en legitim produkt", säger Anibal Sacco, medgrundare och forskare vid Cubica Labs som först analyserade Computrace tillbaka 2009 medan han var på Core Security Technologies.
Agenten finns i firmware, så det spelar ingen roll vilket operativsystem du använder eller vilken typ av säkerhetsskydd du har. Den är inbäddad i hårdvaran och är svår att ta bort. De flesta förinstallerade programvaror kan tas bort eller inaktiveras permanent av användaren, men Computrace är utformat för att överleva professionell systemrensning och till och med byte av hårddisk.
Enligt statistik från Kasperskys säkerhetsnätverk finns det cirka 150 000 användare som har Computrace-agenten som körs på sina maskiner, vilket innebär att antalet användare världen över med Computrace aktivt kan överstiga 2 miljoner. De flesta av dessa datorer finns i USA och Ryssland, säger Kaspersky Lab.
Problematiskt beteende
Medan Computrace är kommersiell mjukvara som är utformad för att göra bra, använder den många av samma tricks som skadlig programvara, inklusive användning av anti-felsökning och anti-reverse engineering tekniker, injicering av minne i andra processer och kryptering av konfigurationsfiler. Sacco beskrev verktyget som en "latent verktygssats" och noterade att Windows-agenten inte har någon autentisering av något slag. Computrace kommunicerar med servrarna på Absolute Software via en okrypterad kanal och lagrar information som inte är krypterad. Nätverksprotokollet kan användas för exekvering av kodkod och är sårbart för missbruk, varnade Sacco.
Kaspersky Lab sa att kryptering verkar läggas till i nätverksprotokollet i ett senare skede av kommunikationen, men att angriparna fortfarande kan dra nytta av de okrypterade komponenterna för att fjärrkapa systemet. Kamluk sa att Computrace kan användas för att installera spionprogram på slutpunkterna, omdirigera all trafik från en dator som kör Small Agent till angriparens värd via ARP-förgiftning och starta en DNS-serviceanfall för att lura agenten att ansluta till en falsk C & C-server, till nämna några.
"Det finns ett stort problem med det här, " sa Sacco till deltagarna.
Inga problem här?
Absolute Software CTO, Phil Gardner, kritiserade Kaspersky-forskningen som "felaktig" och sa att den hade "tvivelaktig teknisk merit." Absolute Software sa att Computrace använder kryptering och autentisering till servern, vilket skulle förhindra de typer av attacker som Kamluk varnade för. Agenten kommer inte att kommunicera med en server såvida den inte är auktoriserad, och "kommer bara att kommunicera med ömsesidig autentisering av servern och klienten", sade Gardner.
Innan en angripare kan använda Computrace skadligt måste slutpunkten äventyras. "Hinder för att införa en sådan attack är betydande och kan inte uppnås via den mekanism som beskrivs i Kaspersky-rapporten, " sade Absolute Software i en FAQ.
Ändå, om du inte gillar tanken på att något körs på din dator som du inte känner till kan du följa instruktionerna från Kaspersky Lab för att hitta och inaktivera Computrace.
Kapa och torka
Kamluk demonstrerade ett bevis-of-concept på toppmötet som visade hur en angripare kunde lansera en man-i-mitt-attack mot en maskin där Computrace installerades. Angriparen kan låtsas vara en server från Absolute Software och byta minne i offrets maskin.
"Vem som helst med makten att kontrollera din Internet-anslutning kan göra detsamma - till exempel en regering eller en ISP", sa Kamluk.
Kaspersky Lab säger att det inte har något bevis på att Absolute Computrace hittills har använts i attacker. Absolute Software måste använda autentisering och kryptering för att säkra Computrace så att den inte kan missbrukas, sade Kamluk.
Under Kamluks presentation kunde flera deltagare ses som kontrollerar deras BIOS för att se om Computrace var närvarande på sina datorer. I slutet av presentationen var spänningen i rummet nästan påtaglig, eftersom många av de deltagare insåg hur utbredd Computrace var och att de inte ens var medvetna om dess närvaro på sina maskiner. Det var också störande hur många av dem som har aktiverats som standard.
