视频: Adobe After Effects Tutorial: Editing for Beginners (十一月 2024)
据卡巴斯基实验室的研究人员称,攻击者可以使用几乎所有主要计算机制造商的便携式计算机上安装的流行防盗软件来劫持计算机。
Absolute Software声称其Computrace产品可帮助组织跟踪和保护其端点。 就卡巴斯基实验室而言,攻击者可以使用该工具远程监视和控制这些计算机,甚至清除计算机中的所有信息。
卡巴斯基实验室首席安全研究员Vitaly Kamluk说:“很明显,如果有很多运行Computrace代理的计算机,制造商有责任通知用户并说明如何停用和禁用该软件。”
Kamluk在上周的卡巴斯基实验室安全分析师峰会上告诉与会者,尽管他从未从Absolute Software购买或安装任何东西,但他惊讶地发现家用笔记本电脑上有Computrace。 他不是唯一的一个,因为在线用户还有其他报告“声称他们在自己的计算机上找到了它们,而且从未购买过Absolute”,他说
内部Computrace
Computrace似乎已预装在十二家主要的笔记本电脑制造商中,其中包括三星,宏cer,联想,惠普,戴尔,松下,东芝,华硕,Gateway,通用动力,富士通和Gamatech。 由于它打算用作防盗工具,因此它已被主要的防病毒软件供应商列入白名单,因此大多数用户从不知道该软件是否在其计算机上。 “所有公司都将其视为合法产品,” Cubica Labs的联合创始人兼研究员Anibal Sacco说,他于2009年在Core Security Technologies时首次对Computrace进行了分析。
该代理位于固件中,因此无论您运行的是哪种操作系统,或具有哪种安全保护,都无关紧要。 它嵌入在硬件中,很难删除。 用户可以永久删除或禁用大多数预安装的软件,但是Computrace旨在经受专业的系统清理甚至硬盘更换的困扰。
根据卡巴斯基安全网络提供的统计数据,大约有15万名用户的计算机上运行了Computrace代理,这意味着Computrace处于活动状态的全球用户数可能超过200万。 卡巴斯基实验室说,这些计算机大多数位于美国和俄罗斯。
有问题的行为
尽管Computrace是旨在发挥作用的商业软件,但它采用了许多与恶意软件相同的技巧,包括使用反调试和反逆向工程技术,将内存注入其他进程以及对配置文件进行加密。 Sacco将工具描述为“潜在工具箱”,并指出Windows代理没有任何身份验证。 Computrace通过未加密的通道与Absolute Software的服务器通信,并存储未加密的信息。 Sacco警告说,该网络协议可用于远程代码执行,并且容易被滥用。
卡巴斯基实验室说,似乎在通信的后期将加密添加到了网络协议中,但是攻击者仍然可以利用未加密的组件来远程劫持系统。 Kamluk说,Computrace可用于在端点上安装间谍软件,将所有流量从运行Small Agent的计算机通过ARP中毒重定向到攻击者的主机,以及发起DNS服务攻击以诱使代理连接到伪造的C&C服务器。仅举几例。
萨科告诉与会者:“这有很大的问题。”
没问题吗?
Absolute Software的CTO Phil Gardner批评卡巴斯基的研究“有缺陷”,并称其具有“可疑的技术优势”。 Absolute Software表示,Computrace对服务器使用加密和身份验证,这可以防止Kamluk警告的攻击类型。 除非得到授权,否则该代理将不会与服务器进行通信,并且“只会与服务器和客户端的相互身份验证进行通信”,Gardner说。
在攻击者可以恶意使用Computrace之前,必须破坏端点。 “发生这种攻击的障碍相当大,而通过卡巴斯基报告中概述的机制是无法实现的,” Absolute Software在FAQ中表示。
即使这样,如果您不喜欢计算机上运行的某些东西的想法,也可以按照卡巴斯基实验室的指示来查找和禁用Computrace。
劫持和擦除
Kamluk在峰会上演示了概念验证,展示了攻击者如何对安装了Computrace的计算机发起中间人攻击。 攻击者可能假装是Absolute Software的服务器,并更改了受害者计算机中的内存。
Kamluk说:“任何有权控制您的Internet连接的人都可以做,例如政府或ISP。”
卡巴斯基实验室表示,目前尚无证据表明Absolute Computrace已被用于攻击。 Kamluk说,Absolute Software需要使用身份验证和加密来保护Computrace,以防止滥用它。
在Kamluk的演讲中,可以看到几位与会者检查他们的BIOS,以查看计算机上是否存在Computrace。 在演示结束时,会议室中的紧张感几乎可以触及,因为许多与会者意识到Computrace的普及程度,他们甚至不知道计算机上是否存在它。 这也困扰着默认情况下启用了多少个。
