ผู้โจมตีสามารถใช้เครื่องมือป้องกันการโจรกรรม computrace ในการล้างข้อมูลจากระยะไกล

นักวิจัยจาก Kaspersky Lab ระบุว่าซอฟต์แวร์ป้องกันการโจรกรรมที่ได้รับความนิยมติดตั้งในแล็ปท็อปจากผู้ผลิตคอมพิวเตอร์รายใหญ่ทุกรายสามารถใช้งานได้โดยผู้โจมตีไปยังคอมพิวเตอร์ที่ถูกขโมย

แอบโซลูทซอฟต์แวร์อ้างว่าผลิตภัณฑ์ Computrace ช่วยให้องค์กรสามารถติดตามและรักษาความปลอดภัยของอุปกรณ์ปลายทาง เท่าที่ Kaspersky Lab เกี่ยวข้องเครื่องมือนี้สามารถใช้งานได้โดยผู้โจมตีเพื่อตรวจสอบและควบคุมเครื่องเหล่านี้จากระยะไกลและแม้แต่ล้างข้อมูลทั้งหมดจากคอมพิวเตอร์

Vitaly Kamluk นักวิจัยด้านความปลอดภัยที่ Kasperksy Lab กล่าวว่า "เป็นที่ชัดเจนว่าหากมีคอมพิวเตอร์จำนวนมากที่มีตัวแทน Computrace ทำงานอยู่มันเป็นความรับผิดชอบของผู้ผลิตที่จะแจ้งให้ผู้ใช้ทราบและอธิบายว่า

Kamluk บอกผู้เข้าร่วมประชุมในการประชุมสุดยอด Kaspersky Lab Security Analyst Summit เมื่อสัปดาห์ที่แล้วเขารู้สึกประหลาดใจที่พบ Computrace บนแล็ปท็อปที่บ้านของเขาแม้จะไม่เคยซื้อหรือติดตั้งอะไรจาก Absolute Software เขาไม่ได้เป็นคนเดียวเนื่องจากมีรายงานอื่น ๆ จากผู้ใช้ออนไลน์ "อ้างว่าพวกเขาพบพวกเขาในเครื่องของพวกเขาและพวกเขาไม่เคยซื้อ Absolute" เขากล่าว

คำนวณภายใน

Computrace ปรากฏว่ามีการติดตั้งมาก่อนในผู้ผลิตแล็ปท็อปรายใหญ่หลายสิบรายเช่น Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu และ Gamatech เนื่องจากมีวัตถุประสงค์เพื่อใช้เป็นเครื่องมือป้องกันการโจรกรรมจึงได้รับการอนุญาตจากผู้จำหน่ายโปรแกรมป้องกันไวรัสรายใหญ่ดังนั้นผู้ใช้ส่วนใหญ่จึงไม่ทราบว่าซอฟต์แวร์อยู่ในเครื่องของตน "ทุก บริษัท มองว่ามันเป็นผลิตภัณฑ์ที่ถูกกฎหมาย" Anibal Sacco ผู้ร่วมก่อตั้งและนักวิจัยของ Cubica Labs ซึ่งทำการวิเคราะห์ Computrace ครั้งแรกในปี 2552 ในขณะที่ Core Security Technologies กล่าว

เอเจนต์อยู่ในเฟิร์มแวร์ดังนั้นจึงไม่สำคัญว่าคุณใช้ระบบปฏิบัติการใดหรือมีการป้องกันความปลอดภัยใดบ้าง มันฝังอยู่ในฮาร์ดแวร์และยากที่จะลบ ซอฟต์แวร์ที่ติดตั้งล่วงหน้าส่วนใหญ่สามารถลบหรือปิดการใช้งานอย่างถาวรโดยผู้ใช้ แต่ Computrace ได้รับการออกแบบมาเพื่อความอยู่รอดของการล้างข้อมูลในระบบมืออาชีพ

จากสถิติที่จัดทำโดยเครือข่ายความปลอดภัยของ Kaspersky มีผู้ใช้งานประมาณ 150, 000 คนที่มีตัวแทน Computrace ทำงานอยู่บนเครื่องของพวกเขาซึ่งหมายความว่าจำนวนผู้ใช้ทั่วโลกที่ใช้งาน Computrace อาจเกิน 2 ล้านคน คอมพิวเตอร์ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกาและรัสเซีย Kaspersky Lab กล่าว

พฤติกรรมที่เป็นปัญหา

ในขณะที่ Computrace เป็นซอฟต์แวร์เชิงพาณิชย์ที่ออกแบบมาเพื่อทำสิ่งที่ดี แต่ใช้เทคนิคแบบเดียวกับมัลแวร์รวมถึงการใช้เทคนิคการต่อต้านการดีบั๊กและการต่อต้านการย้อนกลับการฉีดหน่วยความจำไปยังกระบวนการอื่นและเข้ารหัสไฟล์การกำหนดค่า Sacco อธิบายเครื่องมือเป็น "ชุดเครื่องมือแฝง" และบันทึกว่าเอเจนต์ Windows ไม่มีการพิสูจน์ตัวตนใด ๆ Computrace สื่อสารกับเซิร์ฟเวอร์ที่ Absolute Software ผ่านช่องทางที่ไม่ได้เข้ารหัสและเก็บข้อมูลที่ไม่ได้เข้ารหัส โปรโตคอลเครือข่ายสามารถใช้สำหรับการเรียกใช้รหัสระยะไกลและเสี่ยงต่อการถูกละเมิด Sacco เตือน

Kaspersky Lab กล่าวว่าการเข้ารหัสดูเหมือนว่าจะถูกเพิ่มลงในโปรโตคอลเครือข่ายในระยะหลังของการสื่อสาร แต่ผู้โจมตีนั้นยังสามารถใช้ประโยชน์จากส่วนประกอบที่ไม่ได้เข้ารหัสเพื่อจี้ระบบจากระยะไกล Kamluk กล่าวว่า Computrace สามารถใช้ในการติดตั้งสปายแวร์บนอุปกรณ์ปลายทางเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดจากคอมพิวเตอร์ที่ใช้ Small Agent ไปยังโฮสต์ของผู้โจมตีผ่าน ARP-poisoning และเปิดบริการ DNS โจมตีเพื่อหลอกลวงตัวแทนเข้าสู่เซิร์ฟเวอร์ C&C ปลอม ชื่อไม่กี่

"มีปัญหาใหญ่กับเรื่องนี้" Sacco บอกผู้เข้าร่วมประชุม

ไม่มีปัญหาที่นี่

Phil Gardner CTO ของ Absolute Software ได้วิจารณ์การวิจัยของ Kaspersky ว่า "มีข้อบกพร่อง" และกล่าวว่ามันมี "ข้อดีทางเทคนิคที่น่าสงสัย" Absolute Software กล่าวว่า Computrace ใช้การเข้ารหัสและการรับรองความถูกต้องกับเซิร์ฟเวอร์ซึ่งจะป้องกันการโจมตีประเภทที่ Kamluk เตือน เอเจนต์จะไม่สื่อสารกับเซิร์ฟเวอร์เว้นแต่จะได้รับอนุญาตและ "จะสื่อสารกับการตรวจสอบความถูกต้องร่วมกันของเซิร์ฟเวอร์และลูกค้าเท่านั้น" การ์ดเนอร์กล่าว

ก่อนที่ผู้โจมตีจะสามารถใช้งาน Computrace โดยประสงค์ร้ายจุดสิ้นสุดต้องถูกโจมตี "อุปสรรคในการติดตั้งการโจมตีดังกล่าวมีความสำคัญและไม่สามารถทำได้ผ่านกลไกที่ระบุไว้ในรายงาน Kaspersky" ซอฟต์แวร์แอบโซลูทกล่าวในคำถามที่พบบ่อย

ถึงกระนั้นถ้าคุณไม่ชอบความคิดเกี่ยวกับบางสิ่งที่ทำงานบนคอมพิวเตอร์ที่คุณไม่รู้จักคุณสามารถทำตามคำแนะนำจาก Kaspersky Lab เพื่อค้นหาและปิดใช้งาน Computrace

จี้และเช็ด

Kamluk แสดงให้เห็นถึงแนวความคิดที่พิสูจน์ได้ในการประชุมสุดยอดแสดงให้เห็นว่าผู้โจมตีสามารถเปิดการโจมตีแบบคนกลางได้ในเครื่องที่ติดตั้ง Computrace ผู้โจมตีสามารถทำเป็นเซิร์ฟเวอร์จากซอฟต์แวร์แอบโซลูทและเปลี่ยนหน่วยความจำในเครื่องของเหยื่อ

"ใครก็ตามที่มีอำนาจควบคุมการเชื่อมต่ออินเทอร์เน็ตของคุณก็สามารถทำได้เช่นกันตัวอย่างเช่นรัฐบาลหรือ ISP" Kamluk กล่าว

Kaspersky Lab บอกว่าไม่มีข้อพิสูจน์ว่า Absolute Computrace ถูกนำมาใช้ในการโจมตีจนถึงปัจจุบัน ซอฟต์แวร์แอบโซลูทจำเป็นต้องใช้การรับรองความถูกต้องและการเข้ารหัสเพื่อรักษาความปลอดภัยของ Computrace เพื่อไม่ให้ถูกละเมิด Kamluk กล่าว

ในระหว่างการนำเสนอของ Kamluk ผู้เข้าร่วมประชุมจำนวนมากสามารถตรวจสอบ BIOS เพื่อดูว่า Computrace แสดงบนคอมพิวเตอร์ของพวกเขาหรือไม่ ในตอนท้ายของการนำเสนอความตึงเครียดในห้องนั้นเกือบจะเห็นได้ชัดเนื่องจากผู้เข้าร่วมประชุมจำนวนมากตระหนักว่าคอมพิวเตรซแพร่หลายแค่ไหนและพวกเขาไม่ได้ตระหนักถึงการปรากฏตัวบนเครื่องจักร นอกจากนี้ยังรบกวนว่ามีกี่คนที่เปิดใช้งานโดยค่าเริ่มต้น