Video: Tracking and Recovering Missing Devices with Absolute | Webinar Preview (Marraskuu 2024)
Kaspersky Lab-tutkijan mukaan hyökkääjät voivat käyttää suosittua varkaudenesto-ohjelmistoa, joka on asennettu kannettaviin tietokoneisiin melkein jokaiselta suurelta tietokonevalmistajalta tietokoneiden kaappaamiseksi.
Absolute Software väittää, että sen Computrace-tuote auttaa organisaatioita jäljittämään ja turvaamaan päätepisteensä. Kaspersky Labin osalta hyökkääjät voivat käyttää työkalua näiden koneiden etävalvontaan ja hallintaan ja jopa tietojen pyyhkimiseen tietokoneelta.
"On selvää, että jos tietokoneita, joissa Computrace-agentteja on käynnissä, on paljon, valmistajan velvollisuus on ilmoittaa käyttäjille ja selittää, kuinka ohjelmisto voidaan deaktivoida ja poistaa käytöstä", sanoi Kasperksy Labin tärkein tietoturvatutkija Vitaly Kamluk.
Kamluk kertoi osallistujille viime viikolla järjestetyssä Kaspersky Lab -turvallisuusanalyytikoiden huippukokouksessa, että hän yllättyi löytääkseen Computrace -laitteen kannettavasta tietokoneestaan huolimatta siitä, että hän ei koskaan ostanut tai asentanut mitään Absolute Software -ohjelmasta. Hän ei ole ainoa, koska verkossa on muita käyttäjien raportteja ", jotka väittävät löytäneensä heidät koneistaan ja että he eivät ole koskaan ostaneet Absoluuttia", hän sanoi.
Computrace sisällä
Computrace näyttää olevan esiasennettu tusinaan suuriin kannettavien tietokoneiden valmistajiin, mukaan lukien Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu ja Gamatech. Koska sitä on tarkoitus käyttää varkaudenestovälineenä, suuret viruksentorjuntayritykset sisällyttävät sen valkoiseen luetteloon, joten useimmilla käyttäjillä ei koskaan ole aavistustakaan siitä, että ohjelmisto on heidän koneissaan. "Kaikki yritykset näkevät sen laillisena tuotteena", sanoi Cibica Labsin perustaja ja tutkija Anibal Sacco, joka analysoi ensimmäisen kerran Computracea vuonna 2009 Core Security Technologies -yrityksessä.
Agentti sijaitsee laiteohjelmistossa, joten ei ole väliä mitä käyttöjärjestelmääsi käytät tai millaisia tietoturvasuojauksia sinulla on. Se on upotettu suoraan laitteistoon ja sitä on vaikea poistaa. Useimmat esiasennetut ohjelmistot voivat poistaa käyttäjän pysyvästi tai poistaa ne käytöstä, mutta Computrace on suunniteltu selviytymään ammattimaisesta järjestelmän puhdistuksesta ja jopa kiintolevyn vaihtamisesta.
Kaspersky's Security Network: n toimittamien tilastojen mukaan Computrace-agentti on koneillaan käynnissä noin 150 000 käyttäjää, mikä tarkoittaa, että käyttäjien määrä ympäri maailmaa, joissa Computrace on aktiivinen, voi olla yli 2 miljoonaa. Suurin osa näistä tietokoneista sijaitsee Yhdysvalloissa ja Venäjällä, Kaspersky Lab sanoi.
Ongelmallista käyttäytymistä
Vaikka Computrace on kaupallinen ohjelmisto, joka on suunniteltu toimimaan hyväksi, se käyttää monia samoja temppuja kuin haittaohjelmat, mukaan lukien virheenkorjauksen ja käänteisen estämisen tekniikoiden käyttäminen, muistin lisääminen muihin prosesseihin ja määritystiedostojen salaaminen. Sacco kuvasi työkalun "piileväksi työkalupakiksi" ja totesi, että Windows-agentilla ei ole minkäänlaista todennusta. Computrace kommunikoi Absolute Software -ohjelmiston palvelimien kanssa salaamattoman kanavan kautta ja tallentaa tiedot salaamatta. Verkkoprotokollaa voidaan käyttää koodin etäsuorittamiseen ja se on alttiina väärinkäytöksille, Sacco varoitti.
Kaspersky Labin mukaan salaus tuntuu olevan lisätty verkkoprotokollaan viestinnän myöhemmässä vaiheessa, mutta hyökkääjät voivat silti hyödyntää salaamattomia komponentteja kaappaamaan järjestelmän etäyhteydessä. Kamluk kertoi, että Computracea voitaisiin käyttää asentamaan vakoiluohjelmia päätepisteisiin, ohjaamaan kaiken liikenteen Small Agentia käyttävältä tietokoneelta hyökkääjän isäntään ARP-myrkytyksen kautta ja käynnistämään DNS-palveluhyökkäyksen huijatakseen agenttia muodostamaan yhteyden väärennettyyn C&C-palvelimeen. nimeä muutama.
"Tässä on suuri ongelma", Sacco kertoi osallistujille.
Ei mitään ongelmaa täällä?
Absolute Software -yrityksen tekninen johtaja Phil Gardner arvosteli Kaspersky-tutkimusta "virheellisenä" ja totesi, että sillä oli "kyseenalainen tekninen ansio". Absoluuttinen ohjelmisto sanoi, että Computrace käyttää salausta ja todennusta palvelimelle, mikä estäisi Kamlukin varoittamat hyökkäykset. Agentti ei kommunikoi palvelimen kanssa, ellei se ole valtuutettu, ja "kommunikoi vain palvelimen ja asiakkaan vastavuoroisella todennuksella", Gardner sanoi.
Ennen kuin hyökkääjä voi käyttää Computracea haitallisesti, päätepiste on vaarannettava. "Esteet tällaisen hyökkäyksen toteuttamiselle ovat huomattavat, eikä niitä voida saavuttaa Kaspersky-raportissa kuvatun mekanismin avulla", Absolute Software sanoi UKK: ssa.
Jopa niin, että jos et pidä ajatuksestasi tietokoneella käynnissä olevasta toiminnasta, josta et tiedä, voit seurata Kaspersky Labin ohjeita löytääksesi ja poistaaksesi Computrace-sovelluksen.
Kaappaa ja pyyhi
Kamluk esitti huippukokouksessa konseptin, joka osoitti, kuinka hyökkääjä pystyi käynnistämään keskellä olevan ihmisen hyökkäyksen konetta vastaan, johon Computrace oli asennettu. Hyökkääjä voi teeskennellä olevansa palvelin Absolute Software -ohjelmasta ja muuttaa muistia uhrin koneessa.
"Kuka tahansa, jolla on valta hallita Internet-yhteyttäsi, voisi tehdä samoin - esimerkiksi hallitus tai Internet-palveluntarjoaja", Kamluk sanoi.
Kaspersky Labin mukaan sillä ei ole todisteita siitä, että Absolute Computrace -sovellusta on käytetty tähän mennessä hyökkäyksissä. Absoluuttisen ohjelmiston on käytettävä todennusta ja salausta Computracen suojaamiseksi, jotta sitä ei voida käyttää väärin, Kamluk sanoi.
Kamluk-esityksen aikana useita osallistujia voitiin nähdä tarkistamassa BIOS-ohjelmaansa nähdäkseen oliko Computrace heidän tietokoneissaan. Esityksen loppuun mennessä huoneen jännitys oli melkein tuntuva, koska monet osallistujat ymmärsivät, kuinka laaja Computrace oli ja etteivät edes tienneet sen läsnäoloa koneissaan. Se oli myös huolestuttavaa, kuinka moni heistä oli oletuksena käytössä.