返回新闻列表

好软件也可能变坏事

        卡巴斯基实验室确认常见笔记本电脑中的BIOS中隐藏威胁,警告Absolute Computrace防盗窃软件可被远程劫持。

        卡巴斯基实验室的安全研究团队今天发布了一篇报告,确认和演示了由Absolute Software公司推出的防盗窃软件如果部署不当,可导致这一有用的防御工具变成网络攻击者的有力武器。

        攻击者能够以隐蔽的手段利用这一安全漏洞完全访问数百万用户的计算机。本次研究的焦点为存在于很多笔记本电脑或台式机的固件或ROM BIOS中的Absolute Computrace代理程序。

        之所以进行此次研究项目,主要是因为我们在卡巴斯基实验室研究人员的个人计算机上和公司计算机上发现了运行的Computrace代理程序,而且这些程序的运行并没有事先得到授权。虽然Computrace是Absolute Software公司所开发的一款合法产品,但有些系统用户声称从未安装和激活该程序,甚至不知道自己的计算机上运行着这一软件。大多数传统的预装软件都能够由用户永久删除或停止,但Computrace却能够躲过专业的系统清理,甚至替换硬盘都无法清除该程序。

        用户可能会误认为Computrace是恶意软件,因为它使用了很多当今恶意软件常用的手段:例如反调试技术和反逆向工程技术、向其他进程内存注入、建立秘密通讯、修补磁盘上的系统文件、对配置文件进行加密以及通过BIOS/固件释放Windows可执行文件等。

        “潜在威胁是,有能力窃听光纤通讯的攻击者能够劫持所有运行Absolute Computrace的计算机。该软件能够被用来部署和植入间谍软件,”卡巴斯基实验室全球研发和分析团队首席安全研究员Vitaly Kamluk警告说,“我们估计,运行Absolute Computrace软件的计算机数量高达数百万台,大部分用户可能都不知道该软件在自己的计算机上被激活和运行。是谁有权利在这些计算机上激活了Computrace?他们是否被未知攻击者监控?这个谜团需要我们去揭开。”

统计数据

  • 根据卡巴斯基安全网络数据,在计算机上运行Computrace代理程序的计算机用户数量约为150,000。估计所有激活Computrace代理程序的用户数量超过2百万。目前还不清楚有多少用户知道其系统上运行着Computrace软件。
  • 这些计算机大多数位于美国和俄罗斯。

安全缺陷

        Computrace代理程序所使用的网络协议能够提供基础的远程代码执行功能。这种协议不需要远程服务器使用任何加密措施或认证,使得用户在恶意网络环境中遭遇远程攻击的几率变大。

一种攻击平台

        目前还没有证据显示Absolute Computrace被用做一种攻击平台。但是,来自多家公司的专家均认为这种攻击有可能成为现实。一些无法解释的和惊人的Computrace未授权激活更使得这种情况变得更为现实。

        早在2009年,来自Core Security Technologies的研究人员就提交了他们对于Absolute Computrace的研究结果。研究人员对这一技术的危险性发出警告,指出攻击者可以修改系统注册表,劫持Computrace的回调指令。Computrace代理程序的行为具有侵犯性,所以其在过去也曾被检测为恶意软件。根据一些报道,微软也曾经将Computrace检测为VirTool:Win32/BeeInject恶意程序,尽管之后微软和其他一些反恶意软件厂商将这一检测结果清除。目前,大多数反恶意软件公司均将Computrace可执行文件加入了白名单。

        “像Absolute Computrace软件这样威力强大的工具应当必须使用验证手段和加密机制,以确保其被正确利用。很显然,如果有很多计算机上运行着Computrace代理程序,其开发商(即Absolute Software)有责任告知用户,并且应当向用户解释如何终止或关闭该软件,”Kamluk说,“否则,这些代理程序还会继续在用户不知情的情况下在计算机上运行,容易被远程恶意利用。”

        要阅读关于Absolute Computrace软件的详细分析报告,请访问Securelist