Trang Chủ Đồng hồ an ninh Kẻ tấn công có thể sử dụng công cụ chống trộm máy tính để quét từ xa

Kẻ tấn công có thể sử dụng công cụ chống trộm máy tính để quét từ xa

Video: Cách Nhận 100k zalopay Trong 5p Cực Phê || Kiếm tiền online 2020 (Tháng mười một 2024)

Video: Cách Nhận 100k zalopay Trong 5p Cực Phê || Kiếm tiền online 2020 (Tháng mười một 2024)
Anonim

Theo một nhà nghiên cứu của kaspersky Lab, một phần mềm chống trộm phổ biến được cài đặt trên máy tính xách tay từ khá nhiều nhà sản xuất máy tính lớn có thể bị kẻ tấn công sử dụng để chiếm quyền điều khiển máy tính.

Phần mềm tuyệt đối tuyên bố sản phẩm Computrace của nó giúp các tổ chức theo dõi và bảo mật các điểm cuối của họ. Theo như Kaspersky Lab, công cụ này có thể được sử dụng bởi những kẻ tấn công để giám sát và điều khiển từ xa các máy này và thậm chí xóa sạch tất cả thông tin khỏi máy tính.

Vitaly Kamluk, một nhà nghiên cứu bảo mật chính của Kasperksy Lab, cho biết: "Rõ ràng rằng nếu có nhiều máy tính có các đại lý Computrace hoạt động, thì nhà sản xuất phải có trách nhiệm thông báo cho người dùng và giải thích cách phần mềm có thể bị vô hiệu hóa và vô hiệu hóa".

Kamluk nói với những người tham dự tại Hội nghị thượng đỉnh phân tích bảo mật Kaspersky Lab tuần trước rằng anh ta rất ngạc nhiên khi thấy Computrace trên máy tính xách tay của mình mặc dù chưa bao giờ mua hoặc cài đặt bất cứ thứ gì từ Phần mềm tuyệt đối. Ông không phải là người duy nhất, vì có những báo cáo khác từ người dùng trực tuyến "tuyên bố họ đã tìm thấy chúng trên máy của họ và họ chưa bao giờ mua Tuyệt đối", ông nói

Tính toán bên trong

Computrace dường như được cài đặt sẵn trên hàng tá nhà sản xuất máy tính xách tay lớn, bao gồm Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu và Gamatech. Vì nó được sử dụng như một công cụ chống trộm, nó được các nhà cung cấp phần mềm chống virus lớn đưa vào danh sách trắng nên hầu hết người dùng không bao giờ có ý tưởng nào về phần mềm trên máy của họ. "Tất cả các công ty đều coi đây là một sản phẩm hợp pháp", Anibal Sacco, đồng sáng lập và nhà nghiên cứu tại Cubica Labs, người đầu tiên phân tích Computrace trở lại vào năm 2009 khi còn ở Core Security Technologies.

Tác nhân nằm trong phần sụn, do đó, bạn không chạy hệ điều hành nào hoặc loại bảo vệ nào bạn có. Nó được nhúng ngay vào phần cứng và rất khó để loại bỏ. Hầu hết các phần mềm được cài đặt sẵn có thể bị xóa hoặc vô hiệu hóa vĩnh viễn bởi người dùng, nhưng Computrace được thiết kế để tồn tại trong việc dọn dẹp hệ thống chuyên nghiệp và thậm chí thay thế đĩa cứng.

Theo thống kê được cung cấp bởi Mạng bảo mật của Kaspersky, có khoảng 150.000 người dùng có đại lý Computrace chạy trên máy của họ, điều đó có nghĩa là số người dùng trên toàn thế giới có Computrace hoạt động có thể vượt quá 2 triệu. Phần lớn các máy tính này được đặt tại Hoa Kỳ và Nga, Kaspersky Lab cho biết.

Hành vi có vấn đề

Mặc dù Computrace là phần mềm thương mại được thiết kế để hoạt động tốt, nhưng nó sử dụng nhiều thủ thuật tương tự như phần mềm độc hại, bao gồm sử dụng các kỹ thuật kỹ thuật chống gỡ lỗi và chống đảo ngược, đưa bộ nhớ vào các quy trình khác và mã hóa các tệp cấu hình. Sacco mô tả công cụ này là một "bộ công cụ tiềm ẩn" và lưu ý rằng tác nhân Windows không có xác thực dưới bất kỳ hình thức nào. Computrace liên lạc với các máy chủ tại Phần mềm tuyệt đối qua một kênh không được mã hóa và lưu trữ thông tin không được mã hóa. Giao thức mạng có thể được sử dụng để thực thi mã từ xa và dễ bị lạm dụng, Sacco cảnh báo.

Kaspersky Lab cho biết, mã hóa dường như được thêm vào giao thức mạng ở giai đoạn truyền thông sau này, nhưng những kẻ tấn công vẫn có thể lợi dụng các thành phần không được mã hóa để chiếm quyền điều khiển hệ thống từ xa. Kamluk cho biết Computrace có thể được sử dụng để cài đặt phần mềm gián điệp trên các điểm cuối, chuyển hướng tất cả lưu lượng truy cập từ một máy tính chạy Small Agent sang máy chủ của kẻ tấn công thông qua ARP-tox và khởi động một cuộc tấn công dịch vụ DNS để lừa nhân viên kết nối với máy chủ C & C giả mạo, để một vài tên.

"Có một vấn đề lớn với điều này", Sacco nói với những người tham dự.

Không có vấn đề ở đây?

CTO của Absolute Software, Phil Gardner, đã chỉ trích nghiên cứu của Kaspersky là "thiếu sót" và nói rằng nó có "giá trị kỹ thuật đáng ngờ". Phần mềm tuyệt đối cho biết Computrace sử dụng mã hóa và xác thực cho máy chủ, điều này sẽ ngăn chặn các kiểu tấn công mà Kamluk đã cảnh báo. Đại lý sẽ không liên lạc với máy chủ trừ khi được ủy quyền và "sẽ chỉ liên lạc với xác thực lẫn nhau của máy chủ và máy khách", Gardner nói.

Trước khi kẻ tấn công có thể sử dụng Computrace một cách độc hại, điểm cuối phải bị xâm phạm. "Những trở ngại để thực hiện một cuộc tấn công như vậy là đáng kể và không thể đạt được thông qua cơ chế được nêu trong báo cáo của Kaspersky, " Phần mềm tuyệt đối cho biết trong một Câu hỏi thường gặp.

Mặc dù vậy, nếu bạn không thích ý tưởng về thứ gì đó chạy trên máy tính mà bạn không biết, bạn có thể làm theo hướng dẫn từ Kaspersky Lab để tìm và tắt Computrace.

Cướp và lau

Kamluk đã trình diễn một bằng chứng về khái niệm tại hội nghị thượng đỉnh cho thấy cách một kẻ tấn công có thể khởi động một cuộc tấn công trung gian chống lại một cỗ máy mà Computrace đã được cài đặt. Kẻ tấn công có thể giả vờ là một máy chủ từ Phần mềm tuyệt đối và thay đổi bộ nhớ trong máy của nạn nhân.

"Bất cứ ai có khả năng kiểm soát kết nối Internet của bạn đều có thể thực hiện cùng một chính phủ hoặc một ISP, " Kamluk nói.

Kaspersky Lab cho biết họ không có bằng chứng nào cho thấy tính toán tuyệt đối đã được sử dụng trong các cuộc tấn công cho đến nay. Phần mềm tuyệt đối cần sử dụng xác thực và mã hóa để bảo mật Computrace để không bị lạm dụng, Kamluk nói.

Trong buổi thuyết trình của Kamluk, một số người tham dự có thể được nhìn thấy đang kiểm tra BIOS của họ để xem Computrace có mặt trên máy tính của họ không. Đến cuối bài thuyết trình, sự căng thẳng trong phòng gần như có thể cảm nhận được, vì nhiều người tham dự đã nhận ra Computrace lan rộng như thế nào và họ thậm chí không nhận ra sự hiện diện của nó trên máy của họ. Nó cũng đáng lo ngại khi có bao nhiêu trong số chúng được kích hoạt theo mặc định.

Kẻ tấn công có thể sử dụng công cụ chống trộm máy tính để quét từ xa