close



防盜軟件,本是幫助用戶找回丟失或被盜計算機,避免重要數據泄露的有力武器。然而,誰能想到,防盜軟件竟然暗藏威脅!據卡巴斯基實驗室發佈的最新研究報告顯示,防盜軟件也有可能變身成為黑客們發起遠程劫持的幫兇。據悉,該報告中所涉及的防盜軟件名為AbsoluteComputrace,由AbsoluteSoftware公司出品。



顯神通於危時



據AbsoluteSoftware介紹,這款名為AbsoluteComputrace的防盜軟件“擁有前所未有的強大功能”。它集資產管理、數據與設備安全、地理技術、計算機取證、失竊找回等功能於一身,“已成功參與25,000多起找回案件,並與全球各地的警方保持密切合作”。



早在2007年初,AbsoluteComputrace公司就曾針對頻頻發生的筆記本電腦盜竊案件,推出一款名為ComputraceLoJack的防盜軟件。筆記本裝上ComputraceLoJack軟件之後,就相當於安裝上瞭一個“定位追蹤裝置”。一旦該筆記本電腦被偷走後,上面的ComputraceLoJack軟件便能自動向AbsoluteSoftware公司的監聽中心提供該筆記本的IP地址或者電話號碼,這樣便可協助警方找回筆記本。ComputraceLoJack軟件還可自動對硬盤的內容進行刪除,這樣即使筆記本被偷,用戶也不用擔心信息泄露。官方消息稱,該軟件“平均每周可以幫忙追回100臺電腦”。



隱其身於無形



對此,有統計數據顯示,目前,約有150,000個用戶的計算機上運行著Computrace代理程序,已激活Computrace代理程序的用戶總數量就超過200萬。然而,令人匪夷所思的是,在規模龐大的用戶群中,知曉其計算機中運行著該防盜軟件這一事實的用戶數量,目前可能僅占少數。那麼,究竟是何種原因導致大多數用戶們對此毫不知情呢?



這還要從卡巴斯基實驗室進行此項研究的起因開始。原來,實驗室的研究人員在其個人計算機和公司計算機上發現瞭運行的Computrace代理程序,但這些程序的運行並沒有事先得到授權。雖然Computrace是AbsoluteSoftware公司開發的一款合法產品,它就如同穿著隱身衣一般,隱匿於用戶的計算機之中。一些用戶因此認為自己從未安裝和激活該程序,甚至不知道自己的計算機上運行著這一軟件。



對於少數知曉自己筆記本上運用著該軟件的用戶而言,想要永久性刪除或停止防盜軟件幾乎是不可能的。與大多數傳統的預裝軟件有所不同的是,Computrace能夠躲過專業的系統清理,甚至替換硬盤都無法清除該程序。



有些用戶或許會誤將Computrace認作是惡意軟件,因為它使用瞭很多當今惡意軟件常用的手段,例如反調試技術和反逆向工程技術、向其他進程內存註入、建立秘密通訊、修補磁盤上的系統文件、對配置文件進行加密以及通過BIOS/固件釋放Windows可執行文件等。



存漏洞而堪憂



報告稱,Computrace代理程序所使用的網絡協議能夠提供基礎的遠程代碼執行功能。這種協議不需要遠程服務器使用任何加密措施或認證,使得用戶在惡意網絡環境中遭遇遠程攻擊的幾率變大。



攻擊者能夠以隱蔽的手段利用這一安全漏洞訪問數百萬用戶的計算機。卡巴斯基實驗室本次研究的焦點為存在於很多筆記本電腦或臺式機的固件或ROMBIOS中的AbsoluteComputrace代理程序。



“潛在威脅是,有能力竊聽光纖通訊的攻擊者能夠劫持所有運行AbsoluteComputrace的計算機。該軟件能夠被用來部署和植入間諜軟件,”卡巴斯基實驗室全球研發和分析團隊首席安全研究員VitalyKamluk警告說,“我們估計,運行AbsoluteComputrace軟件的計算機數量高達數百萬臺,大部分用戶可能都不知道該軟件在自己的計算機上被激活和運行。是誰有權利在這些計算機上激活瞭Computrace?他們是否被未知攻擊者監控?這個謎團需要我們去揭開。”



宜未雨而綢繆



雖然目前還沒有證據顯示AbsoluteComputrace被用做一種攻擊平臺。但是,眾多業內人士均認為,這種攻擊有可能成為現實。一些無法解釋的、驚人的Computrace未授權激活使得這種情況變得更為現實。



該報告中還指出,早在2009年,來自CoreSecurityTechnologies的研究人員就提交瞭他們對於AbsoluteComputrace的研究結果。研究人員對這一技術的危險性發出警告,指出攻擊者可以修改系統註冊表,劫持Computrace的回調指令。Computrace代理程序的行為具有侵犯性,所以其在過去也曾被檢測為惡意軟件。根據一些報道,微軟也曾經將Computrace檢測為VirTool:Win32/BeeInject惡意程序,盡管之後微軟和其他一些反惡意軟件廠商將這一檢測結果清除。目前,大多數反惡意軟件公司均將Computrace可執行文件加入瞭白名單。



“像AbsoluteComputrace軟件這樣威力強大的工具應當必須使用驗證手段和加密機制,以確保其被正確利用。很顯然,如果有很多計算機上運行著Computrace代理程序,其開發商(即AbsoluteSoftware)有責任告知用戶,並且應當向用戶解釋如何終止或關閉該軟件,”Kamluk說,“否則,這些代理程序還會繼續在用戶不知情的情況下在計算機上運行,容易被遠程惡意利用。”




Orignal From: 防盜軟件藏威脅 變身遠程劫持的幫兇

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 x0z7blog01 的頭像
    x0z7blog01

    x0z7blog01的部落格

    x0z7blog01 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄