Absolute公司防盗追踪软件到底存在什么安全问题
因为写的时间急,有些表达不清楚的,建议看参考链接
近日,一篇名为《关于Absolute公司防盗追踪软件安全风险的提示》流传朋友圈,在坊间引起极大的恐慌。
由于这篇提示完全没有丝毫细节所言,因此导致众人纷纷猜测。
为了稳住各位的情绪,下面黑鸟来对这个“提示”,进行一波解析。
“近日,有技术爱好者反映其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,计算机启动后,操作系统即隐蔽安装该软件,经常向境外传输不明数据。”
好的,说到这个传输不明数据,我们先来介绍一下这个防盗追踪软件的背景。
LoJack for Laptops(最初称为CompuTrace)是一种专用的笔记本电脑防盗软件(笔记本电脑跟踪软件),其功能包括远程锁定,删除文件以及在地图上找到被盗笔记本电脑的功能,其主要内置于笔记本电脑的固件中。
此外,LoJack for Laptops的团队还提供调查和恢复等其他服务,他们与世界各地的执法机构合作,将受保护的笔记本电脑归还给其所有者。
如果计算机被盗,此应用程序将继续尝试联系监控中心,并可返回有关特定信息的报告,以便在被盗计算机连接Internet后跟踪其位置。
也就是说明,这作为一个防盗软件,你是需要激活才可以使用,而如果已经激活的情况下,他极有可能会不定期发送数据到监控中心,这极有可能就是传输的不明数据。
而早在2014年,卡巴通过一些客户(大多为国外)的反馈,发现该防盗软件会默认在一些客户的设备上激活。(不排除二手电脑的可能性)
因此这也可能是为什么在用户没有激活防盗追踪软件的情况下会自动激活的情况,确实存在。
而还是在2014年,卡巴斯基研究人员声称Absolute的代理软件的官方版本可能会被劫持,流量可能会被修改,也就是中间人攻击。
从图片可以看出,出问题的仍然是代理程序rpcnetp.exe
卡巴斯基实验室发布的报告称,Computrace代理程序所使用的网络协议能够提供基础的远程代码执行功能。这种协议不需要远程服务器使用任何加密措施或认证,使得用户在恶意网络环境中遭遇远程攻击的几率变大。(但是还是在内网环境下出现可能性比较大,当然,目前已经修复)
而在此之前,2009年,Core Security研究报告称,攻击者可能会在BIOS中使用损坏的可执行文件覆盖Computrace的合法版本。
研究人员对这一技术的危险性发出警告,指出攻击者可以修改系统注册表,劫持Computrace的回调指令。
在审查报告和引用的技术后,Absolute确定需要修改代码然后更新BIOS。他们的OEM合作伙伴已制定流程,以确保只允许运行经过批准的签名BIOS更新。
当然,目前该漏洞已经修补完毕。
下一条
“该软件可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权的情况下自动下载安装未知功能的程序,具有很大的安全隐患。”
这里说的其实是2008年版本的Lojack代理程序的协议被破解,从而导致能够通过替换C2来使得攻击者达到远程获取计算机的功效。
eset和netscout也曾对APT28组织使用该协议漏洞进行类似C2劫持的操作进行系统驻留,而被替换的木马化的代理程序,也就是上图rpcnetp.exe,而正常的代理程序主要就是用来代理底层的固件,从而和官方服务器取得联系同时可以下载更新包等。
木马家族名被称作 LOJAX
如果非要和我杠精一波,说这个软件本身存在这类安全隐患会去远程下载程序,那市面上那些存在更新功能然后会自动更新软件的产品算什么。
请记住,这个产品的定位是防盗追踪软件,而且Absolute是一个网络安全公司。
来,解释最后一段。
“经专家分析发现,Computrace软件预置固化在多款型号计算机BIOS芯片中,软件所使用的网络协议能够提供基础的远程代码执行功能,不需要远程服务器使用任何加密措施或认证,且该远程控制功能随开机启动,常驻于用户电脑,安全风险较大。”
这段话说的应该是Lojack代理程序的网络协议被破解的事件。
而万物之恶就起源于这场2014年的blackhat大会上披露的破解案例
https://www.blackhat.com/docs/us-14/materials/us-14-Kamluk-Computrace-Backdoor-Revisited-WP.pdf
也就是因为该会议,为APT28以及其他攻击者创造了一个良好的攻击机会。
因为他的协议是异或加密。。异或。。有兴趣可以看看上面的PDF都是怎么破解的。
同样,该版本场景适用于Lojack 2008的版本。
最后,还要说明一下APT28组织投放手段,从目前市面上披露的报告来看,并没有找见任何关于lojax木马如何进行投放。
而基于我的分析,本鸟认为攻击场景可能如下,
APT28组织很有可能是通过其他手段,例如web漏洞、内网渗透或者是钓鱼邮件等,入侵主机后,在发现该主机可能存在Computrace追踪软件,在帮助激活或者已经激活的状态下,并且该版本为2008年版本的情况下,将lojack代理程序替换为lojax木马,从而达到UEFI rootkit的效果。
而当攻击者进行完安装lojax木马之前的操作,你的电脑早已经被搞了。
因此,本鸟对于此次的“提示”传播事件,有以下几个猜测。
1、为了杜绝安全风险而做出的提示
2、防止老版本的防盗追踪软件的代理程序出现中间人攻击
3、有人中了2008年版本的木马,因此做出提示
4、有研究人员发现了新的漏洞威胁,因此做出提示
5、你懂的。
目前,前三个提示已经在文章中写的很清楚了,而第四个如果出现这种情况却没有在文章中提示,而且从外网来看,Absolute的官方也并没有发出过通告,最新通告发步于2019年,针对前面所说的代理软件存在通讯协议被破解从而导致劫持的漏洞。
因此,我自认为关系不大,如果你有内幕消息,欢迎留言一波。
需要补充的是,下面的是Absolute官方的处置意见,听官方的话,不亏。
阻断以下被APT28或其他攻击者使用来代理程序进行通讯利用的C2域名。
sysanalyticweb[.]com
elaxo[.]org
ikmtrust[.]com
lxwo[.]org
unigymboom[.]com
ntpstatistics[.]com
moldstream[.]md
vsnet[.]co
visualrates[.]com
regvirt[.]com
elaxo[.]org
oiatribe[.]com
msfontserver[.]com
treckanalytics[.]com
remotepx[.]net
hp-apps[.]com
jflynci[.]com
peacefund[.]eu
oiagives[.]com
webstp[.]com
将下面这些Hash值置黑或隔离响应文件
6eaa1ff5f33df3169c209f98cc5012d0
cf45ec807321d12f8df35fa434591460
f1df1a795eb784f7bfc3ba9a7e3b00ac
f391556d9f89499fa8ee757cb3472710
f3c6e16f0dd2b0e55a7dad365c3877d4
73ea983ec9c39fb820d086acdf439c95
cffcae5c5551b4b9489fec5d56269d84
bda5f83ee4a6d64d1057f19a2a1ef071
9be30e2c2e185ccb6cdbbf585d368393
89503b7935a05b1d26cb26ce3793a3fb
e5db592704f30d42537b1257e79ff223
f336379bd4a129f0851a24ccea47b4ec
9157f70faaedf66688fc11f4abca83e2
在最后,还是要提醒大家,宁信其有,勿信其无。
如果你真的不想使用找回笔记本这个功能,请务必将其关闭,确实可以防止不必要的安全隐患。
再此还是要引用以下这个“提示”,毕竟我懒。
一、排查固件中是否存在该防盗软件
联想品牌计算机请进入BIOS“Security”菜单,查找是否有“Anti-Theft”子项,即如下图所示。
如有“Anti-Theft”子项,进入后可发现Absolute的防盗追踪软件Computrace,即说明存在该软件。
其他品牌请在BIOS菜单中逐一筛查。
二、处置
方法1:更换主板或升级BIOS
升级方法请联系计算机生产商咨询。
方法2:禁止该软件运行
第一步:打开注册表编辑器,请定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager
将右边的 BootExecute 键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序自动再启动后续进程。
第二步:在任务管理器中结束相关进程,删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,此时切勿重新启动Windows。
第三步:在System32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。
方法3:禁止该软件访问网络
修改host文件,将相关域名设置为禁止访问:记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存。
127.0.0.1 search.namequery.com
127.0.0.1 search.namequery.com
127.0.0.1 search2.namequery.com
127.0.0.1 search64.namequery.com
127.0.0.1 search.us.namequery.com
127.0.0.1 bh.namequery.com
127.0.0.1 namequery.nettrace.co.za
127.0.0.1 m229.absolute.com
并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 禁止访问网络。
还有一个办法就是,一劳永逸。开启Secure Boot。
Secure boot,UEFI BIOS的一个子规则,是安全启动或是安全引导的作用,目的,是防止恶意软件侵入。防止别的东西乱改启动文件。
That’s all。
相关链接:
https://securelist.com/absolute-computrace-revisited/58278/
https://www.netscout.com/blog/asert/lojack-becomes-double-agent
https://www.absolute.com/en/resources/faq/absolute-response-to-arbor-research
黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎持续关注。
点击菜单栏,扫码加入每日更新的知识星球(原价299,现价269)
近期看点
最后是二道情报贩子公众号发布的重要资讯,欢迎关注该公众号
感谢您的转发和关注
点击要送你8个蟹蟹