kaspersky Labの研究者によると、ほとんどすべての主要なコンピューターメーカーのラップトップにインストールされている人気の盗難防止ソフトウェアは、コンピューターをハイジャックするために攻撃者によって使用される可能性があります。
Absolute Softwareは、Computrace製品が組織のエンドポイントの追跡と保護に役立つと主張しています。 カスペルスキーに関する限り、攻撃者はこのツールを使用して、これらのマシンをリモートで監視および制御し、コンピューターからすべての情報を消去することもできます。
「Computraceエージェントを実行しているコンピューターが多数ある場合、ユーザーに通知し、ソフトウェアを無効化および無効化する方法を説明するのはメーカーの責任です」とKasperksy Labの主要なセキュリティ研究者であるVitaly Kamlukは述べています。
Kamlukは先週のKaspersky Labセキュリティアナリストサミットの出席者に、アブソリュートソフトウェアから何かを購入またはインストールしたことがないにもかかわらず、自宅のラップトップでComputraceを見つけたことに驚きました。 オンラインのユーザーから「マシン上で見つけて、絶対に購入したことはないと主張している」という他のレポートがあるため、彼だけではありません。
Computrace Inside
Computraceは、サムスン、エイサー、レノボ、ヒューレットパッカード、デル、パナソニック、東芝、Asus、ゲートウェイ、ゼネラルダイナミクス、富士通、およびGamatechを含む多数の大手ラップトップメーカーにプリインストールされているようです。 盗難防止ツールとして使用することを目的としているため、主要なウイルス対策ベンダーによってホワイトリストに登録されているため、ほとんどのユーザーはソフトウェアがマシン上にあるとは考えもしません。 「すべての企業はそれを正当な製品と見なしています」と、2009年にコアセキュリティテクノロジーズでComputraceを初めて分析したCubica Labsの共同設立者兼研究者であるAnibal Saccoは述べています。
エージェントはファームウェアに常駐しているため、実行しているオペレーティングシステムや使用しているセキュリティ保護の種類は関係ありません。 ハードウェアに直接組み込まれているため、削除が困難です。 ほとんどのプレインストールされたソフトウェアは、ユーザーが永久に削除または無効にすることができますが、Computraceはプロのシステムクリーンアップ、さらにはハードディスクの交換に耐えるように設計されています。
カスペルスキーのセキュリティネットワークが提供する統計によると、Computraceエージェントをマシン上で実行しているユーザーは約150, 000人です。つまり、Computraceがアクティブな世界中のユーザー数は200万人を超える可能性があります。 これらのコンピューターの大部分は米国とロシアにあります、とカスペルスキーは言いました。
問題行動
Computraceは、正常に機能するように設計された商用ソフトウェアですが、アンチデバッグおよびアンチリバースエンジニアリング技術の使用、他のプロセスへのメモリの注入、構成ファイルの暗号化など、マルウェアと同じトリックの多くを採用しています。 Saccoは、このツールを「潜在的なツールキット」として説明し、Windowsエージェントにはいかなる種類の認証もありません。 Computraceは、暗号化されていないチャネルを介してAbsolute Softwareのサーバーと通信し、暗号化されていない情報を保存します。 ネットワークプロトコルはリモートコードの実行に使用でき、不正使用に対して脆弱であるとSaccoは警告しました。
Kaspersky Labは、通信の後の段階で暗号化がネットワークプロトコルに追加されるように見えますが、攻撃者は暗号化されていないコンポーネントを利用してシステムをリモートでハイジャックすることができます。 Kamlukは、Computraceを使用してスパイウェアをエンドポイントにインストールし、Small Agentを実行しているコンピューターからすべてのトラフィックをARP中毒を介して攻撃者のホストにリダイレクトし、DNSサービス攻撃を開始してエージェントを偽のC&Cサーバーに接続させることができると述べましたいくつか挙げてください。
「これには大きな問題があります」とサッコは出席者に語った。
ここで問題ない?
Absolute SoftwareのCTOであるPhil Gardnerは、Kasperskyの研究を「欠陥がある」と批判し、「疑わしい技術的メリット」があると述べました。 Absolute Softwareは、Computraceが暗号化とサーバーへの認証を使用することで、Kamlukが警告した種類の攻撃を防ぐことができると述べました。 エージェントは、承認されない限りサーバーと通信せず、「サーバーとクライアントの相互認証とのみ通信します」とガードナーは言いました。
攻撃者がComputraceを悪用する前に、エンドポイントが侵害される必要があります。 「このような攻撃を仕掛ける際の障害はかなり大きく、カスペルスキーのレポートで概説されているメカニズムを介して達成することはできません」とAbsolute SoftwareはFAQで述べています。
それでも、コンピューターで実行されていることを知らない場合は、Kaspersky Labの指示に従ってComputraceを見つけて無効にすることができます。
ハイジャックとワイプ
Kamlukは、Computraceがインストールされたマシンに対して、攻撃者が中間者攻撃を開始する方法を示す概念実証をサミットで示しました。 攻撃者はAbsolute Softwareのサーバーのふりをして、被害者のマシンのメモリを変更する可能性があります。
「インターネット接続を制御する権限を持っている人なら誰でも同じことができます。たとえば、政府やISPなどです」とカムルクは言いました。
Kaspersky Labは、これまでAbsolute Computraceが攻撃に使用されたという証拠はないと言います。 アブソリュートソフトウェアは、認証と暗号化を使用してComputraceを保護し、悪用されないようにする必要があるとKamlukは言いました。
Kamlukのプレゼンテーション中に、数人の出席者がBIOSをチェックして、Computraceがコンピューターに存在するかどうかを確認できました。 プレゼンテーションの終わりまでに、参加者の多くがComputraceがどれほど広範であり、自分のマシンに存在することすら気づいていないことに気付いたため、部屋の緊張はほとんど明白でした。 また、デフォルトで有効になっているのはどれだけかという問題もありました。
