يمكن استخدام المهاجمين أداة مكافحة سرقة computrace لمسح أجهزة الكمبيوتر عن بعد

وفقًا لباحث kaspersky Lab ، يمكن أن يستخدم المهاجمون برنامجًا شهيرًا لمكافحة السرقة يتم تثبيته على أجهزة الكمبيوتر المحمولة من معظم الشركات المصنعة لأجهزة الكمبيوتر الرئيسية لاختطاف أجهزة الكمبيوتر.

تدعي شركة Absolute Software أن منتجها Computrace يساعد المؤسسات على تتبع نقاط النهاية الخاصة بها وتأمينها. بقدر ما يتعلق الأمر بـ Kaspersky Lab ، يمكن للمهاجمين استخدام الأداة لمراقبة هذه الأجهزة والتحكم فيها عن بُعد ، بل ومسح جميع المعلومات من الكمبيوتر.

وقال فيتالي كاملوك ، الباحث الأمني ​​الرئيسي في كاسبيركساي لاب: "من الواضح أنه إذا كان هناك الكثير من أجهزة الكمبيوتر التي يعمل فيها وكلاء Computrace ، فمن مسؤولية الشركة المصنعة إخطار المستخدمين وشرح كيفية إلغاء تنشيط البرنامج وتعطيله".

أخبر Kamluk الحضور في برنامج Kaspersky Lab Security Analyst Summit الأسبوع الماضي أنه فوجئ بالعثور على Computrace على كمبيوتره المحمول في المنزل على الرغم من عدم شراء أو تثبيت أي شيء من Absolute Software. وقال إنه ليس الوحيد ، حيث توجد تقارير أخرى من المستخدمين عبر الإنترنت "يزعمون أنهم عثروا عليها على أجهزتهم ولم يشتروا مطلقًا مطلقًا".

Computrace الداخل

يبدو أن Computrace قد تم تثبيته مسبقًا على عشرة من كبرى شركات تصنيع أجهزة الكمبيوتر المحمولة ، بما في ذلك Samsung و Acer و Lenovo و Hewlett-Packard و Dell و Panasonic و Toshiba و Asus و Gateway و General Dynamics و Fujitsu و Gamatech. نظرًا لأن الغرض منه هو استخدامه كأداة لمكافحة السرقة ، فإنه يتم إدراجه في قائمة الموردين الرئيسيين لمكافحة الفيروسات بحيث لا يكون لدى معظم المستخدمين أي فكرة أن البرنامج موجود على أجهزتهم. وقال أنيبال ساكو ، الشريك المؤسس والباحث في Cubica Labs ، الذي حلل Computrace لأول مرة في عام 2009 أثناء عمله في Core Security Technologies: "ترى جميع الشركات أنه منتج مشروع".

يوجد الوكيل في البرنامج الثابت ، لذلك لا يهم نظام التشغيل الذي تستخدمه ، أو نوع الحماية الأمنية التي لديك. إنه مضمن بشكل صحيح في الجهاز ويصعب إزالته. يمكن إزالة معظم البرامج المثبتة مسبقًا أو تعطيلها بشكل دائم من قبل المستخدم ، ولكن تم تصميم Computrace للبقاء على قيد الحياة في تنظيف النظام الاحترافي وحتى استبدال القرص الثابت.

وفقًا للإحصاءات التي قدمتها Kaspersky's Network Network ، يوجد حوالي 150،000 مستخدم لديهم وكيل Computrace يعمل على أجهزتهم ، مما يعني أن عدد المستخدمين في جميع أنحاء العالم مع Computrace النشط قد يتجاوز 2 مليون. وقال كاسبرسكي لاب إن غالبية أجهزة الكمبيوتر هذه موجودة في الولايات المتحدة وروسيا.

السلوك الإشكالي

على الرغم من أن Computrace عبارة عن برنامج تجاري صُمم ليكون جيدًا ، إلا أنه يستخدم العديد من نفس الحيل التي تستخدمها البرامج الضارة ، بما في ذلك استخدام تقنيات الهندسة المضادة للتصحيح والانعكاس ، وحقن الذاكرة في عمليات أخرى ، وتشفير ملفات التكوين. وصف ساكو الأداة بأنها "مجموعة أدوات كامنة" ولاحظ أن وكيل Windows ليس لديه مصادقة من أي نوع. يتصل Computrace بالملقمات في Absolute Software عبر قناة غير مشفرة ويقوم بتخزين المعلومات غير المشفرة. حذر ساكو من أن بروتوكول الشبكة يمكن استخدامه لتنفيذ التعليمات البرمجية عن بُعد وهو عرضة للإساءة.

قال Kaspersky Lab إنه يبدو أن التشفير قد تمت إضافته إلى بروتوكول الشبكة في مرحلة لاحقة من الاتصالات ، ولكن لا يزال بإمكان المهاجمين الاستفادة من المكونات غير المشفرة لاختطاف النظام عن بُعد. قال Kamluk أنه يمكن استخدام Computrace لتثبيت برامج التجسس على نقاط النهاية ، وإعادة توجيه كل حركة المرور من جهاز كمبيوتر يقوم بتشغيل Small Agent إلى مضيف المهاجم عن طريق التسمم ARP ، وشن هجوم خدمة DNS لخداع العامل في الاتصال بخادم C&C مزيف ، غيض من فيض.

وقال ساكو أمام الحضور "هناك مشكلة كبيرة في هذا."

لا مشكلة هنا؟

انتقد فيل جاردنر مدير قسم البرامج في شركة Absolute Software بحث شركة Kaspersky ووصفه بأنه "معيب" وقال إنه يتمتع "بجدارة فنية مشكوك فيها". وقال البرنامج المطلق إن Computrace يستخدم التشفير والمصادقة على الخادم ، مما سيمنع أنواع الهجمات التي حذر Kamluk منها. وقال غاردنر إن الوكيل لن يتصل بخادم ما لم يكن مصرحًا به ، و "سوف يتصل فقط بالمصادقة المتبادلة للخادم والعميل".

قبل أن يتمكن المهاجم من استخدام Computrace بشكل ضار ، يجب اختراق نقطة النهاية. وقال أبسولوت سوفتوير في أحد الأسئلة الشائعة "العقبات التي تحول دون شن مثل هذا الهجوم كبيرة ولا يمكن تحقيقها من خلال الآلية المحددة في تقرير كاسبرسكي".

ومع ذلك ، إذا كنت لا تحب فكرة وجود شيء يعمل على جهاز الكمبيوتر الخاص بك لا تعرفه ، فيمكنك اتباع التعليمات من Kaspersky Lab للعثور على Computrace وتعطيله.

اختطاف وامسح

أظهر Kamluk دليلاً على المفهوم في القمة يُظهر كيف يمكن للمهاجم شن هجوم رجل في الوسط ضد جهاز تم تثبيت Computrace عليه. قد يتظاهر المهاجم بأنه خادم من البرامج المطلقة ويغير الذاكرة في جهاز الضحية.

وقال كاملوك "أي شخص لديه القدرة على التحكم في اتصالك بالإنترنت يمكن أن يفعل الشيء نفسه - حكومة أو مزود خدمة الإنترنت ، على سبيل المثال".

يقول Kaspersky Lab إنه لا يوجد لديه دليل على أن Absolute Computrace قد تم استخدامه في الهجمات حتى الآن. وقال كاملوك إن البرامج المطلقة تحتاج إلى استخدام المصادقة والتشفير لتأمين Computrace بحيث لا يمكن إساءة استخدامها.

أثناء العرض التقديمي الخاص بـ Kamluk ، يمكن رؤية العديد من الحاضرين وهم يقومون بالتحقق من BIOS لمعرفة ما إذا كان Computrace موجودًا على أجهزة الكمبيوتر الخاصة بهم. بحلول نهاية العرض التقديمي ، كان التوتر في الغرفة واضحًا تقريبًا ، حيث أدرك العديد من الحضور مدى انتشار Computrace وأنهم لم يكونوا على دراية بوجودها على أجهزتهم. كان الأمر مزعجًا أيضًا لعددهم الذين تم تمكينهم افتراضيًا.