防盗软件,本是帮助用户找回丢失或被盗计算机,避免重要数据泄露的有力武器。然而,谁能想到,防盗软件竟然暗藏威胁!据卡巴斯基实验室发布的最新研究报告显示,防盗软件也有可能变身成为黑客们发起远程劫持的帮凶。据悉,该报告中所涉及的防盗软件名为AbsoluteComputrace,由AbsoluteSoftware公司出品。
显神通于危时
据AbsoluteSoftware介绍,这款名为AbsoluteComputrace的防盗软件“拥有前所未有的强大功能”。它集资产管理、数据与设备安全、地理技术、计算机取证、失窃找回等功能于一身,“已成功参与25,000多起找回案件,并与全球各地的警方保持密切合作”。
早在2007年初,AbsoluteComputrace公司就曾针对频频发生的笔记本电脑盗窃案件,推出一款名为ComputraceLoJack的防盗软件。笔记本装上ComputraceLoJack软件之后,就相当于安装上了一个“定位追踪装置”。一旦该笔记本电脑被偷走后,上面的ComputraceLoJack软件便能自动向AbsoluteSoftware公司的监听中心提供该笔记本的IP地址或者电话号码,这样便可协助警方找回笔记本。ComputraceLoJack软件还可自动对硬盘的内容进行删除,这样即使笔记本被偷,用户也不用担心信息泄露。官方消息称,该软件“平均每周可以帮忙追回100台电脑”。
隐其身于无形
对此,有统计数据显示,目前,约有150,000个用户的计算机上运行着Computrace代理程序,已激活Computrace代理程序的用户总数量就超过200万。然而,令人匪夷所思的是,在规模庞大的用户群中,知晓其计算机中运行着该防盗软件这一事实的用户数量,目前可能仅占少数。那么,究竟是何种原因导致大多数用户们对此毫不知情呢?
这还要从卡巴斯基实验室进行此项研究的起因开始。原来,实验室的研究人员在其个人计算机和公司计算机上发现了运行的Computrace代理程序,但这些程序的运行并没有事先得到授权。虽然Computrace是AbsoluteSoftware公司开发的一款合法产品,它就如同穿着隐身衣一般,隐匿于用户的计算机之中。一些用户因此认为自己从未安装和激活该程序,甚至不知道自己的计算机上运行着这一软件。
对于少数知晓自己笔记本上运用着该软件的用户而言,想要永久性删除或停止防盗软件几乎是不可能的。与大多数传统的预装软件有所不同的是,Computrace能够躲过专业的系统清理,甚至替换硬盘都无法清除该程序。
有些用户或许会误将Computrace认作是恶意软件,因为它使用了很多当今恶意软件常用的手段,例如反调试技术和反逆向工程技术、向其他进程内存注入、建立秘密通讯、修补磁盘上的系统文件、对配置文件进行加密以及通过BIOS/固件释放Windows可执行文件等。
存漏洞而堪忧
报告称,Computrace代理程序所使用的网络协议能够提供基础的远程代码执行功能。这种协议不需要远程服务器使用任何加密措施或认证,使得用户在恶意网络环境中遭遇远程攻击的几率变大。
攻击者能够以隐蔽的手段利用这一安全漏洞访问数百万用户的计算机。卡巴斯基实验室本次研究的焦点为存在于很多笔记本电脑或台式机的固件或ROMBIOS中的AbsoluteComputrace代理程序。
“潜在威胁是,有能力窃听光纤通讯的攻击者能够劫持所有运行AbsoluteComputrace的计算机。该软件能够被用来部署和植入间谍软件,”卡巴斯基实验室全球研发和分析团队首席安全研究员VitalyKamluk警告说,“我们估计,运行AbsoluteComputrace软件的计算机数量高达数百万台,大部分用户可能都不知道该软件在自己的计算机上被激活和运行。是谁有权利在这些计算机上激活了Computrace?他们是否被未知攻击者监控?这个谜团需要我们去揭开。”
宜未雨而绸缪
虽然目前还没有证据显示AbsoluteComputrace被用做一种攻击平台。但是,众多业内人士均认为,这种攻击有可能成为现实。一些无法解释的、惊人的Computrace未授权激活使得这种情况变得更为现实。
该报告中还指出,早在2009年,来自CoreSecurityTechnologies的研究人员就提交了他们对于AbsoluteComputrace的研究结果。研究人员对这一技术的危险性发出警告,指出攻击者可以修改系统注册表,劫持Computrace的回调指令。Computrace代理程序的行为具有侵犯性,所以其在过去也曾被检测为恶意软件。根据一些报道,微软也曾经将Computrace检测为VirTool:Win32/BeeInject恶意程序,尽管之后微软和其他一些反恶意软件厂商将这一检测结果清除。目前,大多数反恶意软件公司均将Computrace可执行文件加入了白名单。
“像AbsoluteComputrace软件这样威力强大的工具应当必须使用验证手段和加密机制,以确保其被正确利用。很显然,如果有很多计算机上运行着Computrace代理程序,其开发商(即AbsoluteSoftware)有责任告知用户,并且应当向用户解释如何终止或关闭该软件,”Kamluk说,“否则,这些代理程序还会继续在用户不知情的情况下在计算机上运行,容易被远程恶意利用。”
网友评论