Rumah Jam keamanan Penyerang dapat menggunakan alat anti-pencurian komputer untuk menghapus komputer

Penyerang dapat menggunakan alat anti-pencurian komputer untuk menghapus komputer

Video: Tutorial Menghapus Segala jenis Virus Trojan (Desember 2024)

Video: Tutorial Menghapus Segala jenis Virus Trojan (Desember 2024)
Anonim

Menurut peneliti Kaspersky Lab, perangkat lunak anti-pencurian populer yang diinstal pada laptop dari hampir setiap produsen komputer besar dapat digunakan oleh penyerang untuk membajak komputer.

Absolute Software mengklaim produk Computrace membantu organisasi melacak dan mengamankan titik akhir mereka. Sejauh menyangkut Kaspersky Lab, alat ini dapat digunakan oleh penyerang untuk memonitor dan mengontrol mesin-mesin ini dari jarak jauh, dan bahkan menghapus semua informasi dari komputer.

"Sudah jelas bahwa jika ada banyak komputer dengan agen Computrace berjalan, adalah tanggung jawab pabrikan untuk memberi tahu pengguna dan menjelaskan bagaimana perangkat lunak dapat dinonaktifkan dan dinonaktifkan, " kata Vitaly Kamluk, peneliti keamanan utama di Kasperksy Lab.

Kamluk mengatakan kepada hadirin pada KTT Kaspersky Lab Security Analyst minggu lalu bahwa dia terkejut menemukan Computrace di laptop rumahnya meskipun tidak pernah membeli atau menginstal apa pun dari Absolute Software. Dia bukan satu-satunya, karena ada laporan lain dari pengguna online "mengklaim mereka menemukannya di mesin mereka dan mereka tidak pernah membeli Absolute, " katanya

Computrace Inside

Computrace tampaknya sudah diinstal pada selusin produsen laptop besar, termasuk Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu, dan Gamatech. Karena ini dimaksudkan untuk digunakan sebagai alat anti-pencurian, itu masuk daftar putih oleh vendor antivirus utama sehingga sebagian besar pengguna tidak pernah tahu perangkat lunak ini ada di mesin mereka. "Semua perusahaan melihatnya sebagai produk yang sah, " kata Anibal Sacco, salah satu pendiri dan peneliti di Cubica Labs yang pertama kali menganalisis Computrace pada 2009 ketika di Core Security Technologies.

Agen tersebut berada di firmware, jadi tidak masalah sistem operasi apa yang Anda jalankan, atau perlindungan keamanan seperti apa yang Anda miliki. Ini tertanam tepat di perangkat keras dan sulit untuk dihapus. Sebagian besar perangkat lunak yang diinstal sebelumnya dapat dihapus atau dinonaktifkan secara permanen oleh pengguna, tetapi Computrace dirancang untuk bertahan dari pembersihan sistem profesional dan bahkan penggantian hard disk.

Menurut statistik yang disediakan oleh Jaringan Keamanan Kaspersky, ada sekitar 150.000 pengguna yang memiliki agen Computrace berjalan di mesin mereka, yang berarti jumlah pengguna di seluruh dunia dengan Computrace aktif dapat melebihi 2 juta. Mayoritas komputer ini berlokasi di Amerika Serikat dan Rusia, kata Kaspersky Lab.

Perilaku Bermasalah

Sementara Computrace adalah perangkat lunak komersial yang dirancang untuk berbuat baik, ia menggunakan banyak trik yang sama dengan malware, termasuk menggunakan teknik anti-debugging dan anti-reverse engineering, menyuntikkan memori ke dalam proses lain, dan mengenkripsi file konfigurasi. Sacco menggambarkan alat tersebut sebagai "toolkit laten" dan mencatat bahwa agen Windows tidak memiliki otentikasi apa pun. Computrace berkomunikasi dengan server di Absolute Software melalui saluran yang tidak dienkripsi dan menyimpan informasi yang tidak dienkripsi. Protokol jaringan dapat digunakan untuk eksekusi kode jarak jauh dan rentan terhadap penyalahgunaan, Sacco memperingatkan.

Kaspersky Lab mengatakan bahwa enkripsi tampaknya ditambahkan ke protokol jaringan pada tahap komunikasi selanjutnya, tetapi penyerang masih dapat memanfaatkan komponen yang tidak terenkripsi untuk membajak sistem dari jarak jauh. Kamluk mengatakan Computrace dapat digunakan untuk menginstal spyware pada titik akhir, mengalihkan semua lalu lintas dari komputer yang menjalankan Small Agent ke host penyerang melalui keracunan ARP, dan meluncurkan serangan layanan DNS untuk mengelabui agen agar terhubung ke server C&C palsu, untuk sebutkan beberapa.

"Ada masalah besar dengan ini, " kata Sacco kepada peserta.

Tidak Ada Masalah Di Sini?

CTO Absolute Software, Phil Gardner, mengkritik penelitian Kaspersky sebagai "cacat" dan mengatakan itu "jasa teknis yang dipertanyakan." Absolute Software mengatakan Computrace menggunakan enkripsi dan otentikasi ke server, yang akan mencegah jenis serangan yang Kamluk ingatkan. Agen tidak akan berkomunikasi dengan server kecuali jika diizinkan, dan "hanya akan berkomunikasi dengan otentikasi timbal balik dari server dan klien, " kata Gardner.

Sebelum seorang penyerang dapat menggunakan Computrace dengan jahat, titik akhir harus dikompromikan. "Hambatan untuk memasang serangan semacam itu sangat besar dan tidak dapat dicapai melalui mekanisme yang diuraikan dalam laporan Kaspersky, " kata Absolute Software dalam sebuah FAQ.

Meski begitu, jika Anda tidak menyukai gagasan sesuatu yang berjalan di komputer yang tidak Anda ketahui, Anda dapat mengikuti instruksi dari Kaspersky Lab untuk menemukan dan menonaktifkan Computrace.

Hijack and Wipe

Kamluk mendemonstrasikan pembuktian konsep di puncak yang menunjukkan bagaimana seorang penyerang dapat meluncurkan serangan manusia-di-tengah terhadap sebuah mesin di mana Computrace dipasang. Penyerang bisa berpura-pura menjadi server dari Absolute Software dan mengubah memori di mesin korban.

"Siapa pun yang memiliki kekuatan untuk mengendalikan koneksi Internet Anda dapat melakukan hal yang sama - pemerintah atau ISP, misalnya, " kata Kamluk.

Kaspersky Lab mengatakan tidak memiliki bukti bahwa Absolute Computrace telah digunakan dalam serangan hingga saat ini. Perangkat Lunak Absolut perlu menggunakan otentikasi dan enkripsi untuk mengamankan Computrace sehingga tidak dapat disalahgunakan, kata Kamluk.

Selama presentasi Kamluk, beberapa peserta dapat terlihat memeriksa BIOS mereka untuk melihat apakah Computrace hadir di komputer mereka. Pada akhir presentasi, ketegangan di ruangan itu hampir terasa, karena banyak dari peserta menyadari betapa luasnya Computrace dan bahwa mereka bahkan tidak menyadari kehadirannya di mesin mereka. Itu juga mengganggu berapa banyak dari mereka yang diaktifkan secara default.

Penyerang dapat menggunakan alat anti-pencurian komputer untuk menghapus komputer