مراقب برنامه های ضد سرقت آسیب پذیر باشید
/0 دیدگاه /در کسپرسکی, مقالات/توسط imic_adminمراقب برنامه های ضد سرقت آسیب پذیر باشید
اگر رایانه شما نرم افزار ضد سرقتی را اجرا می کرد که هرگز آن را فعال نکرده اید چه می شود؟ نرم افزاری که می تواند کامپیوتر شما را از راه دور در دسترس قرار دهد. نرم افزاری که حتی با تعویض فیزیکی هم نمی توانید آن را حذف کنید
اگر رایانه شما نرم افزار ضد سرقتی را اجرا می کرد که هرگز آن را فعال نکرده اید چه می شود؟ نرم افزاری که می تواند کامپیوتر شما را از راه دور در دسترس قرار دهد. نرم افزاری که حتی با تعویض فیزیکی هارد دیسک نمی توانید آن را حذف کنید. شبیه یک افسانه شهری مدرن به نظر می رسد. با این حال، معلوم می شود که درست است.
این درک دقیق برای سرگئی بلوف، محقق بدافزار آزمایشگاه کسپرسکی، زمانی اتفاق افتاد که او شروع به بررسی یک اشتباه نرم افزاری در لپ تاپ شخصی همسرش کرد. روند مشکوکی توجه او را جلب کرد. اول، او فکر کرد که یک روت کیت ناشناخته را پیدا کرده است . با این حال، این روند قانونی بود – این بخشی از عامل نرم افزار Absolute Computrace، یک راه حل محبوب ضد سرقت برای لپ تاپ ها بود. چیزی که در مورد Computrace منحصر به فرد است، موقعیت بسیار انحصاری آن در رایانه کاربران است. عامل Computrace تا حدی در BIOS یا UEFI قرار دارد، تراشهای با توالی برنامههای کدگذاریشده که ابتدا در بوتآپ رایانه اجرا میشود، حتی قبل از اینکه سیستم عامل شروع به کار کند. این به Computrace کمک می کند تا از “تنظیم مجدد هارد” و حتی تعویض دیسک جان سالم به در ببرد. چیزی که بیشتر در مورد Computrace نگران کننده است – همسر Belov هرگز نرم افزار را فعال نکرد و از وجود آن بی اطلاع بود. تجزیه و تحلیل بیشتر خبر بد را آشکار کرد – یک شخص ثالث مخرب می تواند عامل Computrace را ربوده و هر نوع هک از راه دور را بر روی رایانه شخصی قربانی انجام دهد.
راه حل های ضد سرقت برای دستگاه های تلفن همراه بسیار مهم هستند، زیرا سارقان از این ابزارهای کوچک و گران قیمت حمایت می کنند. طراحی یک نرم افزار ضد سرقت کار ساده ای نیست. باید کوچک و مخفی باشد. باید به برخی از سرورهای HQ ارتباط برقرار کند تا موقعیت خود را گزارش کند یا در صورت سرقت درخواست اقدام کند. در نهایت، باید در برابر تلاش های یک دزد برای حذف نرم افزار مقاومت کند. همه این الزامات به این معنی است که نرم افزار ضد سرقت در سطح پایینی کار می کند و باید امتیازات چشمگیری بر روی دستگاه کاربر داشته باشد. بنابراین اگر چنین برنامه قدرتمندی آسیب پذیر باشد چه اتفاقی می افتد؟ بدترین حالت، هکر ممکن است هر کاری که می خواهد انجام دهد و اساساً مالک رایانه شما باشد.
متأسفانه من نظریه پردازی نمی کنم. هفته گذشته، من شاهد یک نمایش واقعی بودم که توسط ویتالی کاملوک و سرگئی بلوف از آزمایشگاه کسپرسکی در خلال نشست تحلیلگران امنیتی 2014 انجام شد . این دو محقق یک لپتاپ تازه خریداری شده ایسوس را باز کردند، مجموعهای از روشهای اولیه را انجام دادند و از رایانهای دیگر برای فعال کردن دوربین لپتاپ از راه دور استفاده کردند و در نهایت یک روش پاک کردن از راه دور را آغاز کردند. پاک کردن با رهگیری بسته های شبکه رمزگذاری نشده و ارسال برخی از داده ها، شبیه سازی ارتباط با سرور اصلی Computrace انجام شد.
در حال حاضر ممکن است احساس کنید که فوراً لپ تاپ خود را برای حضور نماینده Computrace بررسی کنید. اگر از قبل در حال برنامه ریزی برای حذف بی رحمانه آن هستید، خسته نباشید، بسیار چالش برانگیز است. عامل با تلاش برای حذف آن مبارزه می کند، که به دلیل هدف ضد سرقت آن کاملا طبیعی است. برای رسیدن به این هدف، بخشی از BIOS از عامل Computrace وجود نرم افزار را در هر بوت بررسی می کند. اگر نرم افزاری پیدا نشد، یک برنامه کوچک از بایوس به سیستم عامل ویندوز نصب می شود. پس از بوت شدن ویندوز، این برنامه یک عامل Computrace در مقیاس کامل را از اینترنت دانلود کرده و آن را فعال می کند. این مرحله خاص در برابر سازش از راه دور آسیب پذیر است که در SAS 2014 نشان داده شد.
تجزیه و تحلیل کامل در Securelist و همچنین لیستی از شاخص های فعالیت عامل Computrace موجود است . داده های شبکه امنیتی Kaspersky نشان می دهد که 150000 نفر از مشتریان ما یک عامل Computrace در دستگاه های خود فعال دارند. ویتالی کاملوک تخمین می زند که Computrace بر روی 2 میلیون کامپیوتر در سراسر جهان فعال است. ما نمی دانیم که چه تعداد از آنها توسط خود کاربر فعال شده اند.
بخش BIOS Computrace بر روی اکثر چیپ های محبوب BIOS/UEFI از قبل نصب شده است و می توانید با آن در اکثر لپ تاپ ها از جمله ایسر، ایسوس، سونی، توشیبا، اچ پی، لنوو، سامسونگ و غیره مواجه شوید. با این حال، برخی از لپتاپها دارای یک گزینه قابل مشاهده بایوس برای فعال/غیرفعال کردن Computrace هستند، در حالی که برخی دیگر این گزینه را ندارند. علاوه بر این، هر رایانه ای Computrace را اجرا نمی کند، حتی اگر یک جزء BIOS در آن وجود داشته باشد، این نرم افزار در بسیاری از رایانه ها غیرفعال است. اما محققان آزمایشگاه کسپرسکی چند لپتاپ تازه را کشف و خریداری کردند که در اولین اجرا دارای یک عامل Computrace فعال هستند، درست پس از جعبهگشایی. اینکه چرا این عوامل فعال هستند و چه کسی کنترل را در اختیار دارد، یک راز باقی مانده است.