BIOS-агент Computrace вызвал подозрение у «Лаборатории Касперского»
13.02.2014
«Лаборатория Касперского» опубликовала аналитический отчет с описанием нескольких случаев несанкционированной активации программного агента Computrace. Его часто ставят в прошивки ноутбуков для удаленного слежения (например, в случае кражи). Общее количество ноутбуков с установленными агентами Computrace по всему миру оценивается в 2 млн, причем значительная часть их находится в России.
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1, принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы). Интересно, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать. Например, в ASUS X102BA их нет.
В то же время модуль Computrace позволяет осуществить удаленный доступ к компьютеру через интернет. Производители устанавливают шпионский софт в BIOS некоторых моделей ноутбуков, не уведомляя об этом покупателей. Например, такое случалось с покупателями ноутбуков ASUS 1225B, Samsung 900X3C и Samsung NP670Z5E.
«Лаборатория Касперского» изучила коммуникацию агента Computrace с удаленным сервером и обнаружила довольно простой протокол.
«Детальное рассмотрение протокола дает нам представление о том, что его дизайн спроектирован для удаленного исполнения любого рода команд. У нас нет доказательств того, что Absolute Computrace был использован как платформа для атак, но мы отчетливо видим возможность этого, и некоторые тревожные и необъяснимые факты делают эту возможность все более реалистичной, — пишут специалисты антивирусной компании. — Мы глубоко убеждены, что столь прогрессивный инструмент обязан иметь столь же прогрессивную защиту от несанкционированного использования, включая механизмы надежной аутентификации и шифрования».
Индикаторы активности агента Computrace
1. Один из процессов запущен:
rpcnet.exe
rpcnetp.exe
32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)
2. Один из файлов существует на диске:
%WINDIR%\System32\rpcnet.exe
%WINDIR%\System32\rpcnetp.exe
%WINDIR%\System32\wceprv.dll
%WINDIR%\System32\identprv.dll
%WINDIR%\System32\Upgrd.exe
%WINDIR%\System32\autochk.exe.bak (для FAT)
%WINDIR%\System32\autochk.exe:bak (для NTFS)
3. Система отправляет DNS-запросы для следующих доменов:
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
m229.absolute.com или любых m*.absolute.com
4. Система соединяется со следующим IP-адресом: 209.53.113.223
5. Существует один из следующих ключей в реестре:
HKLM\System\CurrentControlSet\Services\rpcnet
HKLM\System\CurrentControlSet\Services\rpcnetp
Посмотрите на своих ноутах, активна ли эта штука у вас?
«Лаборатория Касперского» опубликовала аналитический отчет с описанием нескольких случаев несанкционированной активации программного агента Computrace. Его часто ставят в прошивки ноутбуков для удаленного слежения (например, в случае кражи). Общее количество ноутбуков с установленными агентами Computrace по всему миру оценивается в 2 млн, причем значительная часть их находится в России.
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1, принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы). Интересно, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать. Например, в ASUS X102BA их нет.
В то же время модуль Computrace позволяет осуществить удаленный доступ к компьютеру через интернет. Производители устанавливают шпионский софт в BIOS некоторых моделей ноутбуков, не уведомляя об этом покупателей. Например, такое случалось с покупателями ноутбуков ASUS 1225B, Samsung 900X3C и Samsung NP670Z5E.
«Лаборатория Касперского» изучила коммуникацию агента Computrace с удаленным сервером и обнаружила довольно простой протокол.
«Детальное рассмотрение протокола дает нам представление о том, что его дизайн спроектирован для удаленного исполнения любого рода команд. У нас нет доказательств того, что Absolute Computrace был использован как платформа для атак, но мы отчетливо видим возможность этого, и некоторые тревожные и необъяснимые факты делают эту возможность все более реалистичной, — пишут специалисты антивирусной компании. — Мы глубоко убеждены, что столь прогрессивный инструмент обязан иметь столь же прогрессивную защиту от несанкционированного использования, включая механизмы надежной аутентификации и шифрования».
Индикаторы активности агента Computrace
1. Один из процессов запущен:
rpcnet.exe
rpcnetp.exe
32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)
2. Один из файлов существует на диске:
%WINDIR%\System32\rpcnet.exe
%WINDIR%\System32\rpcnetp.exe
%WINDIR%\System32\wceprv.dll
%WINDIR%\System32\identprv.dll
%WINDIR%\System32\Upgrd.exe
%WINDIR%\System32\autochk.exe.bak (для FAT)
%WINDIR%\System32\autochk.exe:bak (для NTFS)
3. Система отправляет DNS-запросы для следующих доменов:
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
m229.absolute.com или любых m*.absolute.com
4. Система соединяется со следующим IP-адресом: 209.53.113.223
5. Существует один из следующих ключей в реестре:
HKLM\System\CurrentControlSet\Services\rpcnet
HKLM\System\CurrentControlSet\Services\rpcnetp
Посмотрите на своих ноутах, активна ли эта штука у вас?
1 комментарий
Вот из этого гаража за вами могут следить.