警惕防盜軟件變身遠程劫持的幫兇

警惕防盜軟件變身遠程劫持的幫兇

防盜軟件，本是幫助計算機用戶找回所丟失或被盜計算機、避免重要數(shù)據(jù)泄露的有力武器。在很多計算機找回的案例中，防盜軟件一方面扮演著我們重要數(shù)據(jù)的守護者，能夠行之有效地防止商業(yè)機密、個人信息等資料的丟失；另一方面，它可以為警方提供“新用戶”的IP地址或電話，“照亮”了被盜計算機回家的路。然而，誰能想到，防盜軟件竟然暗藏威脅！卡巴斯基實驗室最新的研究報告顯示，防盜軟件也有可能變身成為黑客們發(fā)起遠程劫持的幫兇，置裝有此軟件的計算機于不安全的環(huán)境之中。據(jù)悉，該報告中所涉及的防盜軟件名為Absolute Computrace，由Absolute Software公司出品。

顯神通于危時

根據(jù)Absolute Software官方網(wǎng)站的介紹，這款名為Absolute Computrace的防盜軟件“擁有前所未有的強大功能”。它集資產(chǎn)管理、數(shù)據(jù)與設(shè)備安全、地理技術(shù)、計算機取證、失竊找回等功能于一身，“已成功參與25,000多起找回案件，并與全球各地的警方保持密切合作”。

早在2007年初，Absolute Computrace公司就曾針對頻頻發(fā)生的筆記本電腦盜竊案件，推出一款名為Computrace LoJack的防盜軟件。筆記本裝上Computrace LoJack軟件之后，就相當(dāng)于安裝上了一個“定位追蹤裝置”。一旦該筆記本電腦被偷走后，上面的Computrace LoJack軟件便能自動向Absolute Software公司的監(jiān)聽中心提供該筆記本的IP地址或者電話號碼，這樣便可協(xié)助警方找回筆記本。Computrace LoJack軟件還可自動對硬盤的內(nèi)容進行刪除，這樣即使筆記本被偷，用戶也不用擔(dān)心信息泄露。官方消息稱，該軟件“平均每周可以幫忙追回100臺電腦”。

隱其身于無形

不難想象，如此功能齊全、性能突出的防盜軟件會擁有著為數(shù)眾多的使用者。對此，卡巴斯基實驗室公布的數(shù)據(jù)是，約有150,000個用戶的計算機上運行著Computrace代理程序。據(jù)估計，已激活Computrace代理程序的用戶總數(shù)量就超過200萬。然而，令人匪夷所思的是，在規(guī)模龐大的用戶群中，知曉其計算機中運行著該防盜軟件這一事實的用戶數(shù)量，目前可能僅占少數(shù)。

那么，究竟何種原因?qū)е麓蠖鄶?shù)用戶們對此毫不知情呢？

這還要從卡巴斯基實驗室進行此項研究的起因開始。原來，卡巴斯基實驗室的研究人員在其個人計算機和公司計算機上發(fā)現(xiàn)了運行的Computrace代理程序，但這些程序的運行并沒有事先得到授權(quán)。雖然Computrace是Absolute Software公司開發(fā)的一款合法產(chǎn)品，它就如同穿著隱身衣一般，隱匿于用戶的計算機之中。一些用戶因此認為自己從未安裝和激活該程序，甚至不知道自己的計算機上運行著這一軟件。

對于少數(shù)知曉自己筆記本上運用著該軟件的用戶而言，想要永久性刪除或停止防盜軟件幾乎是不可能的。與大多數(shù)傳統(tǒng)的預(yù)裝軟件有所不同的是，Computrace能夠躲過專業(yè)的系統(tǒng)清理，甚至替換硬盤都無法清除該程序。

有些用戶或許會誤將Computrace認作是惡意軟件，因為它使用了很多當(dāng)今惡意軟件常用的手段，例如反調(diào)試技術(shù)和反逆向工程技術(shù)、向其他進程內(nèi)存注入、建立秘密通訊、修補磁盤上的系統(tǒng)文件、對配置文件進行加密以及通過BIOS/固件釋放Windows可執(zhí)行文件等。

存漏洞而堪憂

卡巴斯基實驗室發(fā)布的報告稱，Computrace代理程序所使用的網(wǎng)絡(luò)協(xié)議能夠提供基礎(chǔ)的遠程代碼執(zhí)行功能。這種協(xié)議不需要遠程服務(wù)器使用任何加密措施或認證，使得用戶在惡意網(wǎng)絡(luò)環(huán)境中遭遇遠程攻擊的幾率變大。

攻擊者能夠以隱蔽的手段利用這一安全漏洞訪問數(shù)百萬用戶的計算機?？ò退够鶎嶒炇冶敬窝芯康慕裹c為存在于很多筆記本電腦或臺式機的固件或ROM BIOS中的Absolute Computrace代理程序。

“潛在威脅是，有能力竊聽光纖通訊的攻擊者能夠劫持所有運行Absolute Computrace的計算機。該軟件能夠被用來部署和植入間諜軟件，”卡巴斯基實驗室全球研發(fā)和分析團隊首席安全研究員Vitaly Kamluk警告說，“我們估計，運行Absolute Computrace軟件的計算機數(shù)量高達數(shù)百萬臺，大部分用戶可能都不知道該軟件在自己的計算機上被激活和運行。是誰有權(quán)利在這些計算機上激活了Computrace他們是否被未知攻擊者監(jiān)控?這個謎團需要我們?nèi)ソ议_。”

宜未雨而綢繆

雖然目前還沒有證據(jù)顯示Absolute Computrace被用做一種攻擊平臺。但是，來自包括全球知名網(wǎng)絡(luò)安全服務(wù)商卡巴斯基實驗室在內(nèi)多家公司的專業(yè)人士均認為，這種攻擊有可能成為現(xiàn)實。一些無法解釋的、驚人的Computrace未授權(quán)激活使得這種情況變得更為現(xiàn)實。

卡巴斯基實驗室的報告中還指出，早在2009年，來自Core Security Technologies的研究人員就提交了他們對于Absolute Computrace的研究結(jié)果。研究人員對這一技術(shù)的危險性發(fā)出警告，指出攻擊者可以修改系統(tǒng)注冊表，劫持Computrace的回調(diào)指令。Computrace代理程序的行為具有侵犯性，所以其在過去也曾被檢測為惡意軟件。根據(jù)一些報道，微軟也曾經(jīng)將Computrace檢測為VirTool:Win32/BeeInject惡意程序，盡管之后微軟和其他一些反惡意軟件廠商將這一檢測結(jié)果清除。目前，大多數(shù)反惡意軟件公司均將Computrace可執(zhí)行文件加入了白名單。

“像Absolute Computrace軟件這樣威力強大的工具應(yīng)當(dāng)必須使用驗證手段和加密機制，以確保其被正確利用。很顯然，如果有很多計算機上運行著Computrace代理程序，其開發(fā)商(即Absolute Software)有責(zé)任告知用戶，并且應(yīng)當(dāng)向用戶解釋如何終止或關(guān)閉該軟件，”Kamluk說，“否則，這些代理程序還會繼續(xù)在用戶不知情的情況下在計算機上運行，容易被遠程惡意利用?！?/p>

（王蕊）