防盗软件,本是帮助计算机用户找回所丢失或被盗计算机、避免重要数据泄露的有力武器。在很多计算机找回的案例中,防盗软件一方面扮演着我们重要数据的守护者,能够行之有效地防止商业机密、个人信息等资料的丢失;另一方面,它可以为警方提供“新用户”的IP地址或电话,“照亮”了被盗计算机回家的路。然而,谁能想到,防盗软件竟然暗藏威胁!卡巴斯基实验室最新的研究报告显示,防盗软件也有可能变身成为黑客们发起远程劫持的帮凶,置装有此软件的计算机于不安全的环境之中。据悉,该报告中所涉及的防盗软件名为Absolute Computrace,由Absolute Software公司出品。
显神通于危时
根据Absolute Software官方网站的介绍,这款名为Absolute Computrace的防盗软件“拥有前所未有的强大功能”。它集资产管理、数据与设备安全、地理技术、计算机取证、失窃找回等功能于一身,“已成功参与 25,000 多起找回案件,并与全球各地的警方保持密切合作”。
早在2007年初,Absolute Computrace公司就曾针对频频发生的笔记本电脑盗窃案件,推出一款名为Computrace LoJack的防盗软件。笔记本装上Computrace LoJack软件之后,就相当于安装上了一个“定位追踪装置”。一旦该笔记本电脑被偷走后,上面的Computrace LoJack软件便能自动向Absolute Software公司的监听中心提供该笔记本的IP地址或者电话号码,这样便可协助警方找回笔记本。Computrace LoJack软件还可自动对硬盘的内容进行删除,这样即使笔记本被偷,用户也不用担心信息泄露。官方消息称,该软件“平均每周可以帮忙追回100台电脑”。
隐其身于无形
不难想象,如此功能齐全、性能突出的防盗软件会拥有着为数众多的使用者。对此,卡巴斯基实验室公布的数据是,约有150,000个用户的计算机上运行着Computrace代理程序。据估计,已激活Computrace代理程序的用户总数量就超过200万。然而,令人匪夷所思的是,在规模庞大的用户群中,知晓其计算机中运行着该防盗软件这一事实的用户数量,目前可能仅占少数。
那么,究竟是何种原因导致大多数用户们对此毫不知情呢?
这还要从卡巴斯基实验室进行此项研究的起因开始。原来,卡巴斯基实验室的研究人员在其个人计算机和公司计算机上发现了运行的Computrace代理程序,但这些程序的运行并没有事先得到授权。虽然Computrace是Absolute Software公司开发的一款合法产品,它就如同穿着隐身衣一般,隐匿于用户的计算机之中。一些用户因此认为自己从未安装和激活该程序,甚至不知道自己的计算机上运行着这一软件。
对于少数知晓自己笔记本上运用着该软件的用户而言,想要永久性删除或停止防盗软件几乎是不可能的。与大多数传统的预装软件有所不同的是,Computrace能够躲过专业的系统清理,甚至替换硬盘都无法清除该程序。
有些用户或许会误将Computrace认作是恶意软件,因为它使用了很多当今恶意软件常用的手段,例如反调试技术和反逆向工程技术、向其他进程内存注入、建立秘密通讯、修补磁盘上的系统文件、对配置文件进行加密以及通过BIOS/固件释放Windows可执行文件等。
存漏洞而堪忧
卡巴斯基实验室发布的报告称,Computrace代理程序所使用的网络协议能够提供基础的远程代码执行功能。这种协议不需要远程服务器使用任何加密措施或认证,使得用户在恶意网络环境中遭遇远程攻击的几率变大。
攻击者能够以隐蔽的手段利用这一安全漏洞访问数百万用户的计算机。卡巴斯基实验室本次研究的焦点为存在于很多笔记本电脑或台式机的固件或ROM BIOS中的Absolute Computrace代理程序。
“潜在威胁是,有能力窃听光纤通讯的攻击者能够劫持所有运行Absolute Computrace的计算机。该软件能够被用来部署和植入间谍软件,”卡巴斯基实验室全球研发和分析团队首席安全研究员Vitaly Kamluk警告说,“我们估计,运行Absolute Computrace软件的计算机数量高达数百万台,大部分用户可能都不知道该软件在自己的计算机上被激活和运行。是谁有权利在这些计算机上激活了Computrace?他们是否被未知攻击者监控?这个谜团需要我们去揭开。”
宜未雨而绸缪
虽然目前还没有证据显示Absolute Computrace被用做一种攻击平台。但是,来自包括全球知名网络安全服务商卡巴斯基实验室在内多家公司的专业人士均认为,这种攻击有可能成为现实。一些无法解释的、惊人的Computrace未授权激活使得这种情况变得更为现实。
卡巴斯基实验室的报告中还指出,早在2009年,来自Core Security Technologies的研究人员就提交了他们对于Absolute Computrace的研究结果。研究人员对这一技术的危险性发出警告,指出攻击者可以修改系统注册表,劫持Computrace的回调指令。Computrace代理程序的行为具有侵犯性,所以其在过去也曾被检测为恶意软件。根据一些报道,微软也曾经将Computrace检测为VirTool:Win32/BeeInject恶意程序,尽管之后微软和其他一些反恶意软件厂商将这一检测结果清除。目前,大多数反恶意软件公司均将Computrace可执行文件加入了白名单。
“像Absolute Computrace软件这样威力强大的工具应当必须使用验证手段和加密机制,以确保其被正确利用。很显然,如果有很多计算机上运行着Computrace代理程序,其开发商(即Absolute Software)有责任告知用户,并且应当向用户解释如何终止或关闭该软件,”Kamluk说,“否则,这些代理程序还会继续在用户不知情的情况下在计算机上运行,容易被远程恶意利用。”