卡巴斯基看防盜軟體變身遠端劫持利器

卡巴斯基看防盜軟體變身遠端劫持利器，防盜軟體，本是幫助使用者找回丟失或被盜計算機，避免重要資料洩露的有力武器。然而，誰能想到，防盜軟體竟然暗藏威脅!據卡巴斯基實驗室釋出的最新研究報告顯示，防盜軟體也有可能變身成為黑客們發起遠端劫持的幫凶。據悉，該報告中所涉及的防盜軟體名為AbsoluteComputrace，由AbsoluteSoftware公司出品。

顯神通於危時

據AbsoluteSoftware介紹，這款名為AbsoluteComputrace的防盜軟體“擁有前所未有的強大功能”。它集資產管理、資料與裝置安全、地理技術、計算機取證、失竊找回等功能於一身，“已成功參與25,000多起找回案件，並與全球各地的警方保持密切合作”。

早在2007年初，AbsoluteComputrace公司就曾針對頻頻發生的膝上型電腦盜竊案件，推出一款名為ComputraceLoJack的防盜軟體。筆記本裝上ComputraceLoJack軟體之後，就相當於安裝上了一個“定位追蹤裝置”。一旦該膝上型電腦被偷走後，上面的ComputraceLoJack軟體便能自動向AbsoluteSoftware公司的監聽中心提供該筆記本的IP地址或者電話號碼，這樣便可協助警方找回筆記本。ComputraceLoJack軟體還可自動對硬碟的內容進行刪除，這樣即使筆記本被偷，使用者也不用擔心資訊洩露。官方訊息稱，該軟體“平均每週可以幫忙追回100臺電腦”。

隱其身於無形

對此，有統計資料顯示，目前，約有150,000個使用者的計算機上執行著Computrace代理程式，已啟用Computrace代理程式的使用者總數量就超過200萬。然而，令人匪夷所思的是，在規模龐大的使用者群中，知曉其計算機中執行著該防盜軟體這一事實的使用者數量，目前可能僅佔少數。那麼，究竟是何種原因導致大多數使用者們對此毫不知情呢?

這還要從卡巴斯基實驗室進行此項研究的起因開始。原來，實驗室的研究人員在其個人計算機和公司計算機上發現了執行的Computrace代理程式，但這些程式的執行並沒有事先得到授權。雖然Computrace是AbsoluteSoftware公司開發的一款合法產品，它就如同穿著隱身衣一般，隱匿於使用者的計算機之中。一些使用者因此認為自己從未安裝和啟用該程式，甚至不知道自己的計算機上執行著這一軟體。

對於少數知曉自己筆記本上運用著該軟體的使用者而言，想要永久性刪除或停止防盜軟體幾乎是不可能的。與大多數傳統的預裝軟體有所不同的是，Computrace能夠躲過專業的系統清理，甚至替換硬碟都無法清除該程式。

有些使用者或許會誤將Computrace認作是惡意軟體，因為它使用了很多當今惡意軟體常用的手段，例如反除錯技術和反逆向工程技術、向其他程序記憶體注入、建立祕密通訊、修補磁碟上的系統檔案、對配置檔案進行加密以及通過BIOS/韌體釋放Windows可執行檔案等。

存漏洞而堪憂

報告稱，Computrace代理程式所使用的網路協議能夠提供基礎的遠端程式碼執行功能。這種協議不需要遠端伺服器使用任何加密措施或認證，使得使用者在惡意網路環境中遭遇遠端攻擊的機率變大。

攻擊者能夠以隱蔽的手段利用這一安全漏洞訪問數百萬使用者的計算機。卡巴斯基實驗室本次研究的焦點為存在於很多膝上型電腦或桌上型電腦的韌體或ROMBIOS中的AbsoluteComputrace代理程式。

“潛在威脅是，有能力竊聽光纖通訊的攻擊者能夠劫持所有執行AbsoluteComputrace的計算機。該軟體能夠被用來部署和植入間諜軟體，”卡巴斯基實驗室全球研發和分析團隊首席安全研究員VitalyKamluk警告說，“我們估計，執行AbsoluteComputrace軟體的計算機數量高達數百萬臺，大部分使用者可能都不知道該軟體在自己的計算機上被啟用和執行。是誰有權利在這些計算機上激活了Computrace?他們是否被未知攻擊者監控?這個謎團需要我們去揭開。”

宜未雨而綢繆

雖然目前還沒有證據顯示AbsoluteComputrace被用做一種攻擊平臺。但是，眾多業內人士均認為，這種攻擊有可能成為現實。一些無法解釋的、驚人的Computrace未授權啟用使得這種情況變得更為現實。

該報告中還指出，早在2009年，來自CoreSecurityTechnologies的研究人員就提交了他們對於AbsoluteComputrace的研究結果。研究人員對這一技術的危險性發出警告，指出攻擊者可以修改系統登錄檔，劫持Computrace的回撥指令。Computrace代理程式的行為具有侵犯性，所以其在過去也曾被檢測為惡意軟體。根據一些報道，微軟也曾經將Computrace檢測為VirTool:Win32/BeeInject惡意程式，儘管之後微軟和其他一些反惡意軟體廠商將這一檢測結果清除。目前，大多數反惡意軟體公司均將Computrace可執行檔案加入了白名單。

“像AbsoluteComputrace軟體這樣威力強大的工具應當必須使用驗證手段和加密機制，以確保其被正確利用。很顯然，如果有很多計算機上執行著Computrace代理程式，其開發商(即AbsoluteSoftware)有責任告知使用者，並且應當向用戶解釋如何終止或關閉該軟體，”Kamluk說，“否則，這些代理程式還會繼續在使用者不知情的情況下在計算機上執行，容易被遠端惡意利用。”