来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe

2015-01-24 21:09:52 +08:00
 yksoft1

https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件,虽然用途是合法的,但是其使用明文和服务器通信,而且能干的事情很多,随时可能被劫持。
BIOS在启动时,如果满足某个条件(如BIOS中开启了Computrace功能)等,就会启动Computrace的Option ROM,它会自动识别硬盘中的FAT/FAT32/NTFS文件系统,查找Windows的Autochk.exe,将其修改加入自己的安装程序;在Windows启动的时候,修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
rpcnetp.exe在系统中运行时,会将自己的副本rpcnetp.dll注入到IE的进程中,并试图与其开发商进行通信。但是这时候问题就来了:由于Computrace的本体位于BIOS中,它不是那么容易被升级的。因此其通信协议设计得比较复杂,而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作,但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问,就完全可以利用它来执行任意代码。而且正因为其不能被升级,只要用户仍在有意或无意地使用Computrace,这个漏洞将永久存在于用户的机器上。
虽然其开发者明确提出这个东西不会默认开启,但确实有一些机器默认开启了它,而且用户误将其开启后,就非常难以关闭甚至不可能关闭。很多情况下,它位于BIOS中不会被刷写工具刷写的偏移处,因此就算是刷新BIOS,也不能将其移除。
国内似乎有一些笔记本论坛上早已有人注意到此话题,但没有人能提出能根本解决此问题的方案。

13812 次点击
所在节点    分享发现
44 条回复
lingo233
2015-01-24 21:13:48 +08:00
更像厂商要逼你们这群XP+老爷机党换代,来投奔我大UEFI吧
yksoft1
2015-01-24 21:20:42 +08:00
@lingo233 这个软件有UEFI版。
lingo233
2015-01-24 21:24:08 +08:00
@yksoft1 现在的新板子都能像安卓一样刷刷刷,应该问题不大😁
yksoft1
2015-01-24 21:28:31 +08:00
@lingo233 文章说得很清楚,Computrace放在不会被官方刷BIOS的程序更新的位置,要刷掉它只能焊下来用编程器。
vibbow
2015-01-24 21:30:06 +08:00
我购买了这个服务的。
想关闭很简单,找Dell换块主板就行了(还得格式化硬盘,否则硬盘里存在的agent会自动激活新主板)

其实还挺好用的...
https://pic.vsean.net/di/5X00/QQ截图20150124132945.png
yksoft1
2015-01-24 21:33:22 +08:00
@vibbow 真正华强北技术武装的窃贼直接上编程器了。原硬盘直接进入配件市场
xbb7766
2015-01-24 21:34:41 +08:00
貌似只会对win下手,如果换成linux应该就没辙了吧。不过现在品牌机有的UEFI好像linux都不能装。
yksoft1
2015-01-24 21:34:52 +08:00
@vibbow 另外貌似DELL用来解BIOS密码的工具包也能把这个东西强制重置
vibbow
2015-01-24 21:37:12 +08:00
@yksoft1 这类软件的初衷,并不是完全的为了防盗。
而是数据安全。

我电脑要是安全功能全部开启的话,效果就是:

Computrace负责追踪/远程擦除
BitLocker负责加密硬盘
TPM保存BitLocker密钥
非接触式智能卡负责登陆Windows
vibbow
2015-01-24 21:38:12 +08:00
@yksoft1 Computrace的企业版本,还有电子栅栏之类的功能,比如说当电脑超出了一定范围后自动给管理员报警。
vibbow
2015-01-24 21:39:24 +08:00
@yksoft1 而且Computrace个人版,是有保险选项的,找不回来的话最高赔偿1000刀(好像远远不够啊...)
lingo233
2015-01-24 21:39:56 +08:00
@yksoft1 纯uefi已经没有bios了吧,而且他们的机制是不同的。我看了下章节标题没发现有提UEFI啊,不是很懂@_@
yksoft1
2015-01-24 21:40:57 +08:00
@vibbow 确实,重要的数据远比机器本体重要。但是我感觉本地数据安全无论如何都难以保证
比如这个Computrace,如果真被黑客盯上,劫持了这玩艺的通信协议,那你的后三者就全部失效,毕竟Computrace的本体运行的时候,系统已经登录,文件系统已经挂载。
vibbow
2015-01-24 21:43:28 +08:00
@yksoft1 Computrace不是创建长连接的。
默认情况下是开机连一次,然后每24小时连一次
除非你在服务端设置了其他的连接频率。
yksoft1
2015-01-24 21:49:32 +08:00
@vibbow 如果你在外出差的时候被黑客盯上,在你使用的路由器之类上做点手脚,那么一开机的那次连接也不安全了。
vibbow
2015-01-24 21:51:57 +08:00
@yksoft1 Computrace这么小众的玩意,一般没人去盯的。
而且谁知道Computrace有什么漏洞呢,我看了一眼,我电脑上的agent数字签名是去年5月的。
vibbow
2015-01-24 21:52:26 +08:00
@yksoft1 盯迅雷啊,QQ啊,360啊之类的都比Computrace来的方便。
yksoft1
2015-01-24 21:54:08 +08:00
@vibbow 如果你电脑里的数据是像NSA,蓝翔等感兴趣的,再小众也要被攻击。
loading
2015-01-24 22:01:16 +08:00
就算有服务器校验合法性的代码,伪造一个合法的服务器也不太难,中间人!
vibbow
2015-01-24 22:05:31 +08:00
@loading 双向SSL认证,伪造吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165122

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX