来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe

2015-01-24 21:09:52 +08:00
 yksoft1

https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件,虽然用途是合法的,但是其使用明文和服务器通信,而且能干的事情很多,随时可能被劫持。
BIOS在启动时,如果满足某个条件(如BIOS中开启了Computrace功能)等,就会启动Computrace的Option ROM,它会自动识别硬盘中的FAT/FAT32/NTFS文件系统,查找Windows的Autochk.exe,将其修改加入自己的安装程序;在Windows启动的时候,修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
rpcnetp.exe在系统中运行时,会将自己的副本rpcnetp.dll注入到IE的进程中,并试图与其开发商进行通信。但是这时候问题就来了:由于Computrace的本体位于BIOS中,它不是那么容易被升级的。因此其通信协议设计得比较复杂,而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作,但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问,就完全可以利用它来执行任意代码。而且正因为其不能被升级,只要用户仍在有意或无意地使用Computrace,这个漏洞将永久存在于用户的机器上。
虽然其开发者明确提出这个东西不会默认开启,但确实有一些机器默认开启了它,而且用户误将其开启后,就非常难以关闭甚至不可能关闭。很多情况下,它位于BIOS中不会被刷写工具刷写的偏移处,因此就算是刷新BIOS,也不能将其移除。
国内似乎有一些笔记本论坛上早已有人注意到此话题,但没有人能提出能根本解决此问题的方案。

13838 次点击
所在节点    分享发现
44 条回复
yksoft1
2015-01-25 15:50:08 +08:00
@lxrabbit 没说一个程序能匹配所有装备了这个玩艺的BIOS。DELL的那个方法只是因为DELL改写NVRAM的工具被人搞了出来,它既能破解BIOS密码,也能用来把Computrace的基本设置复位。
cYcoco
2015-01-25 16:12:30 +08:00
我觉得如果真的被人盯上 除非你不用电脑 。不然不可能全部防范住。楼上好多几十E身价吧。。那么担心
XiaoXiaoNiWa
2019-06-01 01:58:40 +08:00
挖个坟。这玩意挺玄乎。
wql
2019-06-17 23:31:50 +08:00
今天网络应急中心对此发出了警示。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165122

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX